Je commence à bosser sur un projet de firewall gigagit, j'ai carte blanche au niveau de l'OS, les seules exigences sont que le firewall doit etre bridgé et en haute dispo.
 
J'hesite pas mal au niveau de l'os entre linux et openbsd principalement, et pourquoi pas freebsd.  
Le gros avantage avec opensdb serai que tout est de base dans l'os, alors que sous linux (noyau 2.4) il est necessaire de patcher le noyau pour ajouter la fonctionnalité bridge/firewall (mais rien de tres compliqué non plus).
De plus, openbsd me semble avoir de l'avance par rapport à linux niveau fw, notament pour l'ipv6 (on risque d'y passer dans un avenir relativement proche), et je suis egalement tombé sur cet article aujourd'hui : http://www.countersiege.com/doc/pfsync-carp/ où il est expliqué qu'avec openbsd 3.5 il sera possible de synchroniser les tables d'etats pour une config en haute dispo (mais à creuser, y faut voir si c'est utilisable pour un fw bridgé).
 
Le gros point d'interrogation esy au niveau des performances, un firewall openbsd peut il supporter un traffic gigabit ? (en sachant que le bi-pro n'est pas supporté)
J'ai un peu plus confiance en linux à ce niveau grace au support du bi-pro.
 
Voila, je suis preneur de toutes infos, retour d'experiences ...
 
Merci

http://linuxfr.org/2004/03/30/15861.html

Oui j'avais lu ça ce matin, c'est ce qui m'a relancé sur openbsd alors que j'etais plutot partant pour linux.

 
Pour la recompilation du noyau c'est pas tout un problème, j'ai deja une maquette linux de firewall/bridge qui tourne.
 
Pour le traffic réseau, dans l'immediat il ne sera pas très chargé, le reste de l'infrastructure ne suit pas encore, mais ca devrait rapidement changé, et à ce moment là ce sera nettement plus chargé, car on a notament de gros flux de sauvegardes qui passeront par le fw.
 
Pas de filtrage applicatif ni d'ids, et le routage est effectué par un gros routeur en amont que l'on ne gere pas.
 

La machine on l'a pas encore, mais y a le budget pour acheter qqchose de costaud.
 
Les sauvegardes c'est pas moi qui m'en occupe, mais d'apres le collègue qui s'en charge, y a moyen de saturé une liaison giga avec plusieurs flux simultanés. Je m'y connais tres peu en sauvegarde, mais on a pas du mauvais matos à ce niveau.
 

avec un quadri encore mieux

kler
 
faudra pas mal de ram aussi je pense, nan ?

oue, vu que c est du statefull ca doit pas mal bouffer en gigabit

JoWile> tu parlais d'ids plus haut, à partir de quelle type de config snort par exemple serait capable d'analyser à 100% le flux gigabit ?

Pour info j'ai fait quelques test avec un bi-xeon 3.06 bridgé, sous linux, noyau 2.4.25.
J'envoie du traffic avec iperf (50 threads en parallele) avec un debit de 500Mbs (je suis limité à cause d'une carte pci 32bits), et j'arrive à plus de 40% d'utilisation CPU d'apres sysstat (avec aucune règles iptables). En rajoutant 100 règles statefull j'arrive à un peu plus de 50%.
 
Bon j'ai rien optimisé pour l'instant, y faut que je creuse un peu.

C'est du pci 32bits 33Mhz, je depasse pas les 500Mbs avec, alors qu'avec les meme machines et des cartes pci-x 64 bits je monte a environ 950mbs (en connexion directe).
 
Pour l'utilisation cpu j'utilise sysstat, qui me donne :  

 
Le noyau 2.6 me tente bien, mais ca me parait encore un peu tot pour le mettre en prod nan ?
 

iperf -c 10.0.0.1 -t 120  -P 50
 
Pour le 2.6, j'avais l'intention de le tester, si je le fait je te tiens au courant des resultats.

Ce n'est qu'un avis mais si tu veux de la haute dispo, des perfs gigabits et que tu as le budget, pars directement vers une solution de type appliance comme un pix ou un netscreen. Mais ton budget ne le permet peut-être pas (surtout au niveau de la maintenance)

Et ca vaut combien environ ce genre solution ?
Mais ca m'etonnerais que ca rentre dans le budget

Tu as fait gaffe à la carte réseau utilisée ?
 
J'avais un projet dans le même genre l'année dernière et j'ai fait des benchs de carte réseau...toutes ne font pas le débit annoncé.

 
Quel est ton budget ?

[url]

 
   
 
 
de plus suivant les modèles et surtout suivant les marques, le tx d'occupation CPU varie enormement.
 

Je remonte le topic parce que j'ai reussi à avoir du materiel de test qui supporte reellement du gigabit.
 
J'ai à nouveau fait des tests avec iperf, le firewall (xeon 2.8) supporte sans probleme le traffic généré par iperf, j'arrive à le saturer en augmentant le nombre de règles.
 
Pour la différence de perf entre le noyau 2.4 et 2.6 :  
- en 2.4.26 il sature aux environs de 300 règles
- en 2.6.6 aux environs de 600 règles !
 
Bon, faut savoir que les règles sont générées par un scipt, et que toute les règles sont traversés à chaque fois, donc ca ne represente par une configuration réelle.
 
Si vous avez des suggestions pour bencher tout ça plus efficacement je suis preneur

tu peux aussi generer du traffic avec une commande sous linux mais je ne me rappel plus son nom
 
ce qu'il faut c'est principalement tester le nombre de connexion tcp max plutot que le debit, un pauvre serveur qui a des milliers de connexions en meme temps peut aussi ramer, d'ou l'interet du 2.6 car le shudeler a ete refait et marche franchement mieux.