Concreto FW

celtita celtita en bonbon.net
Jue Ene 6 18:00:10 CLST 2005 



>> Propongo realizar un set de pruebas para medir prácticamente PF,
>> Iptables, IPFW y mostrar sus resultados en la forma más imparcial
>> posible.

>No hay gente que lo ha hecho? Para no repetirse el plato, digo...

pero seria una vision netamente local y ajustada a nuestra realidad y no
esta demas realizar mas test, capaz que nos encontremos con alguna
sorpresa.

>Por lo demas, sospecho que es mucho mas importante el
taman~o/complejidad
>del archivo de reglas para una situacion dada que "rendimiento" (ya
dije el
>escualido tarrito que usamos por aca...)

por eso, proponer distintas configuraciones de FW, ya sea con 10 reglas
o con 1000 para ver los resultados.


>> y preparamos un paquete de pruebas de stress de reglas, clientes,
>> manejo de ancho de banda, NAT, etc. Propongan.

>Proponer a lo ancho no tiene sentido. Mejor IMHO comparar conjuntos de
>reglas para situaciones tipicas:

- Un tarro que hace de puerta a Internet de una red privada (PAT simple
por
  una direccion dinamica) [Es lo que tengo en casa, es _1_ linea con
  Netfilter]

- El tipico caso de "3 zonas": Salida a Internet, area DMZ (con
servidores
  p.ej. WWW y correo (SMTP hacia afuera y adentro, IMAP hacia adentro
  unicamente), conexiones desde "dentro" se permiten hacia afuera, pero
  nada de fuera hacia adentro (y no se permite SMTP directo hacia
afuera).

- Alguna cosa mas exotica: Port forwarding a una maquina en la red
privada
  (PAT o NAT con direcicon fija) como servidor WWW.

- Varias zonas, con reglas de que esta permitido entre zonas y que no
(como
  p.ej. area de profes/staff vs laboratorios vs servidores, profes salen
  sin restriccion (salvo no SMTP directo), no se permiten mas que
  conexiones salientes; Labs no pueden entrar a profes (y no SMTP
directo
  hacia afuera) el area de servidores conectada a Internet via un 2o
tarro,
  que para el ejercicio no cuenta). Para mayor jolgorio area de Labs con
  direcciones privadas y NAT de salida a traves de 8 IPs.


--

Aquí hay una propuesta mas concreta, alguien tiene observaciones a esto
?


>> Yo Ofrezco un enlace y un tarrito, el enlace es de 256 (es del bueno,
>> nada de adsl y cosas asincrónicas raras) y el tarrito es un Pentium 3
de
>> 400 con 128 RAM y un HDD MAxtor de 1.2GB

>Hummmm... alli no veras diferencias en rendimiento (salvo que tengas
>cientos de miles de reglas).

Es lo que tengo humildemente, pero si sirve para algo ahí esta.



celtita

Más información sobre la lista de distribución BSD