Concreto FW
celtita
celtita en bonbon.net
Jue Ene 6 18:00:10 CLST 2005
>> Propongo realizar un set de pruebas para medir prácticamente PF,
>> Iptables, IPFW y mostrar sus resultados en la forma más imparcial
>> posible.
>No hay gente que lo ha hecho? Para no repetirse el plato, digo...
pero seria una vision netamente local y ajustada a nuestra realidad y no
esta demas realizar mas test, capaz que nos encontremos con alguna
sorpresa.
>Por lo demas, sospecho que es mucho mas importante el
taman~o/complejidad
>del archivo de reglas para una situacion dada que "rendimiento" (ya
dije el
>escualido tarrito que usamos por aca...)
por eso, proponer distintas configuraciones de FW, ya sea con 10 reglas
o con 1000 para ver los resultados.
>> y preparamos un paquete de pruebas de stress de reglas, clientes,
>> manejo de ancho de banda, NAT, etc. Propongan.
>Proponer a lo ancho no tiene sentido. Mejor IMHO comparar conjuntos de
>reglas para situaciones tipicas:
- Un tarro que hace de puerta a Internet de una red privada (PAT simple
por
una direccion dinamica) [Es lo que tengo en casa, es _1_ linea con
Netfilter]
- El tipico caso de "3 zonas": Salida a Internet, area DMZ (con
servidores
p.ej. WWW y correo (SMTP hacia afuera y adentro, IMAP hacia adentro
unicamente), conexiones desde "dentro" se permiten hacia afuera, pero
nada de fuera hacia adentro (y no se permite SMTP directo hacia
afuera).
- Alguna cosa mas exotica: Port forwarding a una maquina en la red
privada
(PAT o NAT con direcicon fija) como servidor WWW.
- Varias zonas, con reglas de que esta permitido entre zonas y que no
(como
p.ej. area de profes/staff vs laboratorios vs servidores, profes salen
sin restriccion (salvo no SMTP directo), no se permiten mas que
conexiones salientes; Labs no pueden entrar a profes (y no SMTP
directo
hacia afuera) el area de servidores conectada a Internet via un 2o
tarro,
que para el ejercicio no cuenta). Para mayor jolgorio area de Labs con
direcciones privadas y NAT de salida a traves de 8 IPs.
--
Aquí hay una propuesta mas concreta, alguien tiene observaciones a esto
?
>> Yo Ofrezco un enlace y un tarrito, el enlace es de 256 (es del bueno,
>> nada de adsl y cosas asincrónicas raras) y el tarrito es un Pentium 3
de
>> 400 con 128 RAM y un HDD MAxtor de 1.2GB
>Hummmm... alli no veras diferencias en rendimiento (salvo que tengas
>cientos de miles de reglas).
Es lo que tengo humildemente, pero si sirve para algo ahí esta.
celtita
Más información sobre la lista de distribución BSD