Firewall auf einer Bridge mit wechelnden Interfaces

minimike

minimike

Berufsrevolutionär
Hi

Der Name des Threads ist Programm. Ich will eine Firewall auf einer Bridge mit wechelnden Interfaces aufsetzen. Gibt es da einen guten Lösungsansatz hierfür?
Ich will Jails mit Vimage betreiben. Auf meiner Workstation mit FreeBSD 8.1 läuft das ganz gut. Ich dachte daran an 150 Jails an einer Bridge oder mehrere Bridges mit max 50 epair devices also max 50 Jails pro Netzwerkkarte. Bei "ifconfig epair(NUMMER) create" enstehen je zwei epair devices. Eine für den Host, die andere zum Jail. Nun habe ich 3 Nic's die am selben Switch im Rechenzentrum hängen werden. Was ist sinnvoller? Die 3 Nics in einer Bridge zusammenfassen und dann die 150 Jails daran hängen? Oder 3 Bridges mit je einer NIC und dann 50 Jails pro Bridge? Ich möchte vermeiden das eine Nic stets der Flaschenhals ist und die beiden anderen Nics sich dann langweilen. Kurz der Traffic der 150 Jails sollte stets bestmöglich auf die 3 Nic's verteilt werden. Die Firewall sollte den Host vor den Jails schützen. ein Jail soll nicht direkt mit einem anderen Jail komunizieren können. Und ich will Filesharing sowie IRC als Service nicht in meinem Netz haben. Die Betreiber der Jails können dann PF in ihrem ersten Jail nutzen.
Was ich halt nicht so ganz verstehe ist wie ich das mit der Firewall machen kann. Weil die epair devices kommen ja stets auf demand. Ich kann also nur auf der Bridge selber ansetzen.

Das schöne an Jails mit Vimage ist das jedes Jail ein localhost hat, eine im Jail konfigurierbare Nic, sowie man im Jail aus PF nutzen kann. Habe ich selber wenig Kunden kann ich Jails vermieten bis die Flaute vorbei ist.
 
hi
also du brauchtst eine trunk und nicht eine bridge ......
desweiteren solltest du euberlegen ob du nicht lieben zum vermieten einen voll virtualaisier
nimmst wie xen oder kvm .

im uebrigen ist die pf in freebsd schon lange nicht mehr uptodate ( stand von vor ca 5-6 jahren ).

holger


holger
 
wenn lich schon lese "will ported to openbsd 4.5"
gerade zwischen 4.5 und 4.7 hat es signifikante aenderungen gegeben
die massiven einfluss auf die performance haben,
und dann "how deal with newer pf versions "
wurde ich sagen , aktuell , garnicht ........ weil viel zeug im hardware layer laeuft und angepasst wurde .......... so das henning soviel perfomance rausholen konnte.

wnn man eine perfomante firewall will sollte man openbsd nehmen und nix anderes.

holger
 
du verbreitest hier ziemlich viel FUD... redest ohne richtig ahnung zu haben... schreibfehler, zitatfehler... klassischer troll?
 
Ich kann zu OpenBSD und seiner aktuellen pf Version nichts sagen. Nur unter FreeBSD sieht es derzeit so aus: IPFW mit Dummynet ist FreeBSDs native Lösung, anstelle von Dummynet kann auch ALTQ genutzt werden. pf hingegen ist lediglich portierte Software, die ihren zweck erfüllt, aber nicht sehr gut mit dem restlichen System integriert. Das äußert sich vor allem in

- der Geschwindigkeit. pf unter FreeBSD ist wesentlich langsamer als IPFW. Kann letztere auf entsprechenden CPUs problemlos mehrere 10GBit/s Links parallel filtern, schafft pf meist nicht mal einen.

- pf und Netzgraph geht praktisch nicht.

- pf und FIBs sind so eine Sache.

Davon einmal abgesehen ist pf ein sehr guter Paketfilter mit einem leicht verständlichen und vor allem eingängigen Syntax. IPFW ist dagegen Voodoo und verlangt wesentlich mehr Einarbeitungszeit. Es würde wahrscheinlich auch nicht viel bringen, wenn man nun ein noch aktuelleres pf portiert. Zumindest vom Geschwindkeitsstandpunkt her nicht. Wie oenone sagte, ist pf unter FreeBSD heute schon praktisch ein Fork und durch die Integration der Virtualisierungstechnik wird der Code sich noch weiter von OpenBSD entfernen. Wer hohe Geschwindkeit will, muss aber noch mindestens zwei Dinge mehr machen:
- Eine saubere Integration in den FreeBSD-Netzwerkstack und nicht einfach oben aufsetzen.
- Sauberes FreeBSD SMP-Locking.
Und wie in den Folien steht, das Locking kommt nur, wenn sich jemand freiwilliges findet. Und das würde mich doch sehr überraschen... Vor allem, es kommt irgendwann der Punkt, wo man sich so weit voneinander entfernt, dass man die ganze Geschichte gleich reimplementieren könnte. Wobei wir wieder bei IPFW sind. :)
 
Also wenn ich 10 mal mehr FreeBSD Systeme mit Jails am Start bekomme wie mit XEN dann ist ja wohl klar was kommerziell interessanter ist. Vor allem wenn man nur FreeBSD und Debian KfreeBSD betreiben will. Oracle hat XEN aus Solaris entfernt. NetBSD kann zwar XEN aber nicht ZFS stabiel und zuverlässig.

Also ihr meint IPFW hat mehr Zukunft wie PF?
 
Das ist schwer zu sagen. Ich glaube, dass es in 10 Jahren sowohl IPFW als auch pf noch geben wird. Aber unter FreeBSD war eigentlich immer IPFW die bessere Wahl, wenn man mehr als einen DSL-Anschluss durchfiltern will. Und ich denke nicht, dass sich daran in den nächsten Jahren was ändern wird. Eher im Gegenteil, da IPFW auch von außerhalb des FreeBSD-Projekts jede Menge Förderung bekommt...

Aber um mal zur Frage zurückzukommen. Ich würde die epairs in eine Bridge klatschen. Ob nun eine oder drei ist eigentlich ziemlich egal. Dann über die Bridge filtern. Aber das ist mehr vom Gefühl her denn vom Wissen, denn ich hatte ein ähnliches Problem noch nicht. Ich habe bisher auch nicht viel mit vnet gemacht, ich wollte noch warten.
 
Könnt ihr mir vielleicht ein gutes Buch über IPFW empfehlen?

Bei O'Reilly habe ich nur eines aus dem Jahr 2001 gefunden.

Bei IPFW kann ich ja erst mal alles verbieten und dann mit weiteren Regeln etwas erlauben?
 
Zuletzt bearbeitet:
minimike schrieb:
Könnt ihr mir vielleicht ein gutes Buch über IPFW empfehlen?

Bei O'Reilly habe ich nur eines aus dem Jahr 2001 gefunden.

Bei IPFW kann ich ja erst mal alles verbieten und dann mit weiteren Regeln etwas erlauben?
Zum Vergrößern anklicken....

Gerade bei der IPFW gefällt mir die Manpage sehr gut. Also zumindest deutlich besser als das Zusammengesuche bei pf, pf.conf, pfctl...!

Ich habe einen Wechsel von PF auf IPFW gemacht ohne ein Buch, nur mit der Manpage. Und wenn selbst ich das schaffe... ;-)

Nichts desto trotz, gibt es da einen (Buch-)Geheimtipp?

Grüße
 
Es gibt meines Wissens kein aktuelles Buch zu IPFW. Die wenigen, die es gibt, sind uralt und restlos überholt.
 
oenone schrieb:
du verbreitest hier ziemlich viel FUD... redest ohne richtig ahnung zu haben... schreibfehler, zitatfehler... klassischer troll?
Zum Vergrößern anklicken....

nein nur jemand der den mann hinter pf und openBGPD persoenlich kennen
lernen durfte und mit diesem einen consulting vertrag abeschlossen hat.

nebenbei arbeitet ich sein 10 jahren mit openbsd und freebsd gerade im geclusterten umfeld.

meine tippfehler sind daher geschuldet das solche leute wie du was zum
herziehen haben .

@yamagi was meinst du mit "mehreren dsl anschluessen durchfiltern "

also mehre anschuesse mit verschiedenen gw addressen geht recht gut mit openbsd ,
sogar HA maessig.


holger
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben