mcbarlo 61 Zgłoś post Napisano Październik 8, 2011 Obecnie mam do jednego z serwerow zrobionego zewnetrznego firewalla na Mikrotiku 450G. Serwer generuje "kosmiczny" ruch na poziome kilku Mbit/s. Na firewallu mam kilkanascie regul, ktore w gruncie rzeczy sa dosc proste typu filtrowanie portow oraz dodawanie atakujacych adresow do tymczasowej block-listy. Dopoki ataki byly male i raczej niegrozne to wszystko ladnie lapal, ale kiedy cos wiekszego w niego uderzylo no to CPU na 100% i wszystko zdechlo. Wiem, ze RB 450G to nie jest demon predkosci, ale znowu szczegolnie powolny tez nie jest. Mialem w rekach RB 1200 i tam niestety wydajnosciowo szalu nie bylo. Kilkaset sesji PPPoE go zaginalo spokojnie (na RB 450G okolo 200 dzialalo jeszcze ok). Wiem, ze moglbym wsadzic karte CF z RouterOS-em do jakiegos serwera. Tylko zastanawiam sie czy kiepska wydajnosc to aby nie jest bardziej problem programowy niz sprzetowy? W zwiazku z powyzszym zastanawiam sie nad zupelnie nowym rozwiazaniem. Wiem, ze Cisco ASA byloby super, ale wartoscia przewyzszaloby serwer, ktory chroni. No i jeszcze trzeba je umiec ustawic ewentualnie komus za to zaplacic (czego oczywiscie nie wykluczam). Moze jednak jest jakies inne wyjscie? Dosc interesujaco przedstawia sie Vyatta. Co o niej sadzicie? Moze znacie tez inne lepsze rozwiazania programowe lub sprzetowe? Dodam, ze nie chcialbym wydawac majatku na tego firewalla, ale za to mam wolne serwery do ktorych moge wrzucic jakies oprogramowanie do tego celu. Udostępnij ten post Link to postu Udostępnij na innych stronach
kafi 2425 Zgłoś post Napisano Październik 8, 2011 (edytowany) Tylko zastanawiam sie czy kiepska wydajnosc to aby nie jest bardziej problem programowy niz sprzetowy? Chyba raczej sprzętowy. Inwestując w coś z 1)porządnymi sieciówkami 2)porządnozegarowym procusiem (bardziej zegar niż ilość rdzeni) 3)porządną mobo nie wykładającą się na irq powinno ci to w miarę sprawnie działać i na mikrotiku. Z resztą przecież możesz na 24h licencji sobie to potestować Edytowano Październik 8, 2011 przez kafi (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
mcbarlo 61 Zgłoś post Napisano Październik 8, 2011 Chyba raczej sprzętowy. Inwestując w coś z 1)porządnymi sieciówkami 2)porządnozegarowym procusiem (bardziej zegar niż ilość rdzeni) 3)porządną mobo nie wykładającą się na irq powinno ci to w miarę sprawnie działać i na mikrotiku. Z resztą przecież możesz na 24h licencji sobie to potestować Ano moge. Ze tez czlowiek na najprostrze rozwiazanie nie moze samemu wpasc. Mam IBM-a x326 (wiem, wiem antyk) z 2x Opteronami 2.8Ghz i dwiema sieciowkami Gbit chyba Broadcoma o ile dobrze pamietam. Mikrotik sprawnie obsluguje systemu wieloprocesorowe, bo kiedys mialem koncentrator PPPoE na Athlonie 64 x2 i smigalo pieknie. Tylko dziwne jest dla mnie to ograniczenie ilosci pamieci do 1.5GB. Choc w przypadku firewalla to nie powinno miec znaczenia. No dobra, to narazie pozostaje mocny sprzet pod MT, ale moze jednak jeszcze jakas inna propozycja padnie? Udostępnij ten post Link to postu Udostępnij na innych stronach
