Hardware brannmur, hvilken er best?

[ARJ]

Personlig er jeg en fan av Smoothwall og en gammel PC som du kan fylle opp med nettverkskort.. Om man har noe gammel skral så slipper du unna uten å betale en krone for en skikkelig god brannmur som trolig vil dekke alle behov..

 

Alt avhenger av hva linje og bruk du har. 

Har ikke rota for mye med smoothwall men. 

PF er forsåvidt greit nok det, men krever endel kunnskap og har en tendens til å by på problemer over tid så fører det til at du må dulle endel med brannmur.. 

Gammel pc var kanskje ideelt i den tiden folk ikke hadde raske linjer, men når du kjører hard throughput på det så krever det faktisk endel av hw også. 

[siDDis]

PF har ikke problemer over tid, kan du PF så trenger du ikke å tukle med det på flere år.

[stigfjel]

PF har ikke problemer over tid, kan du PF så trenger du ikke å tukle med det på flere år.

Vel, jeg husker jo den gangen OpenBSD gjorde større endringer på PF sin syntaks fra den ene versjonen til den neste. Plutselig måtte man oppdatere regelsettet fra gammel til ny syntaks. Jeg kjørte en ren OpenBSD brannmur hvor jeg redigerte pf.conf direkte, så det måtte litt arbeid til.

[ARJ]

PF har ikke problemer over tid, kan du PF så trenger du ikke å tukle med det på flere år.

 

Ikke.. vi har et serversenter her som har kjørt fra begynnelsen på noen vlan med pf. 

Dette kjører bare endel trafikk og vi sliter kraftig. Det er en grunn til at vi har gått over til palo for å si det sånn og det er ikke fordi vi er fornøyde med pf. 

Mye av problemene oppstod etter at vi oppgraderte linjene til 1000 mbit+ 

De klarer rett å slett ikke svelge unna trafikken. 

Sliter også med at pf ikke tåler alle tcp sesjonene som går gjennom, 

Nå er det ikke verdens best hw sett med dagens øyne for disse er en 5-6 år gamle, men vi har mye problemer med dem. 

Snart er alle lagt over så blir vi kvitt dem. 

[stigfjel]

På jobben har vi også brukt PF-baserte brannmurer. Men disse har det vært en del trøbbel med. F.eks. er PF single-threaded, så når trafikken blir høy nok blir det problemer. Så pr nå er PF-baserte brannmurer på vei ut.

[Gjest medlem-329093]

Ok sk0yern    Hvilken som helst asus router? Eller lager de bare en?

[ARJ]

Vil du ha det nyeste og beste så kjøper du asus rt-ac88u (4000.-) 

Den gamle modellen er også bra.. Asus RT-AC87u (ca 2000.-)

 

Evt så kan du kjøpe Asus RT-AC68U som er en litt billigere modell, men god den også. 

[siDDis]

 

PF har ikke problemer over tid, kan du PF så trenger du ikke å tukle med det på flere år.

Vel, jeg husker jo den gangen OpenBSD gjorde større endringer på PF sin syntaks fra den ene versjonen til den neste. Plutselig måtte man oppdatere regelsettet fra gammel til ny syntaks. Jeg kjørte en ren OpenBSD brannmur hvor jeg redigerte pf.conf direkte, så det måtte litt arbeid til.

 

 

Det er mange år sida, og det var sikkert med god grunn at den blei endra då. Det er ingen planer om å endre den i framtida. PF er også multithreaded idag, både på FreeBSD og OpenBSD. Men ja, ein hardware brannmur er nok enklare for større mengder trafikk.

[sk0yern]

Ok sk0yern    Hvilken som helst asus router? Eller lager de bare en?

Jeg tror du vil klare deg helt fint med Asus RT-AC68U: http://www.prisjakt.no/product.php?p=2037634

[sk0yern]

Mye av problemene oppstod etter at vi oppgraderte linjene til 1000 mbit+ 

De klarer rett å slett ikke svelge unna trafikken. 

Sliter også med at pf ikke tåler alle tcp sesjonene som går gjennom, 

Nå er det ikke verdens best hw sett med dagens øyne for disse er en 5-6 år gamle, men vi har mye problemer med dem.

Kommer ikke klart frem hva slags hw det var snakk om, men erfaringmessig er det spesielt viktig med hva slags nettverkskort du har i firewallen.

Intel-kort slår sjelden feil

[ARJ]

 

Mye av problemene oppstod etter at vi oppgraderte linjene til 1000 mbit+ 

De klarer rett å slett ikke svelge unna trafikken. 

Sliter også med at pf ikke tåler alle tcp sesjonene som går gjennom, 

Nå er det ikke verdens best hw sett med dagens øyne for disse er en 5-6 år gamle, men vi har mye problemer med dem.

Kommer ikke klart frem hva slags hw det var snakk om, men erfaringmessig er det spesielt viktig med hva slags nettverkskort du har i firewallen.

Intel-kort slår sjelden feil

 

 

Vi er nettverksteknikere alle her så er ikke hw feil  eller dårlig som er issuet her..

Tror det meste som står her er hp servere. 

[siDDis]

Intel får ufortjent mykje skryt for nettverkskorta. Dei er ikkje dårlige, men det finnes fleire andre gode og i nokre tilfeller betre produsentar.

[kpolberg]

Hvis vi snakker om VPN throughput så er wrt1200/1900ac i en annen liga i forhold til pris(da med openwrt) kommer etter en assembly oppdatering av arm koden i openssl hvis jeg ikke husker feil.

 

Eller så er jo hvilken som helst x86 med aes instruksjonssett rimelig potente saker.

[stigfjel]

Hvis vi snakker om VPN throughput så er wrt1200/1900ac i en annen liga i forhold til pris(da med openwrt) kommer etter en assembly oppdatering av arm koden i openssl hvis jeg ikke husker feil.

 

Eller så er jo hvilken som helst x86 med aes instruksjonssett rimelig potente saker.

Hva slags ytelse snakker vi om da?

[kpolberg]

Fikk kun testet over 100mbit med 2 ms latency. Det gikk full fres mellom wrt1900ac og virtuell pfsense med i5 2500K.