LINUX.ORG.RU

LEAF-Bering uClibc: межсетевой экран средствами Linux


0

0

Создать межсетевой экран и маршрутизатор, обладающий превосходной гибкостью и функциональностью, на базе безбожно устаревшего компьютера - возможно ли такое? Да, и поможет в этом Linux. Насколько производительность брандмауэра/ маршрутизатора под Linux лучше или хуже аппаратных решений? Предлагаем подробный обзор бесплатного ПО LEAF-Bering uClibc, а также тестирование.

>>> Подробности



Проверено: l-xoid ()

Если бы они не забросили glibc... А так- херово, да и с затыканием дыр там просто беда..

anonymous
()

Весьма интересный проект. Для ленивых.

>Мы устанавливали LEAF-Bering uClibc 2.1.1 на две разные системы: старый ПК Dell PII 500 со 128 Мбайт RAM, интегрированным сетевым адаптером 100BaseTX, и двумя адаптерами PCI 100BaseTX; ещё более старый Compaq P100 с 56 Мбайт RAM, двумя адаптерами PCI 100BaseTX и одним адаптером ISA 10BaseT.

Интересно, а как насчёт сравнения производительности? Интуитивно понимаю что разницы в скорости не будет, а как было на самом деле?

alman ★★★
()
Ответ на: комментарий от alman

<cut>старый ПК Dell PII 500 со 128 Мбайт RAM</cut>

мдя и для fw это "старый" буржуи сафсем зажрались нахЪ

Sadistt0
()
Ответ на: комментарий от alman

На второй странице написано пропускная способность для обоих систем

anonymous
()

:) не понимаю зачем? система основывается на Netfilter :) имхо удобней собрать обрезок Linux с минимум пакетов :) и рулить свой файрвол через iptables :) Имхо) обычный гуй к iptables для ленивых :)

anonymous
()
Ответ на: комментарий от anonymous

>имхо удобней собрать обрезок Linux с минимум пакетов :) и рулить свой файрвол через iptables :)

Мил человек, сходите на netfilter.org и leaf-project.org Почитайте, может измените своё ошибочное мнение.

lokhin
()

Говоря об этой штуке, хочется отметить, что они её ещё и роутером обзывают, напирая на более высокую пропускную способность, нежели обычный комп. А если так, то никто из интересовавшихся не подскажет как у Linux дела с device polling обстоят, вроде в linux он netpoll обзывается? Где найти список поддерживаемых сетевух, более или менее внятное руководство на тему как включить и как убедится, что работает?

atrus ★★★★★
()
Ответ на: комментарий от atrus

сатью не читал , но уверен что этот роутер как и любой другой pc просто не справится с большим траффиком . а циски на то и циски ,что напичканы всякими asic и т.д.

anonymous
()
Ответ на: комментарий от atrus

>как у Linux дела с device polling обстоят, вроде в linux он netpoll обзывается?

http://www.uwsg.iu.edu/hypermail/linux/net/0406.0/0003.html

Цитата: I measured forwarding rates of around 100kpps with a 1GHz Pentium-III system and Intel Pro100 ethernets using the latest e100-v3 device driver and a 2.4 kernel. Rates increased a little (to 102kpps in my case) with 2.6 kernels, mostly due to fastpath improvements in the networking/kernel core.

100 тысяч пакетов в секунду - это с лихвой перекрывает Cisco 36xx. Выше только 72xx-76xx

anonymous
()
Ответ на: комментарий от anonymous

в linux это называется NAPI.

$ grep NAPI linux-2.6.7/drivers/net/Kconfig 
config AMD8111E_NAPI
config ADAPTEC_STARFIRE_NAPI
config E100_NAPI
config E1000_NAPI
config IXGB_NAPI
config S2IO_NAPI

anonymous
()

http://gtf.org/lunz/linux/net/perf/

тестирование производительности драйвера e1000 с NAPI, машинка с двумя сетевушками в режиме бриджа (маршрутизации нет). dual Pentium IV Xeon 1.80 GHz

Результат: около 350 Kpps (тысяч пакетов в секунду)

anonymous
()
Ответ на: комментарий от atrus

Поищи в /usr/src/linux/drivers/net слово POLL. В Linux это часть проекта NAPI (Network API), раньше видел отдельные патчи для 3c59x, e100, e1000, tulip, realtek :). Поиск даст много результатов в 2.6.7, в 2.4.х не знаю.

saper ★★★★★
()

Спасибо всем ответившим про NAPI (это название тоже встречалось) ;-) Буду ковырять...

atrus ★★★★★
()
Ответ на: комментарий от anonymous

> тестирование производительности драйвера e1000 с NAPI, машинка с двумя сетевушками в режиме бриджа (маршрутизации нет). dual Pentium IV Xeon 1.80 GHz

Поправьте, пожалуйста, если ошибаюсь, но мне почму-то кажется, что NAPI будет работать на полную катушку на тех системах, где есть по CPU на каждую сетевушку + минимум 1 CPU для всего остального (прямо как чай).

История такая: поднимался сервачок dual PIII, 2x e100+NAPI, kernel: 2.6.7-3 из Debian. Одна сетевушка (вернее poll) села на один из процов (после чего на нём больше ничего не крутилось, только её poll), второй проц должен был обслуживать запросы с другой сетевушки + собственно говоря висящие на машине сервисы. Получается падение производительности? Или я просто что-то недопонял?

BTW: какой из драйверов в 2.6 стабильнее/быстрее: e100 (без NAPI) или eepro100 ?

lumag ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.