Welche Voraussetzungen für einen Firewall-Rechner?

Internet Internet Sicherheit
#1

Hallo zusammen

In meiner Freizeit helfe ich seit einiger Zeit im Team einer LAN-Party-Organisation (genauer sLANp: http://www.slanp.ch) mit. Wir organisieren normalerweise etwa zwei Mal pro Jahr eine LAN-Party für 400 Gamer.

Jetzt hat es sich ergeben, dass ich die Nachfolge des Firewall-Betreuers übernehmen möchte, da der bisherige Firewall-Spezi aus dem Team aussteigt. Mit ihm fällt auch die Möglichkeit weg, die bisherige Sun-Maschine zu verwenden. Somit müssen wir ohnehin eine neue Maschine dafür einrichten.

Meine Frage wäre nun: Könnt Ihr mir Tips geben, was für Voraussetzungen (CPU, RAM…) ein Rechner haben sollte, um an so einer LAN-Party mit 400 bis 450 Leuten als Firewall eingesetzt zu werden? Vorgesehen wäre, ein schlankes Linux mit IPTables einzurichten.

CU
Peter

#2

Hi,

Meine Frage wäre nun: Könnt Ihr mir Tips geben, was für
Voraussetzungen (CPU, RAM…) ein Rechner haben sollte, um an
so einer LAN-Party mit 400 bis 450 Leuten als Firewall
eingesetzt zu werden? Vorgesehen wäre, ein schlankes Linux mit
IPTables einzurichten.

die Anforderungen hängen u.a. wesentlich von der Komplexität der Regeln ab. So grob würde ich sagen, nimm den billigsten aktuellen Rechner, den Du kriegen kannst, pack nen extra Riegel RAM rein und spendier ihm zwei (oder drei, vier, x…) hochwertige Netzwerkkarten.

Ich hab sowas mal für > 1000 Personen-LAN Party gemacht (einfaches Setup, User dürfen ein bischen was, Orga darf ein bischen mehr, Gameserver wurden nicht mit abgesichert) und eine o.g. Kiste benutzt, die dann unter FreeBSD fröhlich vor sich hin geidlet hat.

Gruß,

Malte

#3

Hallo,
vielleicht eine blöde Frage: wozu braucht Ihr denn eine Firewall? Hängen die 400 Rechner gemeinsam am Internet? Ich dachte, die spielen nur untereinander und haben während des Spiels gar keine Internetverbindung?
Gruß
Axel

#4

Hallo Axel

vielleicht eine blöde Frage: wozu braucht Ihr denn eine
Firewall? Hängen die 400 Rechner gemeinsam am Internet? Ich
dachte, die spielen nur untereinander und haben während des
Spiels gar keine Internetverbindung?

Gespielt wird im LAN. Aber wir stellen jeweils eine Internet-Verbindung für Mails, ICQ, Messenger etc. bereit. Andererseits sperren wir jeweils die Ports, die standardmässig für Filesharing verwendet werden.

CU
Peter

#5

Hallo Malte

die Anforderungen hängen u.a. wesentlich von der Komplexität
der Regeln ab. So grob würde ich sagen, nimm den billigsten
aktuellen Rechner, den Du kriegen kannst, pack nen extra
Riegel RAM rein und spendier ihm zwei (oder drei, vier, x…)
hochwertige Netzwerkkarten.

Würde Deiner Meinung nach ein Rechner mit z.B. P-II 600MHz reichen? RAM würde ich wohl schauen, dass so 1GB drin wäre.

CU
Peter

#6

Hallo Malte

die Anforderungen hängen u.a. wesentlich von der Komplexität
der Regeln ab. So grob würde ich sagen, nimm den billigsten
aktuellen Rechner, den Du kriegen kannst, pack nen extra
Riegel RAM rein und spendier ihm zwei (oder drei, vier, x…)
hochwertige Netzwerkkarten.

Würde Deiner Meinung nach ein Rechner mit z.B. P-II 600MHz
reichen? RAM würde ich wohl schauen, dass so 1GB drin wäre.

Wenn ihr nur pauschal ein paar Dienste freigebt und den Rest verbietet, also kein allzu komplexes Regelwerk benutzt: Ja, ich denke, das reicht.

Gruß,

Malte

#7

Hallo,

Gespielt wird im LAN. Aber wir stellen jeweils eine
Internet-Verbindung für Mails, ICQ, Messenger etc. bereit.
Andererseits sperren wir jeweils die Ports, die standardmässig
für Filesharing verwendet werden.

Da ich nicht davon ausgehe, daß ihr an einem eigenen Backbone hängt: für DSL sollte alles reichen, was PC heißt, Platz für 2Netzwerkkarten hat und nicht älter ist als 4 Jahre.
Gruß
Axel

#8

ihr könnt doch auch einfach nen router mit fw dazwischen schalten… haben eh viele zuhause und da kann man auch ganz einfach gewünschte ports sperren bzw. freigeben! mfg

#9

Hallo,

Würde Deiner Meinung nach ein Rechner mit z.B. P-II 600MHz
reichen? RAM würde ich wohl schauen, dass so 1GB drin wäre.

Wenn ihr nur pauschal ein paar Dienste freigebt und den Rest
verbietet, also kein allzu komplexes Regelwerk benutzt: Ja,
ich denke, das reicht.

kommt doch auch darauf an, was für eine Internet-Verbindung abgesichert werden soll. Wenn es ne popelige DSL-Leitung ist, reicht das doch alle mal oder täusche ich mich da ?
Wenn es jetzt ne Highspeed-Verbindung ist, sollte man nochmal drüber nachdenken.

Aber ansonsten gebe ich Malte recht, solange nicht viel läuft wie VPN und komplexe Regeln, ist der PC eigentlich kaum belastet.

Gruß
AgentJ

#10

Hallo,

Würde Deiner Meinung nach ein Rechner mit z.B. P-II 600MHz
reichen? RAM würde ich wohl schauen, dass so 1GB drin wäre.

Wenn ihr nur pauschal ein paar Dienste freigebt und den Rest
verbietet, also kein allzu komplexes Regelwerk benutzt: Ja,
ich denke, das reicht.

kommt doch auch darauf an, was für eine Internet-Verbindung
abgesichert werden soll. Wenn es ne popelige DSL-Leitung ist,
reicht das doch alle mal oder täusche ich mich da ?
Wenn es jetzt ne Highspeed-Verbindung ist, sollte man nochmal
drüber nachdenken.

Ich denke, das ist zweitrangig. Viel entscheidender als die Bandbreite ist die Anzahl der gleichzeitigen Verbindungen, und die ändert sich kaum mit der Bandbreite. Die Hauptlast wird ja durch den Durchlauf durch das Regelset erzeugt, also die Frage „Darf der oder nicht?“, wenn die Entscheidung einmal gefallen ist, flutscht es.

Aber ansonsten gebe ich Malte recht, solange nicht viel läuft
wie VPN und komplexe Regeln, ist der PC eigentlich kaum
belastet.

Das meiste dürften die Netzwerkkarten zu tun bekommen, deshalb hier auf Qualität achten.

Gruß,

Malte

#11

Hallo nochmal,

Das meiste dürften die Netzwerkkarten zu tun bekommen, deshalb
hier auf Qualität achten.

Welche Netzwerkkarten laufen denn gut unter Linux ?
Unter Linux fehlt mir da die Erfahrung.

Gruss
AgentJ

#12

Hi,

Das meiste dürften die Netzwerkkarten zu tun bekommen, deshalb
hier auf Qualität achten.

Welche Netzwerkkarten laufen denn gut unter Linux ?
Unter Linux fehlt mir da die Erfahrung.

mit Linux fehlt mir da auch Erfahrung, aber wenn ich von meinen Erfahrungen unter FreeBSD ausgehe und das berücksichtige, was die Linuxer hier im Forum immer mal wieder schreiben, dann ist man mit 3com oder Intel ziemlich gut bedient.

Ich persönlich favorisiere 3com, u.a weil wir auf eben jener 1111-Leute-LAN mit Intel Karten (allerdings auf den Windows-Clients) ziemliche Probleme im internen Netzwerk hatten.

Gruß,

Malte

#13

IPCop - Linux Firewall Distribution

Ich empfehle den Linux IPCop der läuft auch auf dem ältesten Trümmer und ist zuverlässig.

Der IPCop: http://www.IPCop.org/
Deutsches Supportforum: http://www.ipcop-forum.de/

Systemanforderungen:
Pentum 1 oder vergleichbar; 32MB RAM und 250MB Festplatte

Theoretisch läuft theoretisch auch auf einem 486er aber da ist die Instalation unter Umständen etwas problematisch.

Gruss Stefan

#14

Hi,

[Paketfilter mit netfilter].

Würde Deiner Meinung nach ein Rechner mit z.B. P-II 600MHz
reichen? RAM würde ich wohl schauen, dass so 1GB drin wäre.

Was soll der machen? Bei dem Geraet wuerde ich eher ueber eine dazu passende, hinreichend grosse und schnelle Festplatte nachdenken, damit es fleissig netflows sammeln kann.

Man kann natuerlich auch netfilter langsam machen, aber bei routing zwischen zwei Netzwerken muss man da schon maechtig Klimmzuege anstellen. Das Regel-matching braucht ein wenig Performance, Faustregel sollte sein, dass ein Paket, welches nach 12 hops noch keine final target erreicht hat, baeh ist.

Gruss vom Frank.

#15

Hallo Stefan

Ich empfehle den Linux IPCop der läuft auch auf dem ältesten
Trümmer und ist zuverlässig.

Der derzeitige Firewall-Verantwortliche plant, so zum Abschluss etwas mit IPTables und Shorewall aufzuziehen. Sofern das klappt, könnte ich das übernehmen. Ich müsste halt eine eigene Maschine dafür bereitstellen, denn die Sun-Rechner, die er mitbrachte, stehen nicht mehr zur Verfügung. Und auch der Intel-Mac (Entwickler-Maschine), auf der es für die sLANp XII, die jetzt im November stattfindet, eingerichtet wird, ist nachher mit diesem Mensch weg.

Der IPCop: http://www.IPCop.org/
Deutsches Supportforum: http://www.ipcop-forum.de/

Schau ich mir auf jeden Fall an.

CU
Peter

#16

Hallo Frank

[Paketfilter mit netfilter].

Würde Deiner Meinung nach ein Rechner mit z.B. P-II 600MHz
reichen? RAM würde ich wohl schauen, dass so 1GB drin wäre.

Was soll der machen? Bei dem Geraet wuerde ich eher ueber
eine dazu passende, hinreichend grosse und schnelle Festplatte
nachdenken, damit es fleissig netflows sammeln kann.

Was würdest Du demnach für CPU, RAM und Festplatte konkret vorschlagen?

CU
Peter

#17

[Paketfilter mit netfilter].

Was würdest Du demnach für CPU, RAM und Festplatte konkret
vorschlagen?

Na, nur fuer einen Paketfilter sollte von irgendwas um die 200 bis 300MHz auch reichen, vom RAM tut’s die Haelfte auch, gibt ja kaum IO, die das Ding cachen koennte. Bei den Netzwerkkarten solltest Du nicht geizen, da kann’s nach intern ruhig was gutes sein, extern kriegst Du eh nicht voll.

Wenn Du aber netflows sammeln willst, das Ding vielleicht noch transparenter Proxy sein soll, ist Dein Vorschlag mit 600MHz und 1BG RAM eher der Einstieg. Der sollte bei 400 Leuten aber auch noch ganz gut gehen. Fuer die Platte sollte es die schnellste sein, die Du so rumliegen hast. Steck einfach ein paar davon in einen Rechner und lass ein bonnie++ drauf laufen.

Fuer etwa 2000 Leute (die in zwei Tagen 400GB Traffic gemacht haben) hatten wir mal einen Athlon XP 2200+ mit 512MB RAM und 60GB, der war router/Paketfilter, Proxy, DHCP- und HTTP/FTP-Server und hat nebenbei noch was fuer die Statistik getan. Der war ziemlich gut bemessen, heisst, er war permanent unter Last. Allerdings hat der auch GBit-Netze geroutet.

HTH,
Gruss vom Frank.

#18

ihr könnt doch auch einfach nen router mit fw dazwischen
schalten…

Ja, und damit ist die Performance kaputt.

haben eh viele zuhause und da kann man auch ganz
einfach gewünschte ports sperren bzw. freigeben! mfg

Bei den in diesem Bereich üblichen Kisten ist das eher nicht möglich (oder nur zwischen WAN und LAN-Interface)

Sebastian

#19

Hallo,

Das meiste dürften die Netzwerkkarten zu tun bekommen, deshalb
hier auf Qualität achten.

Welche Netzwerkkarten laufen denn gut unter Linux ?
Unter Linux fehlt mir da die Erfahrung.

mit Linux fehlt mir da auch Erfahrung, aber wenn ich von
meinen Erfahrungen unter FreeBSD ausgehe und das
berücksichtige, was die Linuxer hier im Forum immer mal wieder
schreiben, dann ist man mit 3com oder Intel ziemlich gut
bedient.

Ja.

Ich persönlich favorisiere 3com, u.a weil wir auf eben jener
1111-Leute-LAN mit Intel Karten (allerdings auf den
Windows-Clients) ziemliche Probleme im internen Netzwerk
hatten.

Ich hatte auch noch keine probleme mit Intel, bei GBit würde ich Intel bevorzugen, bei 100 Mbit vielleicht eher 3com. Aber letzeres sind eher Nuancen.

HTH,

Sebastian

Gruß,

Malte

#20

Hallo,

die Anforderungen hängen u.a. wesentlich von der Komplexität
der Regeln ab.

Ja, in der Tat …

Würde Deiner Meinung nach ein Rechner mit z.B. P-II 600MHz
reichen? RAM würde ich wohl schauen, dass so 1GB drin wäre.

Das klingt für einen Filter ersteinmal sehr, sehr üppig.

Was für einen Sun-Rechner hattet ihr denn so und wie sehr war der mit Euren Regeln ausgelastet?

Gruß,

Sebastian