Firewall u. Router trennen !

n0w4it4

Commander
Mitglied seit
07.01.2005
Beiträge
155
Renomée
1
Meine derzeitige Konfiguration sieht so aus:

Ein Server: Slackware 10.0 mit 2 NICs 1x für Lan u. 1x für ADSL
Hardware: Athlon XP 1500+ , 512MB Sdram, 300 GB IDE, 2x 3Com 100MBIT
Aufgaben: Interner Mail u. Web Server, File u. Printserver, Backup - Server, Vierenscanner,
Firewall und Router mit Traffic Shaper !

Probleme: Eigentlich keine, denn der Server funktioniert tadellos, ist stabil u. sau schnell, bis auf eine Ausnahme: DER TRAFFIC SHAPER !

Wenn ich u. z.B meine Schwester Emule am laufen haben, geht der Server extrem in die Knie.
ksoftirqd, pppd u. pptp , lasten den Server total aus: 100% CPU Load und Ram ist randvoll.
Das wird durch den Trafficshaper verursacht. Ich hab keine Lust den Server aufzumotzen, denn der läuft eigentlich so gut, dass ich das nicht ändern möchte.

Ich habe mir überlegt die Firewall (den Paketfilter) auszulagern und zwar auf einen Athlon 800 mit 256 MB Ram, ebenfalls 2 Nics : 1x für DSL u. 1x direkte Verbindung per Crosskabel auf den derzeitigen Server ! Der derzeitige Server soll "routen" und den Trafficshaper beibehalten, aber nicht filtern. Auf die neue "Firewall" soll dann noch zusätzlich snort draufkommen. Am Server eventuell ein Proxy.

Ist das ohne weiters Möglich, das so aufzutrennen. Funktioniert das so wenn ich z.B folgende Paketfolge habe:

Internet => PPP0 ip 172.17.x.x => per MASQUERADING auf Firewall routet auf derzeitigen Server mit ip 123.90.x.x => derzeitiger Server verteilt pakete mit NAT auf lan mit ip 192.168.x.x.

Ist das zu realisieren, oder bekomm ich da mit Probleme mit diversen Programmen ?

Oder weis jemand wie ich das Shaping Problem beseitigen kann ?!
 
Womit machst Du denn das Shaping? Mit tc?

Und an was für ner Leitung hängst Du? Können ja maximal 3 MBit sein, wenn es DSL ist, oder?

Du könntest ja mal die Regeln posten, die Du benutzt (shaping + iptables).

Ich habe bei mir nen 800er VIA C3 und der läuft problemlos. Zu Zeiten, wo wir den esel noch anhatten (lief sogar direkt auf dem Server) hatten wir auch keine Probleme (naja, mldonkey beschränkt auf 100k down und 10k up)
 
Also Leitung ist 1024 / 256 kbit.
Ich verwende TC !

Posten werd ich die Regeln mal noch nicht ;)

Werd noch mal übers Wochenende darüber brüten und mal nach Fehlern suchen. Das shaping funktioniert perfekt, aber die CPU Load :(

PS: n0w4it4 und Defilermage sind die selben User ! n0w4it4 bin ich in der Arbeit :)
 
Original geschrieben von Defilermage
PS: n0w4it4 und Defilermage sind die selben User ! n0w4it4 bin ich in der Arbeit :)

[OT]
bin mir jezt nicht sicher aber ich glaub doppelaccounts werden nicht so gern gesehn *kopfkratz
[/OT]
 
Ja tut mir leid, bin nur knappe 9 Stunden von Mo-FR in meinem Zivildienst (arbeit) und deshalb hab ich 2 accs !
 
Zurück
Oben Unten