-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Ronnie Garcia a écrit :
> Geoffroy DESVERNAY a écrit :
>> -----BEGIN PGP SIGNED MESSAGE-----
>> Hash: SHA1
>>
>> Les 'Netscreen' peut-être, par contre les plus anciens (M7i par ex.) a
>> éviter pour du firewall (testé et désaprouvé).
>> Entre autres:
>> Peu de suivi de session FTP
>> Pas d'états en IPv6
>> 25 à 30% de sessions TCP (normales) interrompues par le firewall au
>> bout de qques temps (Case ouvert depuis + de 6 mois chez Juniper)
>>
>> => nous, on est reparti en OpenBSD "transparent" + pf
>> (et un pf.conf ça se configure bien ;)
>
> Par contre au niveau des perfs ?
> Tu tiens combien de pps sur ton OBSD et avec quel hardware ? Combien de
> lignes ton pf.conf ?
>
>
Pour les perfs aucune différence notable dans notre cas, hormis les
#netstat des serveurs qui ne font plus de 'connection failed'...
Le pf.conf n'est pas énorme (- de 2000 machines derrière), et les 'gros
débits' passent bien (lien fibre 1G sur la plaque métropolitaine), y
compris le multicast et l'IPv6 ;)
J'ai pas essayé avec 1G de paquets de 64 octets..... mais je ferais ça
un de ces jours :)
Ceci dit, c'est valable dans notre cas particulier, je ne dis pas pour
un 'vrai' ISP... ceci dit, un firewall hard avec un pf.conf j'aimerais
bien ;)
- --
Geoffroy DESVERNAY
-----
Mail: [EMAIL PROTECTED]
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
iD8DBQFHEHWAP0J0k1oxrdoRAgDvAJ9saxRlwqPhnEo+6kk5M9SSo6KqOwCfeSdJ
jMMYptAatI0KAvWZ8wjesKY=
=DI9M
-----END PGP SIGNATURE-----
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
