Reti locali
 

Dimensionare risorse Firewall (PC)

Gerry 31 Ott 2016 11:06
Ciao,
Volevo attivare un piccolo firewall in ufficio con presenti non più di 4
o 5 persone, con picchi di 10 una volta ogni morte di papa.

Ho voluto fare una prova con IPFire su un PC con un Celeron 847 1,1 GHz
e 4GB di memoria.
Le due schede di rete per la Red+Green sono Realtek, quindi non
particolarmente performanti, ma mi trovo con la navigazione lenta da
morire e spesso in timeout.

Ho attivato solo il log del proxy, il filtro URL e l' Update Accelerator.
Volevo attivare Guardian, ClamAV e VPN, ma me ne sono guardato bene.

Possibile che le risorse non siano sufficienti?

Volevo installare da un'altra parte PFSense, ma li ci sono oltre 50
persone stabili più una trentina "spot".
A questo punto mi domando che risorse *****ware prevedere per attivare 4
network, IDS, VPN e ClamAV.

Grazie per i suggerimenti
Mirko Borsari 31 Ott 2016 12:26
Il Mon, 31 Oct 2016 11:06:27 +0100, Gerry ha scritto:


> Volevo installare da un'altra parte PFSense, ma li ci sono oltre 50
> persone stabili più una trentina "spot".
> A questo punto mi domando che risorse *****ware prevedere per attivare 4
> network, IDS, VPN e ClamAV.

un'occhiata qui:
https://www.pfsense.org/*****ware/
ce l'hai già data immagino...



--
MirkoB. news@bsi-net.it
Motoretta BMW R1200R Lightgrey

L'indirizzo ema@il non è da considerarsi pubblico,
ma utilizzabile solo per temi inerenti il NG corrente
Gerry 31 Ott 2016 19:13
Il 31/10/2016 12:26, Mirko Borsari ha scritto:
>
> un'occhiata qui:
> https://www.pfsense.org/*****ware/
> ce l'hai già data immagino...
>

Sì, infatti.
Ed ad essere sincero è da lì che parte la mia riflessione perché, va
bene tutte le differenze di questo mondo, ma se per PFSense può andar
bene un Atom e 2GB perché con IPFire sono bloccato con un Celeron e 4GB?
Mirko Borsari 2 Nov 2016 09:33
Il Mon, 31 Oct 2016 19:13:34 +0100, Gerry ha scritto:

> Il 31/10/2016 12:26, Mirko Borsari ha scritto:
>>
>> un'occhiata qui:
>> https://www.pfsense.org/*****ware/
>> ce l'hai già data immagino...
>>
>
> Sì, infatti.
> Ed ad essere sincero è da lì che parte la mia riflessione perché, va
> bene tutte le differenze di questo mondo, ma se per PFSense può andar
> bene un Atom e 2GB perché con IPFire sono bloccato con un Celeron e 4GB?

ma sei sicuro che il problema sia il celeron o i 4GB? hai monitorato
le risorse?




--
MirkoB. news@bsi-net.it
Motoretta BMW R1200R Lightgrey

L'indirizzo ema@il non è da considerarsi pubblico,
ma utilizzabile solo per temi inerenti il NG corrente
Arne Saknussemm 3 Nov 2016 12:20
On Mon, 31 Oct 2016 11:06:27 +0100
"Gerry" wrote in it.comp.reti.locali <nv7528$ktk$1@dont-email.me>:

> Ho voluto fare una prova con IPFire su un PC con un Celeron 847 1,1
> GHz e 4GB di memoria.
> Le due schede di rete per la Red+Green sono Realtek, quindi non
> particolarmente performanti, ma mi trovo con la navigazione lenta da
> morire e spesso in timeout.

mi sorge il dubbio che il collo di bottiglia possa essere altrove; ti
converrà fare qualche test; inizia connettendo direttamente un PC alla
linea ADSL, facendo girare http://www.speedtest.net/ e ripetendo il
test alcune volte, poi fai la stessa cosa con un PC connesso
direttamente al firewall (se necessario usa un cavo cross) ed infine
con uno dei PC connessi in rete; se noterai discrepanze, procedi con la
verifica delle varie tratte (e componenti) usando, ad esempio, un tool
come questo

https://msdn.microsoft.com/en-us/library/windows/*****ware/dn567663(v=vs.85).aspx

per verificare la velocità e le eventuali perdite di pacchetti in modo
da identificare l'origine del problema (potrebbe anche essere lo
switch) e risolverlo; se poi tali tests non evidenziassero problemi,
dovrai verificare il resto della configurazione, ad esempio controllare
se la risoluzione DNS stia funzionando correttamente
Gerry 3 Nov 2016 19:07
Il 03/11/2016 12:20, Arne Saknussemm ha scritto:
> On Mon, 31 Oct 2016 11:06:27 +0100
> "Gerry" wrote in it.comp.reti.locali <nv7528$ktk$1@dont-email.me>:
>
>> ...
>
> mi sorge il dubbio che il collo di bottiglia possa essere altrove; ti
> converrà fare qualche test; inizia connettendo direttamente un PC alla
> linea ADSL, facendo girare http://www.speedtest.net/ e ripetendo il
> test alcune volte, poi fai la stessa cosa con un PC connesso
> direttamente al firewall (se necessario usa un cavo cross) ed infine
> con uno dei PC connessi in rete; se noterai discrepanze, procedi con la
> verifica delle varie tratte (e componenti) usando, ad esempio, un tool
> come questo
>
>
https://msdn.microsoft.com/en-us/library/windows/*****ware/dn567663(v=vs.85).aspx
>
> per verificare la velocità e le eventuali perdite di pacchetti in modo
> da identificare l'origine del problema (potrebbe anche essere lo
> switch) e risolverlo; se poi tali tests non evidenziassero problemi,
> dovrai verificare il resto della configurazione, ad esempio controllare
> se la risoluzione DNS stia funzionando correttamente
>

Il dubbio incomincio a pormelo anche io visto che il test con
speedtest.net (risposta a Mirko) l'ho intanto già fatto ed in effetti la
banda c'è anche con basse performance di navigazione.

Però la domanda resta, perché i servizi attivi mi sembrano comunque
pochi per andare a bloccare tutto in questo modo.
Domani faccio gli altri test

Per il momento grazie.
Mirko Borsari 4 Nov 2016 11:31
Il Thu, 3 Nov 2016 19:07:10 +0100, Gerry ha scritto:


> Il dubbio incomincio a pormelo anche io visto che il test con
> speedtest.net (risposta a Mirko) l'ho intanto già fatto ed in effetti la
> banda c'è anche con basse performance di navigazione.
>
> Però la domanda resta, perché i servizi attivi mi sembrano comunque
> pochi per andare a bloccare tutto in questo modo.

ma quando la navigazione risulta bloccata, il firewall in che stato è?
perchè se è con la CPU al 100% è un conto se è al 20 è un altro...
stessa cosa con la ram... Se hai abilitato log molto estesi potrebbe
anche essere un problema di disco (sto sparando un po' a caso, non
conosco il software che stai utilizzando)... bisogna però monitorare
le risorse per capire cosa sta succedendo.



--
MirkoB. news@bsi-net.it
Motoretta BMW R1200R Lightgrey

L'indirizzo ema@il non è da considerarsi pubblico,
ma utilizzabile solo per temi inerenti il NG corrente
ObiWan 4 Nov 2016 14:53
:: On Fri, 4 Nov 2016 11:31:23 +0100
:: (it.comp.reti.locali)
:: <xe5unujscyzy$.dlg@mirkonews.bsi-net.it>
:: Mirko Borsari <news@bsi-net.it> wrote:

> Il Thu, 3 Nov 2016 19:07:10 +0100, Gerry ha scritto:
>
>
>> Il dubbio incomincio a pormelo anche io visto che il test con
>> speedtest.net (risposta a Mirko) l'ho intanto già fatto ed in
>> effetti la banda c'è anche con basse performance di navigazione.
>>
>> Però la domanda resta, perché i servizi attivi mi sembrano comunque
>> pochi per andare a bloccare tutto in questo modo.
>
> ma quando la navigazione risulta bloccata, il firewall in che stato è?
> perchè se è con la CPU al 100% è un conto se è al 20 è un altro...
> stessa cosa con la ram... Se hai abilitato log molto estesi potrebbe
> anche essere un problema di disco (sto sparando un po' a caso, non
> conosco il software che stai utilizzando)... bisogna però monitorare
> le risorse per capire cosa sta succedendo.

Infatti bisognerebbe monitorare anche il fw, anche se *dubito* che
possano essere le risorse di quest'ultimo a causare il problema; non
per altro, ma il 99% dei "firewall/router" domestici ha *****ware ben
più "povero", quindi tenderei ad escludere il firewall (a meno che non
vi siano errori di configurazione clamorosi) ed a concentrarmi sul
resto, ossia, come già suggerito, ad *****izzare per bene tutto quanto
sia dal punto di vista hw (connessione wan, lan ed apparati) sia dal
punto di vista sw (al minimo la risoluzione DNS)

Direi che potrebbe anche essere utile monitorare il traffico di rete
con un tool tipo http://www.objectplanet.com/probe/ installato su di un
sistema che possa vedere *tutto* il traffico, in modo da cercare, per
quanto possibile di avere il "polso" della situazione
Gerry 5 Nov 2016 17:37
Il 04/11/2016 14:53, ObiWan ha scritto:
> :: On Fri, 4 Nov 2016 11:31:23 +0100
> :: (it.comp.reti.locali)
> :: <xe5unujscyzy$.dlg@mirkonews.bsi-net.it>
> :: Mirko Borsari <news@bsi-net.it> wrote:
>
>> Il Thu, 3 Nov 2016 19:07:10 +0100, Gerry ha scritto:
>>
>>
>>> Il dubbio incomincio a pormelo anche io visto che il test con
>>> speedtest.net (risposta a Mirko) l'ho intanto già fatto ed in
>>> effetti la banda c'è anche con basse performance di navigazione.
>>>
>>> Però la domanda resta, perché i servizi attivi mi sembrano comunque
>>> pochi per andare a bloccare tutto in questo modo.
>>
>> ma quando la navigazione risulta bloccata, il firewall in che stato è?
>> perchè se è con la CPU al 100% è un conto se è al 20 è un altro...
>> stessa cosa con la ram... Se hai abilitato log molto estesi potrebbe
>> anche essere un problema di disco (sto sparando un po' a caso, non
>> conosco il software che stai utilizzando)... bisogna però monitorare
>> le risorse per capire cosa sta succedendo.
>
> Infatti bisognerebbe monitorare anche il fw, anche se *dubito* che
> possano essere le risorse di quest'ultimo a causare il problema; non
> per altro, ma il 99% dei "firewall/router" domestici ha *****ware ben
> più "povero", quindi tenderei ad escludere il firewall (a meno che non
> vi siano errori di configurazione clamorosi) ed a concentrarmi sul
> resto, ossia, come già suggerito, ad *****izzare per bene tutto quanto
> sia dal punto di vista hw (connessione wan, lan ed apparati) sia dal
> punto di vista sw (al minimo la risoluzione DNS)
>
> Direi che potrebbe anche essere utile monitorare il traffico di rete
> con un tool tipo http://www.objectplanet.com/probe/ installato su di un
> sistema che possa vedere *tutto* il traffico, in modo da cercare, per
> quanto possibile di avere il "polso" della situazione
>

Come dicevo nel post iniziale, per questo ufficio sto sperimentando
IPFire su un PC con un Celeron 847 1,1 GHz e 4GB di memoria.
Non ci sono problemi a livello WAN perché bypassando il fw le
performance sono discrete.

Credo che ci siano dei problemi con la configurazione di Squid.
Non ho perso tempo a cambiare le impostazioni di base perché stiamo
parlando di un paio di utenti, ma evidentemente anche queste non sono
sufficienti.
È una mia riflessione "empirica".
Ho l'impressione che il problema si manifesti con la prima richiesta di
un URL che va inserito nella cache; dopo di che, tutto sommato si
sopravvive.
Se invece disabilito il web proxy, le performance tornano ad essere decenti.
ObiWan 7 Nov 2016 08:31
:: On Sat, 5 Nov 2016 17:37:08 +0100
:: (it.comp.reti.locali)
:: <nvl1qn$g3i$1@dont-email.me>
:: Gerry <no-user@no-mail.it> wrote:

> Credo che ci siano dei problemi con la configurazione di Squid.
> Non ho perso tempo a cambiare le impostazioni di base perché stiamo
> parlando di un paio di utenti, ma evidentemente anche queste non sono
> sufficienti. È una mia riflessione "empirica". Ho l'impressione che
> il problema si manifesti con la prima richiesta di un URL che va
> inserito nella cache; dopo di che, tutto sommato si sopravvive. Se
> invece disabilito il web proxy, le performance tornano ad essere
> decenti.

In effetti sembrerebbe essere un problema con Squid (o con qualche
altro componente/add-on di Squid) oppure con la risoluzione DNS, non
dimenticare che usando Squid, quest'ultimo si fa carico di risolvere il
nome host; d'altro canto, non conosco IPfire, quindi non so se possa
avere problemi; a questo punto, se hai tempo, proverei ad installare
OPNsense https://opnsense.org/ al posto di IPfire per vedere se in tal
modo le cose cambino
Gerry 7 Nov 2016 13:01
Il 07/11/2016 08:31, ObiWan ha scritto:
> :: On Sat, 5 Nov 2016 17:37:08 +0100
> :: (it.comp.reti.locali)
> :: <nvl1qn$g3i$1@dont-email.me>
> :: Gerry <no-user@no-mail.it> wrote:
>
>> ...
>
> In effetti sembrerebbe essere un problema con Squid (o con qualche
> altro componente/add-on di Squid) oppure con la risoluzione DNS, non
> dimenticare che usando Squid, quest'ultimo si fa carico di risolvere il
> nome host; d'altro canto, non conosco IPfire, quindi non so se possa
> avere problemi; a questo punto, se hai tempo, proverei ad installare
> OPNsense https://opnsense.org/ al posto di IPfire per vedere se in tal
> modo le cose cambino
>
>
>


Molto semplicemente c'era un baco nell'ultimo update che andava a
bloccare i DNS, da quello che ho capito tutti quelli che non passavano
direttamente dall'interfaccia Web. Se fosse così, praticamente tutti i
servizi :)

Ringrazio comunque tutti per l'aiuto.

Adesso, test a parte, volevo capire come dimensionare Squid perché nel
test è emerso che c'erano problemi anche qui.

Ma questa è un altra storia e semmai apro un thread separato.
ObiWan 7 Nov 2016 14:47
:: On Mon, 7 Nov 2016 13:01:08 +0100
:: (it.comp.reti.locali)
:: <nvpqd7$mtq$1@dont-email.me>
:: Gerry <no-user@no-mail.it> wrote:

> Molto semplicemente c'era un baco nell'ultimo update che andava a
> bloccare i DNS, da quello che ho capito tutti quelli che non
> passavano direttamente dall'interfaccia Web. Se fosse così,
> praticamente tutti i servizi :)
>
> Ringrazio comunque tutti per l'aiuto.
>
> Adesso, test a parte, volevo capire come dimensionare Squid perché
> nel test è emerso che c'erano problemi anche qui.
>
> Ma questa è un altra storia e semmai apro un thread separato.

Bon; tutto è bene quel che finisce bene, per quanto riguarda Squid,
dagli una sufficiente quantità di memoria ed uno storage veloce e lo
farai felice ;)

Links
Giochi online
Dizionario sinonimi
Leggi e codici
Ricette
Testi
Webmatica
Hosting gratis
   
 

Reti locali | Tutti i gruppi | it.comp.reti.locali | Notizie e discussioni reti locali | Reti locali Mobile | Servizio di consultazione news.