présentation OpenBSD / PF

Le
Patrick Lamaizière
Bonjour,

J'ai présenté un retour de notre utilisation d'OpenBSD au taf :

La conclusion c'est que ça tient pas trop la charge.
Bon

https://conf-ng.jres.org/2013/planning.html#article_31

(ça n'engage que moi)
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Damien Wyart
Le #25877952
* Patrick Lamaizière
J'ai présenté un retour de notre utilisation d'OpenBSD au taf :
La conclusion c'est que ça tient pas trop la charge.
https://conf-ng.jres.org/2013/planning.html#article_31



Merci pour le lien !

Ce que je trouve un peu bizarre, c'est que OK, tu es un BSDiste
convaincu, mais du coup tu sembles te "priver" volontairement de citer
Linux comme une alernative à ton setup OpenBSD qui a des problèmes de
perfs (tu cites Free avec des bémols, la version qui pourrait convenir
n'est pas encore stable, etc.). D'un point de vue "scientifique", si le
lecteur connaît Linux, ça ne fait pas forcément très sérieux...

Où je travaille (gros data centers), il y a eu des parefeu OpenBSD il
y a quelques années, mais comme il y avait des problèmes de perfs, ils
ont été remplacés par des Linux avec ipset et cela fonctionne bien.

--
DW
Bruno Ducrot
Le #25878082
On 2013-12-17, Damien Wyart wrote:
* Patrick Lamaizière
J'ai présenté un retour de notre utilisation d'OpenBSD au taf :
La conclusion c'est que ça tient pas trop la charge.
https://conf-ng.jres.org/2013/planning.html#article_31



Merci pour le lien !

Ce que je trouve un peu bizarre, c'est que OK, tu es un BSDiste
convaincu, mais du coup tu sembles te "priver" volontairement de citer
Linux comme une alernative à ton setup OpenBSD qui a des problèmes de
perfs (tu cites Free avec des bémols, la version qui pourrait convenir
n'est pas encore stable, etc.). D'un point de vue "scientifique", si le
lecteur connaît Linux, ça ne fait pas forcément très sérieux...



A noter que FreeBSD 10 devrait bientôt sortir. La RC3 devrait être
annoncé sous peu. Il n'est donc pas déconnant de l'envisager pour des
projets. Ceci dit, je n'ai pas vraiment jouer avec conntrackd sous
Linux, et il semble qu'en effet cela pourrait être intéressant.

Où je travaille (gros data centers), il y a eu des parefeu OpenBSD il
y a quelques années, mais comme il y avait des problèmes de perfs, ils
ont été remplacés par des Linux avec ipset et cela fonctionne bien.




Là où je bosse, (de gros data centers, pareil), on avait mis en place
des routeurs OpenBSD, et non des FW HA. Ceux-ci ont été remplacé par
la suite par des linux pas beau pour de sombres histoires de perfs.

--
Bruno Ducrot

A quoi ca sert que Ducrot hisse des carcasses ?
Damien Wyart
Le #25878172
* Bruno Ducrot
A noter que FreeBSD 10 devrait bientôt sortir. La RC3 devrait être
annoncé sous peu. Il n'est donc pas déconnant de l'envisager pour des
projets. Ceci dit, je n'ai pas vraiment jouer avec conntrackd sous
Linux, et il semble qu'en effet cela pourrait être intéressant.



Oui, tout ce qui est pare-feu (réseau) sous Linux est quand même assez
actif (conntrackd, ulogd2), avec aussi le "réveil" récent de nftables.

> Où je travaille (gros data centers), il y a eu des parefeu OpenBSD
> il y a quelques années, mais comme il y avait des problèmes de
> perfs, ils ont été remplacés par des Linux avec ipset et cela
> fonctionne bien.

Là où je bosse, (de gros data centers, pareil), on avait mis en place
des routeurs OpenBSD, et non des FW HA. Ceux-ci ont été remplacé par
la suite par des linux pas beau pour de sombres histoires de perfs.



Merci pour la précision, je ne me souvenais plus bien (ça aide de bosser
dans les mêmes data centers :-).

--
DW
Patrick Lamaizière
Le #25878162
Damien Wyart :

* Patrick Lamaizière
J'ai présenté un retour de notre utilisation d'OpenBSD au taf :
La conclusion c'est que ça tient pas trop la charge.
https://conf-ng.jres.org/2013/planning.html#article_31



Merci pour le lien !

Ce que je trouve un peu bizarre, c'est que OK, tu es un BSDiste
convaincu, mais du coup tu sembles te "priver" volontairement de citer
Linux comme une alernative à ton setup OpenBSD qui a des problèmes de
perfs (tu cites Free avec des bémols, la version qui pourrait convenir
n'est pas encore stable, etc.). D'un point de vue "scientifique", si le
lecteur connaît Linux, ça ne fait pas forcément très sérieux...



Ah, le problème c'est que je ne connais pas Linux (du moins en tant que
routeur pare-feu), alors difficile d'en parler sérieusement !

Linux pourrait sûrement convenir (j'en sais rien), mais il faudrait
(encore) migrer les règles depuis PF vers iptables, ce n'est pas rien
à faire. Sans compter que mes collègues admin réseaux se sont bien fait
à PF (qu'est quand même sympa à utiliser). C'est vrai que du coup je
n'ai pas envisagé du Linux comme alternative.

Il y a eu une autre présentation basée sur du Linux mais j'ai pas
réussi à savoir les perfs qu'ils obtenaient.
https://conf-ng.jres.org/2013/planning.html#article_112

Concernant OpenBSD/FreeBSD "on" m'a pointé ce document depuis :
http://dev.bsdrp.net/benchs/BSD.network.performance.TenGig.png
(où on voit qu'OpenBSD est à la ramasse...)

Si j'ai fait cette présentation, c'est surtout qu'il est difficile
d'avoir des infos sur les perfs qu'on peut atteindre.
william
Le #25878222
On 2013-12-17, Bruno Ducrot
Où je travaille (gros data centers), il y a eu des parefeu OpenBSD il
y a quelques années, mais comme il y avait des problèmes de perfs, ils
ont été remplacés par des Linux avec ipset et cela fonctionne bien.


Là où je bosse, (de gros data centers, pareil), on avait mis en place
des routeurs OpenBSD, et non des FW HA. Ceux-ci ont été remplacé par
la suite par des linux pas beau pour de sombres histoires de perfs.



Houla la, moi qui reluque *BSD, je suis un peu decu de lire ca.
Patrick Lamaizière
Le #25878342
Bruno Ducrot :

A noter que FreeBSD 10 devrait bientôt sortir. La RC3 devrait être
annoncé sous peu. Il n'est donc pas déconnant de l'envisager pour des
projets.



Voilà, aussi pour l'instant ça tient en terme de perf (même si on perd
quelques paquets parci par là, ça va encore).

Mais comme le débit augmente régulièrement d'année en année c'est clair
qu'il faut qu'on réflechisse à autre chose.

Oh merde ça me fait penser que bientôt c'est Noël et ils vont tous
arriver avec leur nouveau téléphone / tablette sur le réseau :(
Patrick Lamaizière
Le #25878392
william :

On 2013-12-17, Bruno Ducrot
Où je travaille (gros data centers), il y a eu des parefeu OpenBSD il
y a quelques années, mais comme il y avait des problèmes de perfs, ils
ont été remplacés par des Linux avec ipset et cela fonctionne bien.


Là où je bosse, (de gros data centers, pareil), on avait mis en place
des routeurs OpenBSD, et non des FW HA. Ceux-ci ont été remplacé par
la suite par des linux pas beau pour de sombres histoires de perfs.



Houla la, moi qui reluque *BSD, je suis un peu decu de lire ca.



Ça dépend de tes besoins, hormis le soucis de perfs OpenBSD ça marche
très bien.
kevin vanier
Le #25878472
Le 17/12/2013 10:17, Patrick Lamaizière a écrit :
Bonjour,

J'ai présenté un retour de notre utilisation d'OpenBSD au taf :

La conclusion c'est que ça tient pas trop la charge.
Bon...

https://conf-ng.jres.org/2013/planning.html#article_31

(ça n'engage que moi)




Bonjour,

J'ai vu passé y'a pas très longtemps sur la liste FrNog,
des retours de test PF/*BSD .
Visiblement les personnes semblaient être plutôt satisfaite*.

Essayez de trouver les archives c’était intéressant .


*des personnes "plutôt satisfaite" sur FrNog c'est plutôt rare .

++
patpro ~ patrick proniewski
Le #25878652
Salut,

In article Patrick Lamaizière
J'ai présenté un retour de notre utilisation d'OpenBSD au taf :

La conclusion c'est que ça tient pas trop la charge.
Bon...

https://conf-ng.jres.org/2013/planning.html#article_31




J'ai trouvé que ton exposé manquait un peu de métriques/métrologie (j'y
étais mais j'ai eu la flemme de poser des questions).
Genre : nombre de sessions simultanées, taille de tes tables et de tes
tables d'états.
Tu mentionnes les tailles en pointe de tes tables d'états, alors je me
pose la question : est-ce que la taille que tu pré-configures est
réservée d'office dans la mémoire, ou est-ce que tu pourrais quand même
être à cours d'espace dans le kernel alors que tu n'as pas encore rempli
ta table ?
L'impact de pfsync a-t-il été évalué ? (ie est-ce que ça marche mieux
sans)
Aussi, est-ce que tu filtres le trafic inter-vlan dans ces FW ?

Enfin bon, c'était sympa de voir ta présentation, même si c'est pas très
optimiste finalement :))

Est-ce que tu vas tester FreeBSD 10, et surtout est-ce que c'est
testable en gardant le u-cop2 en openbsd ?

patpro

--
photo http://photo.patpro.net/
blog http://www.patpro.net/
patpro ~ patrick proniewski
Le #25878642
In article Patrick Lamaizière
Oh merde ça me fait penser que bientôt c'est Noël et ils vont tous
arriver avec leur nouveau téléphone / tablette sur le réseau :(



demande à ton RSSI de pondre un addendum à la PSSI : interdit de
connecter les cadeaux de Noël au réseau (ou alors tu pètes le WIFI
pendant 15 jours, ça marche bien aussi).

patpro

--
photo http://photo.patpro.net/
blog http://www.patpro.net/
Publicité
Poster une réponse
Anonyme