Twitter iPhone pliant OnePlus 12 PS5 Disney+ Orange Livebox Windows 11 ChatGPT

Exemple iptables ultimes

1 réponse
Avatar
Olivier
--0000000000000026f905923506b3
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable

Hello,

Je viens bient=C3=B4t installer plusieurs machines sous Stretch ou Buster q=
ui
vont h=C3=A9riter d'une IP publique alors que j'ai plut=C3=B4t l'habitude d=
e
configurer des machines prot=C3=A9g=C3=A9es de la jungle d'Internet par un =
routeur et
le NAT.

Ces machines (Core i3 ou i5) doivent principalement assurer le routage de
r=C3=A9seaux locaux avec l'ambition d'offrir les meilleures performances
possibles (pour fixer un ordre de grandeur, je dirai qu'elles doivent
pouvoir NATer un traffic de.l'ordre de 500Mb/s).

Quelqu'un aurait-il un exemple de configuration iptables ultime, adaptable
=C3=A0 un tel contexte, et =C3=A9prouv=C3=A9e avec des mois (ann=C3=A9es) d=
e pratique ?

J'ai lu ici ou l=C3=A0des exemples o=C3=B9 l'auteur, par exemple, prenait s=
oin
d'=C3=A9carter du trafic volontairement mal-form=C3=A9 (DoS) mais un exempl=
e
exhaustif ne serait pas de refus.

Slts

--0000000000000026f905923506b3
Content-Type: text/html; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable

<div dir=3D"ltr"><div>Hello,</div><div><br></div><div>Je viens bient=C3=B4t=
installer plusieurs machines sous Stretch ou Buster qui vont h=C3=A9riter =
d&#39;une IP publique alors que j&#39;ai plut=C3=B4t l&#39;habitude de conf=
igurer des machines prot=C3=A9g=C3=A9es de la jungle d&#39;Internet par un =
routeur et le NAT.</div><div><br></div><div>Ces machines (Core i3 ou i5) do=
ivent principalement assurer le routage de r=C3=A9seaux locaux avec l&#39;a=
mbition d&#39;offrir les meilleures performances possibles (pour fixer un o=
rdre de grandeur, je dirai qu&#39;elles doivent pouvoir NATer un traffic de=
.l&#39;ordre de 500Mb/s).<br></div><div><br></div><div>Quelqu&#39;un aurait=
-il un exemple de configuration iptables ultime, adaptable =C3=A0 un tel co=
ntexte, et =C3=A9prouv=C3=A9e avec des mois (ann=C3=A9es) de pratique ?</di=
v><div><br></div><div>J&#39;ai lu ici ou l=C3=A0des exemples o=C3=B9 l&#39;=
auteur, par exemple, prenait soin d&#39;=C3=A9carter du trafic volontaireme=
nt mal-form=C3=A9 (DoS) mais un exemple exhaustif ne serait pas de refus.</=
div><div><br></div><div>Slts<br></div></div>

--0000000000000026f905923506b3--

1 réponse

Avatar
Christophe
Hello,
Le 10/09/2019 à 18:47, Olivier a écrit :
Je viens bientôt installer plusieurs machines sous Stretch ou Buster qui
vont hériter d'une IP publique alors que j'ai plutôt l'habitude de
configurer des machines protégées de la jungle d'Internet par un routeur
et le NAT.
Ces machines (Core i3 ou i5) doivent principalement assurer le routage
de réseaux locaux avec l'ambition d'offrir les meilleures performances
possibles (pour fixer un ordre de grandeur, je dirai qu'elles doivent
pouvoir NATer un traffic de.l'ordre de 500Mb/s).

Sans même avoir à "tweaker" la configuration iptables et du kernel, J'ai
eu une machine à base d'Atom (N270 si je dis pas trop de bêtises) qui
"nattait" sans sourciller 200Mb/s il y a 3 ans, mais la machine datait
de 8 ou 9 ans. Donc un i3 ou i5 moderne, la question ne se pose même pas
pour 500Mb/s.
En fait ce n'est pas tant le débit qui doit être source d'inquiétude,
mais plutôt le nombre de paquets/s ou le nombre de nouvelles connexions
à la seconde, d'autant plus quand c'est du trafic à bloquer (ça, ça peut
mettre une machine par terre, Expérience vécue).
Et point important, ce sont les cartes réseau qui équipent la machine.
L'expérience m'indique que les cartes réseau Intel sont idéales pour ce
genre de configuration, surtout parce que le driver Linux (e1000 pour
référence) a été en grosse partie développé par les ingénieurs d'Intel
eux-même.
@+
Christophe.