Exemple iptables ultimes

Le
Olivier
--0000000000000026f905923506b3
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable

Hello,

Je viens bientôt installer plusieurs machines sous Stretch ou Buster q=
ui
vont hériter d'une IP publique alors que j'ai plutôt l'habitude d=
e
configurer des machines protégées de la jungle d'Internet par un =
routeur et
le NAT.

Ces machines (Core i3 ou i5) doivent principalement assurer le routage de
réseaux locaux avec l'ambition d'offrir les meilleures performances
possibles (pour fixer un ordre de grandeur, je dirai qu'elles doivent
pouvoir NATer un traffic de.l'ordre de 500Mb/s).

Quelqu'un aurait-il un exemple de configuration iptables ultime, adaptable
à un tel contexte, et éprouvée avec des mois (années) d=
e pratique ?

J'ai lu ici ou làdes exemples où l'auteur, par exemple, prenait s=
oin
d'écarter du trafic volontairement mal-formé (DoS) mais un exempl=
e
exhaustif ne serait pas de refus.

Slts

--0000000000000026f905923506b3
Content-Type: text/html; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable

<div dir="ltr"><div>Hello,</div><div><br></div><div>Je viens bientôt=
installer plusieurs machines sous Stretch ou Buster qui vont hériter =
d&#39;une IP publique alors que j&#39;ai plutôt l&#39;habitude de conf=
igurer des machines protégées de la jungle d&#39;Internet par un =
routeur et le NAT.</div><div><br></div><div>Ces machines (Core i3 ou i5) do=
ivent principalement assurer le routage de réseaux locaux avec l&#39;a=
mbition d&#39;offrir les meilleures performances possibles (pour fixer un o=
rdre de grandeur, je dirai qu&#39;elles doivent pouvoir NATer un traffic de=
.l&#39;ordre de 500Mb/s).<br></div><div><br></div><div>Quelqu&#39;un aurait=
-il un exemple de configuration iptables ultime, adaptable à un tel co=
ntexte, et éprouvée avec des mois (années) de pratique ?</di=
v><div><br></div><div>J&#39;ai lu ici ou làdes exemples où l&#39;=
auteur, par exemple, prenait soin d&#39;écarter du trafic volontaireme=
nt mal-formé (DoS) mais un exemple exhaustif ne serait pas de refus.</=
div><div><br></div><div>Slts<br></div></div>

--0000000000000026f905923506b3--
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Christophe
Le #26525636
Hello,
Le 10/09/2019 à 18:47, Olivier a écrit :
Je viens bientôt installer plusieurs machines sous Stretch ou Buster qui
vont hériter d'une IP publique alors que j'ai plutôt l'habitude de
configurer des machines protégées de la jungle d'Internet par un routeur
et le NAT.
Ces machines (Core i3 ou i5) doivent principalement assurer le routage
de réseaux locaux avec l'ambition d'offrir les meilleures performances
possibles (pour fixer un ordre de grandeur, je dirai qu'elles doivent
pouvoir NATer un traffic de.l'ordre de 500Mb/s).

Sans même avoir à "tweaker" la configuration iptables et du kernel, J'ai
eu une machine à base d'Atom (N270 si je dis pas trop de bêtises) qui
"nattait" sans sourciller 200Mb/s il y a 3 ans, mais la machine datait
de 8 ou 9 ans. Donc un i3 ou i5 moderne, la question ne se pose même pas
pour 500Mb/s.
En fait ce n'est pas tant le débit qui doit être source d'inquiétude,
mais plutôt le nombre de paquets/s ou le nombre de nouvelles connexions
à la seconde, d'autant plus quand c'est du trafic à bloquer (ça, ça peut
mettre une machine par terre, Expérience vécue).
Et point important, ce sont les cartes réseau qui équipent la machine.
L'expérience m'indique que les cartes réseau Intel sont idéales pour ce
genre de configuration, surtout parce que le driver Linux (e1000 pour
référence) a été en grosse partie développé par les ingénieurs d'Intel
eux-même.
@+
Christophe.
Publicité
Poster une réponse
Anonyme