Je viens bient=C3=B4t installer plusieurs machines sous Stretch ou Buster q=
ui
vont h=C3=A9riter d'une IP publique alors que j'ai plut=C3=B4t l'habitude d=
e
configurer des machines prot=C3=A9g=C3=A9es de la jungle d'Internet par un =
routeur et
le NAT.
Ces machines (Core i3 ou i5) doivent principalement assurer le routage de
r=C3=A9seaux locaux avec l'ambition d'offrir les meilleures performances
possibles (pour fixer un ordre de grandeur, je dirai qu'elles doivent
pouvoir NATer un traffic de.l'ordre de 500Mb/s).
Quelqu'un aurait-il un exemple de configuration iptables ultime, adaptable
=C3=A0 un tel contexte, et =C3=A9prouv=C3=A9e avec des mois (ann=C3=A9es) d=
e pratique ?
J'ai lu ici ou l=C3=A0des exemples o=C3=B9 l'auteur, par exemple, prenait s=
oin
d'=C3=A9carter du trafic volontairement mal-form=C3=A9 (DoS) mais un exempl=
e
exhaustif ne serait pas de refus.
<div dir=3D"ltr"><div>Hello,</div><div><br></div><div>Je viens bient=C3=B4t=
installer plusieurs machines sous Stretch ou Buster qui vont h=C3=A9riter =
d'une IP publique alors que j'ai plut=C3=B4t l'habitude de conf=
igurer des machines prot=C3=A9g=C3=A9es de la jungle d'Internet par un =
routeur et le NAT.</div><div><br></div><div>Ces machines (Core i3 ou i5) do=
ivent principalement assurer le routage de r=C3=A9seaux locaux avec l'a=
mbition d'offrir les meilleures performances possibles (pour fixer un o=
rdre de grandeur, je dirai qu'elles doivent pouvoir NATer un traffic de=
.l'ordre de 500Mb/s).<br></div><div><br></div><div>Quelqu'un aurait=
-il un exemple de configuration iptables ultime, adaptable =C3=A0 un tel co=
ntexte, et =C3=A9prouv=C3=A9e avec des mois (ann=C3=A9es) de pratique ?</di=
v><div><br></div><div>J'ai lu ici ou l=C3=A0des exemples o=C3=B9 l'=
auteur, par exemple, prenait soin d'=C3=A9carter du trafic volontaireme=
nt mal-form=C3=A9 (DoS) mais un exemple exhaustif ne serait pas de refus.</=
div><div><br></div><div>Slts<br></div></div>
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Christophe
Hello, Le 10/09/2019 à 18:47, Olivier a écrit :
Je viens bientôt installer plusieurs machines sous Stretch ou Buster qui vont hériter d'une IP publique alors que j'ai plutôt l'habitude de configurer des machines protégées de la jungle d'Internet par un routeur et le NAT. Ces machines (Core i3 ou i5) doivent principalement assurer le routage de réseaux locaux avec l'ambition d'offrir les meilleures performances possibles (pour fixer un ordre de grandeur, je dirai qu'elles doivent pouvoir NATer un traffic de.l'ordre de 500Mb/s).
Sans même avoir à "tweaker" la configuration iptables et du kernel, J'ai eu une machine à base d'Atom (N270 si je dis pas trop de bêtises) qui "nattait" sans sourciller 200Mb/s il y a 3 ans, mais la machine datait de 8 ou 9 ans. Donc un i3 ou i5 moderne, la question ne se pose même pas pour 500Mb/s. En fait ce n'est pas tant le débit qui doit être source d'inquiétude, mais plutôt le nombre de paquets/s ou le nombre de nouvelles connexions à la seconde, d'autant plus quand c'est du trafic à bloquer (ça, ça peut mettre une machine par terre, Expérience vécue). Et point important, ce sont les cartes réseau qui équipent la machine. L'expérience m'indique que les cartes réseau Intel sont idéales pour ce genre de configuration, surtout parce que le driver Linux (e1000 pour référence) a été en grosse partie développé par les ingénieurs d'Intel eux-même. @+ Christophe.
Hello,
Le 10/09/2019 à 18:47, Olivier a écrit :
Je viens bientôt installer plusieurs machines sous Stretch ou Buster qui
vont hériter d'une IP publique alors que j'ai plutôt l'habitude de
configurer des machines protégées de la jungle d'Internet par un routeur
et le NAT.
Ces machines (Core i3 ou i5) doivent principalement assurer le routage
de réseaux locaux avec l'ambition d'offrir les meilleures performances
possibles (pour fixer un ordre de grandeur, je dirai qu'elles doivent
pouvoir NATer un traffic de.l'ordre de 500Mb/s).
Sans même avoir à "tweaker" la configuration iptables et du kernel, J'ai
eu une machine à base d'Atom (N270 si je dis pas trop de bêtises) qui
"nattait" sans sourciller 200Mb/s il y a 3 ans, mais la machine datait
de 8 ou 9 ans. Donc un i3 ou i5 moderne, la question ne se pose même pas
pour 500Mb/s.
En fait ce n'est pas tant le débit qui doit être source d'inquiétude,
mais plutôt le nombre de paquets/s ou le nombre de nouvelles connexions
à la seconde, d'autant plus quand c'est du trafic à bloquer (ça, ça peut
mettre une machine par terre, Expérience vécue).
Et point important, ce sont les cartes réseau qui équipent la machine.
L'expérience m'indique que les cartes réseau Intel sont idéales pour ce
genre de configuration, surtout parce que le driver Linux (e1000 pour
référence) a été en grosse partie développé par les ingénieurs d'Intel
eux-même.
Je viens bientôt installer plusieurs machines sous Stretch ou Buster qui vont hériter d'une IP publique alors que j'ai plutôt l'habitude de configurer des machines protégées de la jungle d'Internet par un routeur et le NAT. Ces machines (Core i3 ou i5) doivent principalement assurer le routage de réseaux locaux avec l'ambition d'offrir les meilleures performances possibles (pour fixer un ordre de grandeur, je dirai qu'elles doivent pouvoir NATer un traffic de.l'ordre de 500Mb/s).
Sans même avoir à "tweaker" la configuration iptables et du kernel, J'ai eu une machine à base d'Atom (N270 si je dis pas trop de bêtises) qui "nattait" sans sourciller 200Mb/s il y a 3 ans, mais la machine datait de 8 ou 9 ans. Donc un i3 ou i5 moderne, la question ne se pose même pas pour 500Mb/s. En fait ce n'est pas tant le débit qui doit être source d'inquiétude, mais plutôt le nombre de paquets/s ou le nombre de nouvelles connexions à la seconde, d'autant plus quand c'est du trafic à bloquer (ça, ça peut mettre une machine par terre, Expérience vécue). Et point important, ce sont les cartes réseau qui équipent la machine. L'expérience m'indique que les cartes réseau Intel sont idéales pour ce genre de configuration, surtout parce que le driver Linux (e1000 pour référence) a été en grosse partie développé par les ingénieurs d'Intel eux-même. @+ Christophe.
