HW pro linux firewall.

[zacekm]

Ahoj,

davam dohromady navrh na novy firewall pro firmu s asi 1200 pc. Puvodne se melo koupit neco specialniho (Cisco nebo Astaro Security Gateway), ale nejsou penize, takze to bude zachranovat Linux . Na firewallu nebude nic specialniho NAT, 3x DMZ, OpenVPN a jednoduchy QOS, dohromady max. 1000 pravidel. Do internetu je 50 Mb/s, to by stihnul routovat i muj notebook, ale v DMZ bude nekolik datove narocnych aplikaci (databaze a fotky). Prosel jsem zdejsi forum a vybral nasledujici HW.
Server: HP ProLiant DL120 G7 http://h10010.www1.hp.com/wwpc/us/en/sm/WF06b/15351-15351-3328412-241644-3328421-5075933-5173493-5173494.html?dnr=1
a sit. kartu s chipsetem Intel 82580 http://h18004.www1.hp.com/products/quickspecs/13647_div/13647_div.html#Technical%20Specifications

Bude to dostacuji HW nebo by jste koupili neco jineho?
Predem diky za kazdou odpoved.

[iTomB]

Na tu tvou zatez by mel bohate stacit i Atom. Mam starsi model http://www.abacus.cz/barebony-servery-a ... c3998.html

Zvlada v pohode to co popisujes. Mam na nem NAT, firewall, Shaper s QoS a L7 (cca 1500 zaznamu), DNS, ...

je fakt, ze mangle pro Shaper a QoS mam dobre vytunene, idle pri cca 50Mbit/s 94-96% a to nejvic zere bind DNS

load average: 0.03, 0.03, 0.05

Fakt v tom zatim nevidim zadnej problem. Jsem zvedav, zda by to stihalo i kolem 300-500Mbit. Zalezi i na tom, jak to bude stihat deska, jeste jsem nemel cas to zkouset do takovychto rychlosti, ale verim ze pokud to da deska HW, tak to i zbytek stihne, vcetne optimalizace co tam mam.

iTomB

[zacekm]

Jo, predpokladam ze to pojede bez problemu. Nevite nekdo jakou zatez muze takova sestava zvladnout? Vim ze to bude zavisle na nastavenych pravidlech, ale neco budu muset do navrhu napsat. Pokusi se nekdo o kvalifikovany odhad

[reset]

Ja bych dal supermicro + miktotik.

[Walkeer]

to HP je dobre kdyz je s 3 nebo 5years NBD onsite supportem, to se rozhodne hodi, idkyz do podobne firmy bych asi rovnou koupil zalozni stroj, protoze byt az 2 dny bez netu asi dost dobre nejde.
U toho linuxu asi hodne zalezi jakou metodu QoS zvolis, jak moc opatchovany kernel a jak to nakonfigurujes, tedy zda vytunis nastaveni IRQ sitovek a pod. Ten E3 XEON sandy-bridge urcite zvladne uroutovat gigabity, ale spatna konfigurace to muze dost ovlivnit.

[zacekm]

Ahoj, zdroj bude urcite redundantni, oni se mozna koupi rovnou dva servery, cena pro nas jako partnery vychazi kolem 25k i s triletym carepackem. Tim nastavenim QOS jsem myslel dat vyssi prioritu pro ssh a openvpn . Nic vic se zatim neplanuje.

[Walkeer]

Ahoj, zdroj bude urcite redundantni, oni se mozna koupi rovnou dva servery, cena pro nas jako partnery vychazi kolem 25k i s triletym carepackem. Tim nastavenim QOS jsem myslel dat vyssi prioritu pro ssh a openvpn . Nic vic se zatim neplanuje.

v tom pripade to je asi overkill muzete si tam jeste pustit treba mailserver nebo tak neco )

[reset]

no pekny, ale zatim jsem se nesektal s zadnym zaloznim zdojem na 220V) , ktery by udrzel server vice jak dve hodiny v kuse. (orientacni cas) .
Teda ono mozna neco i existuje, ti tipuju si cenu pak ve stovkach tisic

redundantni zdroj ti urcite na 12V nepojede .
Kdyz to postavis na treba supermicru , zdroj tam das 12V/24V a s tou nevetsi gelovkou ti to pojede az nekolik dni bez elektriky .

Redundantni zdroj je pekny, ale maji tak redundantni elektroinstalaci vcetne hlavnich vypinacu , jisteni a vseho ostatniho , vcetne redundantnich UPSek ?

... reseni za nekoik desitek milionu

[hapi]

koupíš si APCčko + přídavnej battery pack. Xeona-E3 nám to udrží samotnýho tušim 3 hodiny. Cena cca 25k.

[reset]

ono ale asi neni na poradu dne resit jakoukoliv UPSku , protoze pro firmu pokud nebezi elektrika, nejde net tak jako tak a na nejakou UPSku pro firewall bych se pak klidne i vyprdnul. Zalezi ale jak je to business critical .
U DB a jinych serveru je to uz neco jineho .


NECO ZE ZIVOTA:
Ve Vodafounu v Praze na Vinici maj super saly , kde se bez "vataku" neobejdes, Vsecho redundantni, vcetne klimarizaci a vsecho. Napojeno na UPsky , ktery vydrzi "jen" par hodin, dale diesel agregaty , ktery kazdou chvili doplnuji cisterny . Reseni za stovky milionu (a mozna i $) . Clovek by si rekl to je super cool reseni . Jenze co cert nechtel , pred par lety , nekdo jim tam neco delal s elektrikou u tech klimatizaci (uz presne nevim co) a klimatizace jim klekla . Behem par minut tam bylo kolem 60C+ a zacali se pect disky . Vypadek nekolik dni , nezli jsme to rozchodili, dalsi problem byli jen nacnute disky.
Malem tam zheblo par techniku, kdyz se zacali uzavirat protipozarni dvere zacalo se to napoustet plynem z pozarniho systemu. Nikdo nastesti nezhebnul.
Sedel jsem jen o par pater vyse, a rikam si , neemelem neemelem ..... a cekal jsem az na nas prijde rada. Vyrazil jsem domu, zasel na pivo a cekal jsem .

Nebo opet z Vodafounu, u vseho redundantni zdroje , ale zapojene do jednoho psa ke kazdemu serveru .

Proste neni nad to mit super cool reseni , ktery ti pak zkape na picovine.

atd atd

[zacekm]

Je to pro jednu nejmenovanou nemocnici. Pokud do 5 minut po vypadku napajeni nenabehne diesel, tak internet bude to posledni na co si budou stezovat . Ze je to overkill pro 20Mb linku do internetu je jasne, ale take to bude delat DMZ pro PAX(snimky pacientu z rentgenu CT a tak) a tam neni problem aby jeden snimek mel 200MB a zaroven pobezi v DMZ jeste nekolik dalsich datove narocnych aplikaci. V podstate by jsem potreboval, aby to zvladlo 4Gb/s, vic z paterni site v nemocnici nedostaneme.

[hapi]

tak se na to vyprdni, kup tam xeona e3 od supermicro, nacpi do toho mikrotika a máš vystaráno. ten xeon neni zase tak dražší než atom a máš jistotu ve výkonu na dlouhá léta. Na atoma bych si dával pozor tedy aspoň v kombinaci s mikrotikem. On je výkonej dokud tam nenacpeš nějaký pravidla. Pak pěkně rychle klesá přenosovka. S tisícem pravidel už je to docela na atomu nereálný protože co jsem já naměřil, tak už při těch tisíci pravidlech dá pouze řádově stovky mbit což na lokální routing už moc neni.

[zacekm]

Ale ja tam budu mit Xeon E3, o Atomu tady psal nekdi jiny.