/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
Bedste gratis firewall-løsning
Fra : René Frej Nielsen


Dato : 20-07-05 19:33

Hejsa,

Jeg har brug for en firewall/router-løsning, som jeg har tænkt mig at
køre på en gammel Pentium 133 maskine. Jeg har kigget på flere
Linux-løsninger, altså de nemme der konfigureres via webinterface, men
hvilket er det bedste?

Jeg har 5 WAN IP'er som gerne skulle kunne NAT'es til maskiner på mit
LAN, og der skal være mulighed for at kune forwarde en del porte. De
10-20 porte/ranges man typisk har på de små hardware-routere er ikke
nok.

Der må også gerne være mulighed for at styre trafikken både ind og ud
på netværket, således at man kan begrænse hvilke porte der snakkes på
fra LAN og til Internet.

Hvad har I erfaringer med?

--
Mvh.
René Frej Nielsen
PowerMac G4 Dual 867 MHz Verax | iBook G4 12" 1 GHz Combo/AE/BT


 
 
Michael Rasmussen (20-07-2005)
Kommentar
Fra : Michael Rasmussen


Dato : 20-07-05 19:40

On Wed, 20 Jul 2005 20:33:12 +0200, René Frej Nielsen wrote:

>
> Hvad har I erfaringer med?
Jeg har stor glæde af http://www.ipcop.org. Den opfylder alle dine behov.
Nu er jeg ikke helt uvildig, da jeg er impliceret i projektet, så andre
har sikkert en anden holding.

Nu kan jeg se, at du bruger Mac, så måske du også kunne have glæde af
monowall - FreeBSD baseret.

--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917


Niels Kristian Jense~ (20-07-2005)
Kommentar
Fra : Niels Kristian Jense~


Dato : 20-07-05 20:45

Michael Rasmussen <mir@miras.org> wrote in
news:pan.2005.07.20.18.40.23.76494@miras.org:

> On Wed, 20 Jul 2005 20:33:12 +0200, René Frej Nielsen wrote:
>
>>
>> Hvad har I erfaringer med?
> Jeg har stor glæde af http://www.ipcop.org. Den opfylder alle dine behov.

Også flere WAN-IP'er?

Jeg bruger shorewall netop fordi jeg havde brug for flere WAN-IP'er.

Mvh. NKJensen

--
DYT ikke ved E-mail...

René Frej Nielsen (20-07-2005)
Kommentar
Fra : René Frej Nielsen


Dato : 20-07-05 21:13

On 2005-07-20 21:45:01 +0200, Niels Kristian Jensen
<midlertidigDYT2005@internetDYTgruppen.dk> said:

> Michael Rasmussen <mir@miras.org> wrote in
> news:pan.2005.07.20.18.40.23.76494@miras.org:
>
>> On Wed, 20 Jul 2005 20:33:12 +0200, René Frej Nielsen wrote:
>>
>>>
>>> Hvad har I erfaringer med?
>> Jeg har stor glæde af http://www.ipcop.org. Den opfylder alle dine behov.
>
> Også flere WAN-IP'er?

Tilsyneladende. Fra deres faq:

"You can have more than one external address - after you have created
the port forward entry, it will appear in the table. If you wish to add
another external address, click the green cross next to the entry, the
entry screen at the top of the page will change (it will load values
from the port forward) and allow you to enter an external ip address or
network."

>
> Jeg bruger shorewall netop fordi jeg havde brug for flere WAN-IP'er.

Den fandt jeg også, men også et eller andet om, at udviklingen var
stoppet. Det er måske ikke sandt?

--
Mvh.
René Frej Nielsen
PowerMac G4 Dual 867 MHz Verax | iBook G4 12" 1 GHz Combo/AE/BT


Michael Rasmussen (20-07-2005)
Kommentar
Fra : Michael Rasmussen


Dato : 20-07-05 21:36

On Wed, 20 Jul 2005 22:13:01 +0200, René Frej Nielsen wrote:

>
> "You can have more than one external address - after you have created
> the port forward entry, it will appear in the table. If you wish to add
> another external address, click the green cross next to the entry, the
> entry screen at the top of the page will change (it will load values
> from the port forward) and allow you to enter an external ip address or
> network."
>
Du skal først have oprettet et alias under menupunktet netværk. Når det
er gjort, vil muligheden optræde under drop-down menuen alias under
portforwarding (PF). Så længe du ikke har konfigureret et eksternt
alias, vil du kun kunne lave PF fra default IP.

--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917


Niels Kristian Jense~ (21-07-2005)
Kommentar
Fra : Niels Kristian Jense~


Dato : 21-07-05 09:39

René Frej Nielsen <spam@rfn.dk> wrote in
news:42deb05a$0$67262$157c6196@dreader2.cybercity.dk:

>>> Jeg har stor glæde af http://www.ipcop.org. Den opfylder alle dine
>>> behov.
>>
>> Også flere WAN-IP'er?
>
> Tilsyneladende. Fra deres faq:
>
> "You can have more than one external address - after you have created
> the port forward entry, it will appear in the table. If you wish to
> add another external address, click the green cross next to the entry,
> the entry screen at the top of the page will change (it will load
> values from the port forward) and allow you to enter an external ip
> address or network."

Aha - det havde jeg overset. Jeg vil lige prøve den af.

>>
>> Jeg bruger shorewall netop fordi jeg havde brug for flere WAN-IP'er.
>
> Den fandt jeg også, men også et eller andet om, at udviklingen var
> stoppet. Det er måske ikke sandt?

Den oprindelige udvikler, Tomas Eastep, er trådt tilbage. Han er blevet
afløst og er nu kun på deltid. Shorewall er lige kommet i ny version, som
dog lige som alle de foregående udgaver er text-only, og som styres vha.
opsætning i konfigurationsfiler.

Version 2.4.2 er bla. her:
http://www1.shorewall.net/pub/shorewall/2.4/preview

Mvh. NKJensen

--
DYT ikke ved E-mail...

René Frej Nielsen (21-07-2005)
Kommentar
Fra : René Frej Nielsen


Dato : 21-07-05 22:00

On 2005-07-21 10:39:11 +0200, Niels Kristian Jensen
<midlertidigDYT2005@internetDYTgruppen.dk> said:
>>
>> Den fandt jeg også, men også et eller andet om, at udviklingen var
>> stoppet. Det er måske ikke sandt?
>
> Den oprindelige udvikler, Tomas Eastep, er trådt tilbage. Han er blevet
> afløst og er nu kun på deltid. Shorewall er lige kommet i ny version,
> som dog lige som alle de foregående udgaver er text-only, og som styres
> vha. opsætning i konfigurationsfiler.

Jeg har siddet og studeret dokumentationen, og selvom syntaksen ser
reel nok ud, så kræver det alligvel en del at sætte sig ind i
Shorewall. Det er uden tvivl et system der kan meget, men jeg jeg
hopper i første omgang på et system med en grafisk brugerflade.

--
Mvh.
René Frej Nielsen
PowerMac G4 Dual 867 MHz Verax | iBook G4 12" 1 GHz Combo/AE/BT


Michael Rasmussen (20-07-2005)
Kommentar
Fra : Michael Rasmussen


Dato : 20-07-05 21:32

On Wed, 20 Jul 2005 19:45:01 +0000, Niels Kristian Jensen wrote:

>
> Også flere WAN-IP'er?
>
Ja, du kan oprette lige så mange du vil. Dog først efter du har
installeret. Det kan gøres fra webinterfacet.

--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917


René Frej Nielsen (20-07-2005)
Kommentar
Fra : René Frej Nielsen


Dato : 20-07-05 21:43

On 2005-07-20 22:31:47 +0200, Michael Rasmussen <mir@miras.org> said:

> On Wed, 20 Jul 2005 19:45:01 +0000, Niels Kristian Jensen wrote:
>
>>
>> Også flere WAN-IP'er?
>>
> Ja, du kan oprette lige så mange du vil. Dog først efter du har
> installeret. Det kan gøres fra webinterfacet.

Og de kan alle køre på samme netkort?

--
Mvh.
René Frej Nielsen
PowerMac G4 Dual 867 MHz Verax | iBook G4 12" 1 GHz Combo/AE/BT


Michael Rasmussen (20-07-2005)
Kommentar
Fra : Michael Rasmussen


Dato : 20-07-05 21:51

On Wed, 20 Jul 2005 22:42:59 +0200, René Frej Nielsen wrote:

>
> Og de kan alle køre på samme netkort?
Ja, hvis vi antager eth0 er netkortet ud i verden, vil det se up på
følgende måde, hvis du har 3 aliaser:
eth0: Rødt netværk (oprettet under installation)
eth0:0: første alias
eth0:1: andet alias
eth0:2: tredje alias
osv.

--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917


René Frej Nielsen (20-07-2005)
Kommentar
Fra : René Frej Nielsen


Dato : 20-07-05 21:55

On 2005-07-20 22:51:15 +0200, Michael Rasmussen <mir@miras.org> said:

> On Wed, 20 Jul 2005 22:42:59 +0200, René Frej Nielsen wrote:
>
>>
>> Og de kan alle køre på samme netkort?
> Ja, hvis vi antager eth0 er netkortet ud i verden, vil det se up på
> følgende måde, hvis du har 3 aliaser:
> eth0: Rødt netværk (oprettet under installation)
> eth0:0: første alias
> eth0:1: andet alias
> eth0:2: tredje alias
> osv.

Takker... jeg er superglad for, at du lige gad bruge lidt tid på mig.
Jeg tror at jeg bare må hoppe ud i det og installere IPCop.

Jeg har også kastet et blik på Shorewall, men det er noget mere nørdet.
Syntaksen ser rimelig ud, men man skal alligvel have en del forståelse
for tingene, og det vil jeg da helst undgå at bruge unødvendig tid på,
vis IPCop kan klare skærerne.

--
Mvh.
René Frej Nielsen
PowerMac G4 Dual 867 MHz Verax | iBook G4 12" 1 GHz Combo/AE/BT


Michael Rasmussen (20-07-2005)
Kommentar
Fra : Michael Rasmussen


Dato : 20-07-05 22:07

On Wed, 20 Jul 2005 22:55:21 +0200, René Frej Nielsen wrote:

> Jeg tror at jeg bare må hoppe ud i det og installere IPCop.
>
Bare spørg igen, hvis du skulle have flere spørgsmål

> Jeg har også kastet et blik på Shorewall, men det er noget mere nørdet.
> Syntaksen ser rimelig ud, men man skal alligvel have en del forståelse
> for tingene, og det vil jeg da helst undgå at bruge unødvendig tid på,
> vis IPCop kan klare skærerne.
Jeg kender ikke Shorewall, så jeg må være dig svar skyldig.
--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917


René Frej Nielsen (20-07-2005)
Kommentar
Fra : René Frej Nielsen


Dato : 20-07-05 20:22

On 2005-07-20 20:40:23 +0200, Michael Rasmussen <mir@miras.org> said:
>>
>> Hvad har I erfaringer med?
> Jeg har stor glæde af http://www.ipcop.org. Den opfylder alle dine behov.
> Nu er jeg ikke helt uvildig, da jeg er impliceret i projektet, så andre
> har sikkert en anden holding.

Lige præcis den har jeg også luret på, og det er faktisk den jeg syntes
så mest interessant ud.

Der er også en der hedder Smoothwall, men den findes i en gratis og en
kommerciel udgave, og det er jeg ikke helt vildt med, især fordi nogle
af funktionerne i den kommercielle udgav er noget jeg godt kunne tænkte
mig. Jeg er bare ikke interessseret i at betale for firewall-softwaren.

>
> Nu kan jeg se, at du bruger Mac, så måske du også kunne have glæde af
> monowall - FreeBSD baseret.

Det kunne selvfølgelig være relevant med en BSD-baseret løsning, især
hvis jeg skulle pille i kommandolinien, for så ligner det jo Mac OS X.

Jeg foretrækker dog en løsning med en grafisk brugerflade, da jeg ikke
rigtig har nogen erfaring med ipfw og nat.

--
Mvh.
René Frej Nielsen
PowerMac G4 Dual 867 MHz Verax | iBook G4 12" 1 GHz Combo/AE/BT


Michael Rasmussen (20-07-2005)
Kommentar
Fra : Michael Rasmussen


Dato : 20-07-05 20:34

On Wed, 20 Jul 2005 21:21:33 +0200, René Frej Nielsen wrote:

>
> Der er også en der hedder Smoothwall, men den findes i en gratis og en
> kommerciel udgave, og det er jeg ikke helt vildt med, især fordi nogle
> af funktionerne i den kommercielle udgav er noget jeg godt kunne tænkte
> mig. Jeg er bare ikke interessseret i at betale for firewall-softwaren.
>
ipcop er en fork af Smoothwall. Lederen af Smoothwall skiftede
pludselig ideologi, da han fik smag for £, hvorfor jeg og nogen andre
brød med projektet, og lavede fork med den rigtige OSS ideologi. Du er
enten OSS eller CSS - man kan ikke være begge dele samtidigt under GPL.
>
> Jeg foretrækker dog en løsning med en grafisk brugerflade, da jeg ikke
> rigtig har nogen erfaring med ipfw og nat.
Sidste jeg prøvede monowall, var der da et webbaseret interface?

--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917


René Frej Nielsen (20-07-2005)
Kommentar
Fra : René Frej Nielsen


Dato : 20-07-05 21:19

On 2005-07-20 21:33:49 +0200, Michael Rasmussen <mir@miras.org> said:

> On Wed, 20 Jul 2005 21:21:33 +0200, René Frej Nielsen wrote:
>
>>
>> Der er også en der hedder Smoothwall, men den findes i en gratis og en
>> kommerciel udgave, og det er jeg ikke helt vildt med, især fordi nogle
>> af funktionerne i den kommercielle udgav er noget jeg godt kunne tænkte
>> mig. Jeg er bare ikke interessseret i at betale for firewall-softwaren.
>>
> ipcop er en fork af Smoothwall. Lederen af Smoothwall skiftede
> pludselig ideologi, da han fik smag for £, hvorfor jeg og nogen andre
> brød med projektet, og lavede fork med den rigtige OSS ideologi. Du er
> enten OSS eller CSS - man kan ikke være begge dele samtidigt under GPL.

Tak for forklaringen. Niels Kristian Jensen spurgte om den også kan
håndtere flere WAN IP'er. Kan den det? Jeg vil gerne NAT'e dem port for
port til forskellige maskiner på LAN.

>>
>> Jeg foretrækker dog en løsning med en grafisk brugerflade, da jeg ikke
>> rigtig har nogen erfaring med ipfw og nat.

> Sidste jeg prøvede monowall, var der da et webbaseret interface?

Der er sandt kan jeg se... det er selvfølgelig interessant, men det jeg
også ville sige var, at eftersom jeg egentlig kun er interesseret i at
rode i et webinterface er jeg ligeglad med hvad der ligger nedenunder.
Skulle jeg derimod rode bagved, så ville det være en fordel med en BSD.
Jeg er dog ikke større artist i BSD, men det dog mere velkendt.

--
Mvh.
René Frej Nielsen
PowerMac G4 Dual 867 MHz Verax | iBook G4 12" 1 GHz Combo/AE/BT


Michael Rasmussen (20-07-2005)
Kommentar
Fra : Michael Rasmussen


Dato : 20-07-05 21:39

On Wed, 20 Jul 2005 22:18:35 +0200, René Frej Nielsen wrote:

>
> Tak for forklaringen. Niels Kristian Jensen spurgte om den også kan
> håndtere flere WAN IP'er. Kan den det? Jeg vil gerne NAT'e dem port for
> port til forskellige maskiner på LAN.
>
Se svar andet sted.

Du behøver da ikke flere WAN-IP for at portforwarde til flere maskiner
på dit lan. Muligheden for flere WAN-IP er kun interessant, hvis du
skulle have behov for at have flere services kørende på samme port, men
til forskellige maskiner på lan.

--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917


René Frej Nielsen (20-07-2005)
Kommentar
Fra : René Frej Nielsen


Dato : 20-07-05 21:46

On 2005-07-20 22:39:10 +0200, Michael Rasmussen <mir@miras.org> said:
>>
>> Tak for forklaringen. Niels Kristian Jensen spurgte om den også kan
>> håndtere flere WAN IP'er. Kan den det? Jeg vil gerne NAT'e dem port for
>> port til forskellige maskiner på LAN.
>>
> Se svar andet sted.

Ja, der er pludselig en del tråde her

>
> Du behøver da ikke flere WAN-IP for at portforwarde til flere maskiner
> på dit lan. Muligheden for flere WAN-IP er kun interessant, hvis du
> skulle have behov for at have flere services kørende på samme port, men
> til forskellige maskiner på lan.

Det er også det jeg vil. Jeg vil gerne kunne bruge f.eks. ssh,
AppleShare IP, Apple Remote Desktop, m.m. til flere maskiner på mit LAN.

Jeg kan vælge at lade én WAN IP gå direkte til én LAN IP, men jeg vil
egentlig hellere have muligheden for at gøre det via NAT, så kun de
relevante porte åbnes.

--
Mvh.
René Frej Nielsen
PowerMac G4 Dual 867 MHz Verax | iBook G4 12" 1 GHz Combo/AE/BT


Michael Rasmussen (20-07-2005)
Kommentar
Fra : Michael Rasmussen


Dato : 20-07-05 21:54

On Wed, 20 Jul 2005 22:46:09 +0200, René Frej Nielsen wrote:

>
> Jeg kan vælge at lade én WAN IP gå direkte til én LAN IP, men jeg vil
> egentlig hellere have muligheden for at gøre det via NAT, så kun de
> relevante porte åbnes.
Al portforwarding foregår via NAT. Det har intet at gøre med antallet af
offentlige ip-adresser.
Har du flere offentlige ip-adresser? I modsat fald hjælper et alias jo
ikke, da resten af internet ikke kender den adresse, inklusiv din ISP,
hvorfor kald til at adressen ikke bliver fremsendt til din router.

--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917


René Frej Nielsen (20-07-2005)
Kommentar
Fra : René Frej Nielsen


Dato : 20-07-05 22:09

On 2005-07-20 22:54:21 +0200, Michael Rasmussen <mir@miras.org> said:
>>
>> Jeg kan vælge at lade én WAN IP gå direkte til én LAN IP, men jeg vil
>> egentlig hellere have muligheden for at gøre det via NAT, så kun de
>> relevante porte åbnes.
> Al portforwarding foregår via NAT. Det har intet at gøre med antallet af
> offentlige ip-adresser.
> Har du flere offentlige ip-adresser? I modsat fald hjælper et alias jo
> ikke, da resten af internet ikke kender den adresse, inklusiv din ISP,
> hvorfor kald til at adressen ikke bliver fremsendt til din router.

Ja, jeg har 5 offentlige IP-adresser som er ledige.

--
Mvh.
René Frej Nielsen
PowerMac G4 Dual 867 MHz Verax | iBook G4 12" 1 GHz Combo/AE/BT


Michael Rasmussen (20-07-2005)
Kommentar
Fra : Michael Rasmussen


Dato : 20-07-05 22:27

On Wed, 20 Jul 2005 23:08:36 +0200, René Frej Nielsen wrote:

>
> Ja, jeg har 5 offentlige IP-adresser som er ledige.
Så er det blot at indtaste dem under netværk->aliaser.
status->netværksstatus vil så vise dette:
ethX 1.
ethX:0 2.
ethX:1 3.
ethX:2 4.
ethX:3 5.

Firewall->port forwarding giver dig så mulighed for at bestemme hvilke
aliaser, der skal svare på hvilken port, og til hvilken maskine dette
skal sendes - Det kan være på lan eller DMZ.

En anden feature er, at du kan have op til 4 fysiske netkort i maskinen.
Som udgangspunkt vil det være:
fysiske kort rød - internet grøn - lan orange - dmz blå - wireless
2 + + x x
3 + + + x
4 + + + +

Mindre end 2 fysiske kort giver selvfølgelig ingen mening

--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917


René Frej Nielsen (20-07-2005)
Kommentar
Fra : René Frej Nielsen


Dato : 20-07-05 22:42

On 2005-07-20 23:26:55 +0200, Michael Rasmussen <mir@miras.org> said:

>> Ja, jeg har 5 offentlige IP-adresser som er ledige.
> Så er det blot at indtaste dem under netværk->aliaser.
> status->netværksstatus vil så vise dette:
> ethX 1.
> ethX:0 2.
> ethX:1 3.
> ethX:2 4.
> ethX:3 5.
>
> Firewall->port forwarding giver dig så mulighed for at bestemme hvilke
> aliaser, der skal svare på hvilken port, og til hvilken maskine dette
> skal sendes - Det kan være på lan eller DMZ.
>
> En anden feature er, at du kan have op til 4 fysiske netkort i maskinen.
> Som udgangspunkt vil det være:
> fysiske kort rød - internet grøn - lan orange - dmz blå - wireless
> 2 + + x x
> 3 + + + x
> 4 + + + +
>
> Mindre end 2 fysiske kort giver selvfølgelig ingen mening

Jeg har to kort i maskinen, men sidder lige og læser lidt om DMZ. Min
server kører både mail, web, ftp og fildeling til LAN. Den skal altså
være synlig på nettet, men samtidig også være helt synlig på LAN.

Ud fra et sikkerhedsmæssigt synspunkt skulle den vel egentlig i DMZ (på
et tredie kort), men så får jeg vel problemer på mit LAN. Det er meget
vigtigt at det ikke sker, for den er DHCP-server og kører noget LDAP
(via Apple's OpenDirectory), så den skal være helt synlig på nettet. Er
det rigtigt skidt at undlade DMZ og bare lade den stå på nettet som nu?
(nu er det ved at blive lidt OT).

--
Mvh.
René Frej Nielsen
PowerMac G4 Dual 867 MHz Verax | iBook G4 12" 1 GHz Combo/AE/BT


Michael Rasmussen (20-07-2005)
Kommentar
Fra : Michael Rasmussen


Dato : 20-07-05 23:15

On Wed, 20 Jul 2005 23:42:12 +0200, René Frej Nielsen wrote:

>
> Jeg har to kort i maskinen, men sidder lige og læser lidt om DMZ. Min
> server kører både mail, web, ftp og fildeling til LAN. Den skal altså
> være synlig på nettet, men samtidig også være helt synlig på LAN.
>
At den står i DMZ, betyder ikke at den ikke kan se fra LAN, men at DMZ
ikke kan se LAN.

> Ud fra et sikkerhedsmæssigt synspunkt skulle den vel egentlig i DMZ
> (på et tredie kort), men så får jeg vel problemer på mit LAN. Det er
> meget vigtigt at det ikke sker, for den er DHCP-server og kører noget
> LDAP (via Apple's OpenDirectory), så den skal være helt synlig på
> nettet. Er det rigtigt skidt at undlade DMZ og bare lade den stå på
> nettet som nu? (nu er det ved at blive lidt OT).
Skal det forstås sådan, at den maskine du har i tankerne, skal placeres
i DMZ, er DHCP og LDAP for maskiner på dit LAN?
Hvis det er forstået korrekt, er det ingen problemer, da, som skrevet
ovenfor, at der er fuld tilgang fra LAN til DMZ.

--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917


René Frej Nielsen (21-07-2005)
Kommentar
Fra : René Frej Nielsen


Dato : 21-07-05 00:07

On 2005-07-21 00:15:29 +0200, Michael Rasmussen <mir@miras.org> said:
>>
>> Jeg har to kort i maskinen, men sidder lige og læser lidt om DMZ. Min
>> server kører både mail, web, ftp og fildeling til LAN. Den skal altså
>> være synlig på nettet, men samtidig også være helt synlig på LAN.
>>
> At den står i DMZ, betyder ikke at den ikke kan se fra LAN, men at DMZ
> ikke kan se LAN.

OK
>
>> Ud fra et sikkerhedsmæssigt synspunkt skulle den vel egentlig i DMZ
>> (på et tredie kort), men så får jeg vel problemer på mit LAN. Det er
>> meget vigtigt at det ikke sker, for den er DHCP-server og kører noget
>> LDAP (via Apple's OpenDirectory), så den skal være helt synlig på
>> nettet. Er det rigtigt skidt at undlade DMZ og bare lade den stå på
>> nettet som nu? (nu er det ved at blive lidt OT).
> Skal det forstås sådan, at den maskine du har i tankerne, skal placeres
> i DMZ, er DHCP og LDAP for maskiner på dit LAN?
> Hvis det er forstået korrekt, er det ingen problemer, da, som skrevet
> ovenfor, at der er fuld tilgang fra LAN til DMZ.

Men serveren vil altså ikke kunne se klienterne? Giver det ikke et
problem mht. DHCP? Hvis nu jeg vil ssh'e fra serveren til en maskine på
LAN får jeg vel problemer?

--
Mvh.
René Frej Nielsen
PowerMac G4 Dual 867 MHz Verax | iBook G4 12" 1 GHz Combo/AE/BT


Michael Rasmussen (21-07-2005)
Kommentar
Fra : Michael Rasmussen


Dato : 21-07-05 00:19

On Thu, 21 Jul 2005 01:06:47 +0200, René Frej Nielsen wrote:

>
> Men serveren vil altså ikke kunne se klienterne? Giver det ikke et
> problem mht. DHCP? Hvis nu jeg vil ssh'e fra serveren til en maskine på
> LAN får jeg vel problemer?
Står serveren i DMZ, kan den ikke se klienter, men de kan godt se den.
Analogien er et spionspejl.

--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917


René Frej Nielsen (21-07-2005)
Kommentar
Fra : René Frej Nielsen


Dato : 21-07-05 12:57

On 2005-07-21 01:18:55 +0200, Michael Rasmussen <mir@miras.org> said:
>>
>> Men serveren vil altså ikke kunne se klienterne? Giver det ikke et
>> problem mht. DHCP? Hvis nu jeg vil ssh'e fra serveren til en maskine på
>> LAN får jeg vel problemer?
> Står serveren i DMZ, kan den ikke se klienter, men de kan godt se den.
> Analogien er et spionspejl.

Hmm... jeg må lige overveje om jeg vil bruge DMZ. Det er jo et privat
netværk og der er ikke nogen store hemmeligheder. Desusden regner jeg
heller ikke med, at der er nogen huller i Mac OS X Server.


--
Mvh.
René Frej Nielsen
PowerMac G4 Dual 867 MHz Verax | iBook G4 12" 1 GHz Combo/AE/BT


Kent Friis (21-07-2005)
Kommentar
Fra : Kent Friis


Dato : 21-07-05 15:53

Den Thu, 21 Jul 2005 01:06:47 +0200 skrev René Frej Nielsen:
> On 2005-07-21 00:15:29 +0200, Michael Rasmussen <mir@miras.org> said:
>>>
>>> Jeg har to kort i maskinen, men sidder lige og læser lidt om DMZ. Min
>>> server kører både mail, web, ftp og fildeling til LAN. Den skal altså
>>> være synlig på nettet, men samtidig også være helt synlig på LAN.
>>>
>> At den står i DMZ, betyder ikke at den ikke kan se fra LAN, men at DMZ
>> ikke kan se LAN.
>
> OK
>>
>>> Ud fra et sikkerhedsmæssigt synspunkt skulle den vel egentlig i DMZ
>>> (på et tredie kort), men så får jeg vel problemer på mit LAN. Det er
>>> meget vigtigt at det ikke sker, for den er DHCP-server og kører noget
>>> LDAP (via Apple's OpenDirectory), så den skal være helt synlig på
>>> nettet. Er det rigtigt skidt at undlade DMZ og bare lade den stå på
>>> nettet som nu? (nu er det ved at blive lidt OT).
>> Skal det forstås sådan, at den maskine du har i tankerne, skal placeres
>> i DMZ, er DHCP og LDAP for maskiner på dit LAN?
>> Hvis det er forstået korrekt, er det ingen problemer, da, som skrevet
>> ovenfor, at der er fuld tilgang fra LAN til DMZ.
>
> Men serveren vil altså ikke kunne se klienterne? Giver det ikke et
> problem mht. DHCP? Hvis nu jeg vil ssh'e fra serveren til en maskine på
> LAN får jeg vel problemer?

DHCP virker kun inde for samme "broadcast-domain", det vil typisk sige
samme fysiske netværk.

Er der noget der forhindrer at flytte DHCP'en til firewall-maskinen?

Mvh
Kent
--
Hard work may pay off in the long run, but lazyness pays off right now.

René Frej Nielsen (21-07-2005)
Kommentar
Fra : René Frej Nielsen


Dato : 21-07-05 22:32

On 2005-07-21 16:53:18 +0200, Kent Friis <nospam@nospam.invalid> said:

>> Men serveren vil altså ikke kunne se klienterne? Giver det ikke et
>> problem mht. DHCP? Hvis nu jeg vil ssh'e fra serveren til en maskine på
>> LAN får jeg vel problemer?
>
> DHCP virker kun inde for samme "broadcast-domain", det vil typisk sige
> samme fysiske netværk.
>
> Er der noget der forhindrer at flytte DHCP'en til firewall-maskinen?

Ja, da der bliver uddelt oplysninger om LDAP, og den slags via DHCP.
Det vil jeg nødigt miste.

--
Mvh.
René Frej Nielsen
PowerMac G4 Dual 867 MHz Verax | iBook G4 12" 1 GHz Combo/AE/BT


Carsten Holck (20-07-2005)
Kommentar
Fra : Carsten Holck


Dato : 20-07-05 21:22

Michael Rasmussen said the following on 20-07-2005 20:40:
> On Wed, 20 Jul 2005 20:33:12 +0200, René Frej Nielsen wrote:
>
>
>>Hvad har I erfaringer med?
>
> Jeg har stor glæde af http://www.ipcop.org. Den opfylder alle dine behov.
> Nu er jeg ikke helt uvildig, da jeg er impliceret i projektet, så andre
> har sikkert en anden holding.
>
> Nu kan jeg se, at du bruger Mac, så måske du også kunne have glæde af
> monowall - FreeBSD baseret.
>
Monowall har jeg kørt i ca et år og det kører helt fint - dels på en
P120 og dels på en WRAP med VPN:IPsec imellem de to. Begge kører med
CF-disk dvs uden HD. Du skal dog sørge for at den har min 128MB.

Fin grafisk konfigurations webside, nem at gå til.

/carsten

René Frej Nielsen (20-07-2005)
Kommentar
Fra : René Frej Nielsen


Dato : 20-07-05 21:42

On 2005-07-20 22:21:49 +0200, Carsten Holck <cholck@malling.com.invalid> said:
>>
> Monowall har jeg kørt i ca et år og det kører helt fint - dels på en
> P120 og dels på en WRAP med VPN:IPsec imellem de to. Begge kører med
> CF-disk dvs uden HD. Du skal dog sørge for at den har min 128MB.
>
> Fin grafisk konfigurations webside, nem at gå til.

Ved du om den understøtter flere WAN IP'er? Hvis jeg vil køre den fra
en harddisk, kan det så lade sig gøre?

--
Mvh.
René Frej Nielsen
PowerMac G4 Dual 867 MHz Verax | iBook G4 12" 1 GHz Combo/AE/BT


Carsten Holck (21-07-2005)
Kommentar
Fra : Carsten Holck


Dato : 21-07-05 00:46

René Frej Nielsen said the following on 20-07-2005 22:42:
> On 2005-07-20 22:21:49 +0200, Carsten Holck <cholck@malling.com.invalid>
> said:
>
>>>
>> Monowall har jeg kørt i ca et år og det kører helt fint - dels på en
>> P120 og dels på en WRAP med VPN:IPsec imellem de to. Begge kører med
>> CF-disk dvs uden HD. Du skal dog sørge for at den har min 128MB.
>>
>> Fin grafisk konfigurations webside, nem at gå til.
>
>
> Ved du om den understøtter flere WAN IP'er?
Det vil jeg mene den skulle kunne konfigureres til - afhængig af hvordan
du vil bruge dem er det ikke sikkert det er med i den grafiske
konfigurationsflade.
Ellers spørg på deres mailingliste - den er ret aktiv
se mere på http://www.m0n0.ch/wall/


>Hvis jeg vil køre den fra en
> harddisk, kan det så lade sig gøre?

Ja det er der ikke noget problem i - kører også fra en CDROM (+ floppy
til konfigurationen

/carsten

Anders Hansen (21-07-2005)
Kommentar
Fra : Anders Hansen


Dato : 21-07-05 07:45

Jeg kan kun anbefale IPcop, har brugt den i 2 års tid nu uden problemmer.
Jeg har 6 WAN-ip'er og det spiller uden problemmer.

Mht til monowall så mener jeg først at flere wan-adresser kommer i den næste
version.

Mvh

Anders Hansen

"Carsten Holck" <cholck@malling.com.invalid> skrev i en meddelelse
news:42dee235$0$166$edfadb0f@dtext01.news.tele.dk...
> René Frej Nielsen said the following on 20-07-2005 22:42:
>> On 2005-07-20 22:21:49 +0200, Carsten Holck <cholck@malling.com.invalid>
>> said:
>>
>>>>
>>> Monowall har jeg kørt i ca et år og det kører helt fint - dels på en
>>> P120 og dels på en WRAP med VPN:IPsec imellem de to. Begge kører med
>>> CF-disk dvs uden HD. Du skal dog sørge for at den har min 128MB.
>>>
>>> Fin grafisk konfigurations webside, nem at gå til.
>>
>>
>> Ved du om den understøtter flere WAN IP'er?
> Det vil jeg mene den skulle kunne konfigureres til - afhængig af hvordan
> du vil bruge dem er det ikke sikkert det er med i den grafiske
> konfigurationsflade.
> Ellers spørg på deres mailingliste - den er ret aktiv
> se mere på http://www.m0n0.ch/wall/
>
>
>>Hvis jeg vil køre den fra en
>> harddisk, kan det så lade sig gøre?
>
> Ja det er der ikke noget problem i - kører også fra en CDROM (+ floppy
> til konfigurationen
>
> /carsten



René Frej Nielsen (21-07-2005)
Kommentar
Fra : René Frej Nielsen


Dato : 21-07-05 22:31

On 2005-07-21 01:45:40 +0200, Carsten Holck <cholck@malling.com.invalid> said:

>> Ved du om den understøtter flere WAN IP'er?

> Det vil jeg mene den skulle kunne konfigureres til - afhængig af hvordan
> du vil bruge dem er det ikke sikkert det er med i den grafiske
> konfigurationsflade.
> Ellers spørg på deres mailingliste - den er ret aktiv
> se mere på http://www.m0n0.ch/wall/

Jeg har siden kigget dokumentationen igennem og det ser ud til at det
kan klare i den grafiske brugerflade under Server NAT.

> Ja det er der ikke noget problem i - kører også fra en CDROM (+ floppy
> til konfigurationen

Muligheden for at køre fra CompactFlash ser spændende ud. Det giver jo
mindre strømforbrug = mindre varme = mindre støj.

--
Mvh.
René Frej Nielsen
PowerMac G4 Dual 867 MHz Verax | iBook G4 12" 1 GHz Combo/AE/BT


Carsten Holck (21-07-2005)
Kommentar
Fra : Carsten Holck


Dato : 21-07-05 23:39

René Frej Nielsen said the following on 21-07-2005 23:30:
> On 2005-07-21 01:45:40 +0200, Carsten Holck <cholck@malling.com.invalid>
> said:
>
>>> Ved du om den understøtter flere WAN IP'er?
>
>
>> Det vil jeg mene den skulle kunne konfigureres til - afhængig af hvordan
>> du vil bruge dem er det ikke sikkert det er med i den grafiske
>> konfigurationsflade.
>> Ellers spørg på deres mailingliste - den er ret aktiv
>> se mere på http://www.m0n0.ch/wall/
>
>
> Jeg har siden kigget dokumentationen igennem og det ser ud til at det
> kan klare i den grafiske brugerflade under Server NAT.
>
>> Ja det er der ikke noget problem i - kører også fra en CDROM (+ floppy
>> til konfigurationen
>
>
> Muligheden for at køre fra CompactFlash ser spændende ud. Det giver jo
> mindre strømforbrug = mindre varme = mindre støj.
>
Jeps, Danbit har en adapter til CF, CNV-IDE-CFm til 199.- bruger den
selv sammen med et gl 32Mb CF-kort - kører fint
/carsten

René Frej Nielsen (22-07-2005)
Kommentar
Fra : René Frej Nielsen


Dato : 22-07-05 01:01

On 2005-07-22 00:39:24 +0200, Carsten Holck <cholck@malling.com.invalid> said:

>> Muligheden for at køre fra CompactFlash ser spændende ud. Det giver jo
>> mindre strømforbrug = mindre varme = mindre støj.
>>
> Jeps, Danbit har en adapter til CF, CNV-IDE-CFm til 199.- bruger den
> selv sammen med et gl 32Mb CF-kort - kører fint

Den har jeg også fundet, samt denne:

http://www.totalcomputer.dk/scripts/prodView.asp?idproduct=909

Nogenlunde samme pris. Ved ikke om der er forskel. Hvordan handler man
hos Danbit? De har jo ingen webshop.

--
Mvh.
René Frej Nielsen
PowerMac G4 Dual 867 MHz Verax | iBook G4 12" 1 GHz Combo/AE/BT


Carsten Holck (22-07-2005)
Kommentar
Fra : Carsten Holck


Dato : 22-07-05 14:39

René Frej Nielsen said the following on 22-07-2005 02:00:
> On 2005-07-22 00:39:24 +0200, Carsten Holck <cholck@malling.com.invalid>
> said:
>
>>> Muligheden for at køre fra CompactFlash ser spændende ud. Det giver jo
>>> mindre strømforbrug = mindre varme = mindre støj.
>>>
>> Jeps, Danbit har en adapter til CF, CNV-IDE-CFm til 199.- bruger den
>> selv sammen med et gl 32Mb CF-kort - kører fint
>
>
> Den har jeg også fundet, samt denne:
>
> http://www.totalcomputer.dk/scripts/prodView.asp?idproduct=909
>
> Nogenlunde samme pris. Ved ikke om der er forskel. Hvordan handler man
> hos Danbit? De har jo ingen webshop.
>
Ring til dem...

/carsten

Ulrik Nielsen (21-07-2005)
Kommentar
Fra : Ulrik Nielsen


Dato : 21-07-05 08:16

Michael Rasmussen wrote:
> On Wed, 20 Jul 2005 20:33:12 +0200, René Frej Nielsen wrote:
> Jeg har stor glæde af http://www.ipcop.org. Den opfylder alle dine behov.
> Nu er jeg ikke helt uvildig, da jeg er impliceret i projektet, så andre
> har sikkert en anden holding.

understøtter IPcop også at man har flere indgående linier ?


--
ulrik nielsen |
-----------------+---------------------------------------------------
quote or the day | We're on Token Ring, and it looks like the token
| got loose.
from bofh | http://www.cs.wisc.edu/~ballard/bofh/

Niels Kristian Jense~ (21-07-2005)
Kommentar
Fra : Niels Kristian Jense~


Dato : 21-07-05 10:06

Michael Rasmussen <mir@miras.org> wrote in
news:pan.2005.07.20.18.40.23.76494@miras.org:

> On Wed, 20 Jul 2005 20:33:12 +0200, René Frej Nielsen wrote:
>
>>
>> Hvad har I erfaringer med?
> Jeg har stor glæde af http://www.ipcop.org. Den opfylder alle dine
> behov. Nu er jeg ikke helt uvildig, da jeg er impliceret i projektet,
> så andre har sikkert en anden holding.
>
> Nu kan jeg se, at du bruger Mac, så måske du også kunne have glæde af
> monowall - FreeBSD baseret.
>

Nu har jeg læst lidt mere på IP-cop. Det er jo en total-løsning med
kerne og det hele (i modsætning til Shorewall, der kører på en eller
anden distribution).

Så jeg har et forslag, nu da du er i projektet:

Kig på ADSL-optimizer patchen, som giver enorm forbedring på ADSL
linier!

Den ses her:

http://www.adsl-optimizer.dk/ADSL-optimizer/patches/

Kort fortalt får den kernen til at regne rigtigt, når den skal vurdere
hvor lang tid det tager at sende en pakke over ADSL - dvs. via ATM
pakker.

Hvis man ikke har denne patch, så kan kernen risikere at regne så meget
forkert, at man skal begrænse sin upstream hastighed med 62% for at
beholde kontrollen over datastrømmen!

Mvh. NKJensen

--
DYT ikke ved E-mail...

Michael Rasmussen (21-07-2005)
Kommentar
Fra : Michael Rasmussen


Dato : 21-07-05 23:07

On Thu, 21 Jul 2005 09:06:12 +0000, Niels Kristian Jensen wrote:

>
> Kig på ADSL-optimizer patchen, som giver enorm forbedring på ADSL
> linier!
>
Jeg har sent dit link videre til developer listen,

--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917


René Frej Nielsen (21-07-2005)
Kommentar
Fra : René Frej Nielsen


Dato : 21-07-05 22:37

On 2005-07-21 11:06:12 +0200, Niels Kristian Jensen
<midlertidigDYT2005@internetDYTgruppen.dk> said:

> Nu har jeg læst lidt mere på IP-cop. Det er jo en total-løsning med
> kerne og det hele (i modsætning til Shorewall, der kører på en eller
> anden distribution).

Netop det at jeg først skulle have en Linux op og køre inden jeg kunne
begynde med Shorewall, var heller ikke specielt tiltalende. Det er nemt
nok at installere en Linux-distribution i dag, men jeg har ingen ide om
hvad der så skal til-/fra-vælges under installationen.

> Så jeg har et forslag, nu da du er i projektet:
>
> Kig på ADSL-optimizer patchen, som giver enorm forbedring på ADSL
> linier!
> Den ses her:
>
> http://www.adsl-optimizer.dk/ADSL-optimizer/patches/
>
> Kort fortalt får den kernen til at regne rigtigt, når den skal vurdere
> hvor lang tid det tager at sende en pakke over ADSL - dvs. via ATM
> pakker.
> Hvis man ikke har denne patch, så kan kernen risikere at regne så meget
> forkert, at man skal begrænse sin upstream hastighed med 62% for at
> beholde kontrollen over datastrømmen!
>
> Er det virkeligt nødvendigt? Jeg vil da gerne have bedste ydelse, men
> det ser en anelse indviklet ud med mit begrænsede kendskab til Linux.


--
Mvh.
René Frej Nielsen
PowerMac G4 Dual 867 MHz Verax | iBook G4 12" 1 GHz Combo/AE/BT


Niels Kristian Jense~ (22-07-2005)
Kommentar
Fra : Niels Kristian Jense~


Dato : 22-07-05 08:49

René Frej Nielsen <spam@rfn.dk> wrote in
news:42e015a3$0$78285$157c6196@dreader1.cybercity.dk:

>> Kig på ADSL-optimizer patchen, som giver enorm forbedring på ADSL
>> linier!
>> Den ses her:
>>
>> http://www.adsl-optimizer.dk/ADSL-optimizer/patches/
>>
>> Kort fortalt får den kernen til at regne rigtigt, når den skal
>> vurdere hvor lang tid det tager at sende en pakke over ADSL - dvs.
>> via ATM pakker.
>> Hvis man ikke har denne patch, så kan kernen risikere at regne så
>> meget forkert, at man skal begrænse sin upstream hastighed med 62%
>> for at beholde kontrollen over datastrømmen!
>
> Er det virkeligt nødvendigt? Jeg vil da gerne have bedste ydelse, men
> det ser en anelse indviklet ud med mit begrænsede kendskab til Linux.

Ja, det er simpelthen nødvendigt, hvis man vil styre trafikken over en
ADSL (og dermed ATM) linie. Ellers skal du begrænse din upload hastighed
med 62% under det nominelle(!)

ATM kører med fast pakkestørrelse på 48 bytes samt et fast overhead.

Når en Linux kerne skal regne på hvor lang tid det tager at sende en
pakke, så antager den at ud-gående linie er en Ethernet linie, som har
variable pakkestørrelser.

ACK-pakker er meget små, kernen tror at de kommer hurtigere afsted end
tilfældet er (pga. ATM-laget) og pludselig har man lavet en kø i
ADSL-modem'et. Så er der forsinkelse og så falder trafikstyringen fra
hinanden.

Det var i meget korte træk et af de vigtige resultater af Jesper
Dangaard Brouer's datalog-speciale.

Mvh. NKJensen

--
DYT ikke ved E-mail...

Michael Rasmussen (22-07-2005)
Kommentar
Fra : Michael Rasmussen


Dato : 22-07-05 09:04

On Fri, 22 Jul 2005 07:49:05 +0000, Niels Kristian Jensen wrote:

>
> Ja, det er simpelthen nødvendigt, hvis man vil styre trafikken over en
> ADSL (og dermed ATM) linie. Ellers skal du begrænse din upload hastighed
> med 62% under det nominelle(!)
>
Dette er kun anvendeligt, hvis man har router - PPPoA?
Jeg antager, at hvis man har et ADSL-modem, kører det med PPPoE?

PS. Jeg har ingen erfaring med ADSL-modem, kun med router opkobling med
Tiscali, TDC og Tele2. Alle disse benytter PPPoA i routeren. Har hørt, at
man har planer om at overgå til PPPoE også i routeren, men det har vist
lange udsigter - læs, en bekostelig proces.

--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917


René Frej Nielsen (22-07-2005)
Kommentar
Fra : René Frej Nielsen


Dato : 22-07-05 14:21

On 2005-07-22 09:49:05 +0200, Niels Kristian Jensen
<midlertidigDYT2005@internetDYTgruppen.dk> said:

>> Er det virkeligt nødvendigt? Jeg vil da gerne have bedste ydelse, men
>> det ser en anelse indviklet ud med mit begrænsede kendskab til Linux.
>
> Ja, det er simpelthen nødvendigt, hvis man vil styre trafikken over en
> ADSL (og dermed ATM) linie. Ellers skal du begrænse din upload hastighed
> med 62% under det nominelle(!)
> ATM kører med fast pakkestørrelse på 48 bytes samt et fast overhead.
>
> Når en Linux kerne skal regne på hvor lang tid det tager at sende en
> pakke, så antager den at ud-gående linie er en Ethernet linie, som har
> variable pakkestørrelser.
> ACK-pakker er meget små, kernen tror at de kommer hurtigere afsted end
> tilfældet er (pga. ATM-laget) og pludselig har man lavet en kø i
> ADSL-modem'et. Så er der forsinkelse og så falder trafikstyringen fra
> hinanden.
> Det var i meget korte træk et af de vigtige resultater af Jesper
> Dangaard Brouer's datalog-speciale.
>
> Ja det lyder jo som nogeter vigtigt a have styr på. Men er det så ikke
> kun når man vil køre med QoS? Hvorfor har ingen haft brug for det før,
> og lige pt kører det jo fint herhjemme uden sådan en patch. Er det kun
> Linux der har problemet?

--
Mvh.
René Frej Nielsen
PowerMac G4 Dual 867 MHz Verax | iBook G4 12" 1 GHz Combo/AE/BT


Niels Kristian Jense~ (23-07-2005)
Kommentar
Fra : Niels Kristian Jense~


Dato : 23-07-05 11:49

René Frej Nielsen <spam@rfn.dk> wrote in
news:42e0f2d1$0$67257$157c6196@dreader2.cybercity.dk:

> On 2005-07-22 09:49:05 +0200, Niels Kristian Jensen
> <midlertidigDYT2005@internetDYTgruppen.dk> said:
>
>>> Er det virkeligt nødvendigt? Jeg vil da gerne have bedste ydelse,
>>> men det ser en anelse indviklet ud med mit begrænsede kendskab til
>>> Linux.
>>
>> Ja, det er simpelthen nødvendigt, hvis man vil styre trafikken over
>> en ADSL (og dermed ATM) linie. Ellers skal du begrænse din upload
>> hastighed med 62% under det nominelle(!)
>> ATM kører med fast pakkestørrelse på 48 bytes samt et fast overhead.
>>
>> Når en Linux kerne skal regne på hvor lang tid det tager at sende en
>> pakke, så antager den at ud-gående linie er en Ethernet linie, som
>> har variable pakkestørrelser.
>> ACK-pakker er meget små, kernen tror at de kommer hurtigere afsted
>> end tilfældet er (pga. ATM-laget) og pludselig har man lavet en kø i
>> ADSL-modem'et. Så er der forsinkelse og så falder trafikstyringen fra
>> hinanden.
>> Det var i meget korte træk et af de vigtige resultater af Jesper
>> Dangaard Brouer's datalog-speciale.
>>
> Ja det lyder jo som nogeter vigtigt a have styr på. Men er det så ikke
> kun når man vil køre med QoS?

Jo. QoS ønskes af alle, der bruger IP-telefoni og samtidigt vil kunne
lade noget download eller p2p køre videre.

> Hvorfor har ingen haft brug for det før,
> og lige pt kører det jo fint herhjemme uden sådan en patch. Er det kun
> Linux der har problemet?

"Fint" er nogen gange godt nok. Uden denne patch vil man være nødt til at
begrænse sin upload til en mindre hastighed end man betaler for.

Hvor meget man skal begrænse upload kommer an på ens trafikmønster. Hvis
man har mange samtidige downloads, så skal der sendes mange ACK pakker og
så ser man problemet som forøget forsinkelse (ping-tid) for pakkerne.

Det betyder især noget for IP-telefoni.

Problemet er generelt for alle routere, der sender ud på en
Ethernet-snitflade og hvor data derefter passerer et ATM-lag. Hvilket
gælder alle ADSL løsninger, der sælges i DK, hvis jeg læser specialet
korrekt.

Michael spørger om PPPoA og PPPoE - men det der har betydning, er hvis
man eet sted i kæden har en konvertering fra Ethernet til ATM som
routeren ikke kender til.

Så vidt som jeg har læst specialet korrekt, så kører alle typer ADSL over
ATM.

Mvh. NKJensen

--
DYT ikke ved E-mail...

René Frej Nielsen (23-07-2005)
Kommentar
Fra : René Frej Nielsen


Dato : 23-07-05 12:41

On 2005-07-23 12:48:41 +0200, Niels Kristian Jensen
<midlertidigDYT2005@internetDYTgruppen.dk> said:

>> Ja det lyder jo som nogeter vigtigt a have styr på. Men er det så ikke
>> kun når man vil køre med QoS?
>
> Jo. QoS ønskes af alle, der bruger IP-telefoni og samtidigt vil kunne
> lade noget download eller p2p køre videre.
>
Det har jeg ikke eksperimenteret med før, men hvis IPCop understøtter
det kan det jo være noget jeg får brug for.

Hvorfor har ingen haft brug for det før, og lige pt kører det jo fint
herhjemme uden sådan en patch. Er det kun
>> Linux der har problemet?
>>
> "Fint" er nogen gange godt nok. Uden denne patch vil man være nødt til
> at begrænse sin upload til en mindre hastighed end man betaler for.
>
Skal det forstås på den måde, at man er nødt til at begrænse sin upload
for kunne få udnyttelse af sin download? Jeg oplever det f.eks. ved
Bittorent, hvor jeg ikke bare kan give los på upload, for så falder min
egen download. Det passer faktisk ret godt, at jeg skal begrænse min
upload til ca. 60% af liniens maksimale kapacitet for at få den højeste
download. Er det her, at denne patch kan gøre en forskel?

--
Mvh.
René Frej Nielsen
PowerMac G4 Dual 867 MHz Verax | iBook G4 12" 1 GHz Combo/AE/BT


Niels Kristian Jense~ (23-07-2005)
Kommentar
Fra : Niels Kristian Jense~


Dato : 23-07-05 20:13

René Frej Nielsen <spam@rfn.dk> wrote in news:42e22cc3$0$67264$157c6196
@dreader2.cybercity.dk:

> Hvorfor har ingen haft brug for det før, og lige pt kører det jo fint
> herhjemme uden sådan en patch. Er det kun
>>> Linux der har problemet?
>>>
>> "Fint" er nogen gange godt nok. Uden denne patch vil man være nødt til
>> at begrænse sin upload til en mindre hastighed end man betaler for.
>>
> Skal det forstås på den måde, at man er nødt til at begrænse sin upload
> for kunne få udnyttelse af sin download?

Ja, og så slå QoS til. Derved får de ACK-pakker, der kræves for at holde
download i gang højere prioritet end andet udgående trafik (som ikke har
problem med at få ACK-pakkerne, der er jo som regel mere download
kapacitet end upload).

> Jeg oplever det f.eks. ved
> Bittorent, hvor jeg ikke bare kan give los på upload, for så falder min
> egen download. Det passer faktisk ret godt, at jeg skal begrænse min
> upload til ca. 60% af liniens maksimale kapacitet for at få den højeste
> download. Er det her, at denne patch kan gøre en forskel?

Nemlig. Derved kan kernen bedre vurdere hvor hurtigt ACK-pakkerne kan
sendes afsted og således undgå at lave en kø foran ATM-delen af en ADSL
forbindelse.

Mvh. NKJensen

--
DYT ikke ved E-mail...

René Frej Nielsen (23-07-2005)
Kommentar
Fra : René Frej Nielsen


Dato : 23-07-05 22:32

On 2005-07-23 21:13:20 +0200, Niels Kristian Jensen
<midlertidigDYT2005@internetDYTgruppen.dk> said:

>> Skal det forstås på den måde, at man er nødt til at begrænse sin upload
>> for kunne få udnyttelse af sin download?
>
> Ja, og så slå QoS til. Derved får de ACK-pakker, der kræves for at
> holde download i gang højere prioritet end andet udgående trafik (som
> ikke har problem med at få ACK-pakkerne, der er jo som regel mere
> download kapacitet end upload).
>
>> Jeg oplever det f.eks. ved Bittorent, hvor jeg ikke bare kan give los
>> på upload, for så falder min egen download. Det passer faktisk ret
>> godt, at jeg skal begrænse min upload til ca. 60% af liniens maksimale
>> kapacitet for at få den højeste download. Er det her, at denne patch
>> kan gøre en forskel?
>
> Nemlig. Derved kan kernen bedre vurdere hvor hurtigt ACK-pakkerne kan
> sendes afsted og således undgå at lave en kø foran ATM-delen af en ADSL
> forbindelse.
>
OK... jeg håber da så at det bliver implementeret i mange enheder og
f.eks. i IPCop. Det ser desværre for indviklet ud for mig.

--
Mvh.
René Frej Nielsen
PowerMac G4 Dual 867 MHz Verax | iBook G4 12" 1 GHz Combo/AE/BT


Søg
Reklame
Statistik
Spørgsmål : 177560
Tips : 31968
Nyheder : 719565
Indlæg : 6408942
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste