Firewall, CPU-Auslastung und SSH

[Frank Matthieß]

Montag den 16.09.2002 um 10:39 CEST  +0200, schrieb Markus Wigge:
> Tag,
> 
> ich hab hier im Netz einen alten Banzai 1-Disk-Router durch ein fli4l
> Ersetzt (Nach einer Netzumstellung lief der Banzai leider nicht mehr so
> wie er sollte und mir fehlt die Doku dazu...)
> 
> Die Hardware der Kiste ist sehr *räusper* moderat. Ein 486DX/2 66 mit 8MB.

Für ISDN sollte das allemale reichen.
> 
> Vor der Umstellung hatte ich das Phänomen das ein Versuch mit ssh auf
> eine Maschine hinter der Firewall zu gelangen mit einem sehr langen
> Verbindungsaufbau quitiert wurde (bis zu 30 sec. auf Passworteingabe
> warten).
> Nach der 1. Umstellung auf fli4l OHNE Firewall-Regeln war diese
> Latenzzeit weg. Auch wenn ich die SSH-Regeln (DNS ist auch frei) als
> erste in die ipchains-Liste setze geht das ganze recht fluffig.
> 
> In der Standard-Konfig stehen die SSH-Regeln an 4. Stelle und prompt
> habe ich wieder diese Latenzzeiten...
> 
> Ist es denkbar das ein DX/2-66 nicht ausreicht um mit 52 ipchains-Regeln
> fertig zu werden?

Die Regeln, die _sehr_ häufig zuschlagen, sollten möglichstweit oben
stehen.

> 
> Woran kann sowas noch liegen?
> 
> Wie kann ich z.B. die CPU-Auslastung kontrollieren (Load Average sagt da
> wohl nicht so viel aus)?
> 
> Gibt es irgendwo Richtwerte für Hardwareanforderungen die zur
> IP-Filterung benötigt werden?


Für ISDN sollte die Systemleistung ausreichen: Wir reden über 8KByte
Brutto pro Sekunde.

Bist Du sicher das der Flaschenhals nicht woanders liegt?

-- 
Frank Matthieß                                          fm at Microdata-pos.de