[FUG-BR] IPFW FWD em Bridge - Luiz Souza

Patrick Tracanelli eksffa em freebsdbrasil.com.br
Sexta Outubro 4 14:28:30 BRT 2013


--
Patrick Tracanelli

FreeBSD Brasil LTDA.
Tel.: (31) 3516-0800
316601 em sip.freebsdbrasil.com.br
http://www.freebsdbrasil.com.br
"Long live Hanin Elias, Kim Deal!"

Em 04/10/2013, às 13:28, Renato Frederick <renato em frederick.eti.br> escreveu:

> Em 04/10/13 12:35, Patrick Tracanelli escreveu:
>> 
>> Em 04/10/2013, às 11:56, Renata Dias <renatchinha em gmail.com> escreveu:
>> 
>>> Patrick,
>>> 
>>> Eu consigo rodar este mesmo patch
>>> http://loos.no-ip.org:280/lusca_bridge.diff no 9.2-STABLE ?
>> Renata, não consegue não. A partir do MFC do PFIL pro IPFW e bridge, alguma coisa quebrou (acho que a forma que os mbuff tags são marcados, não sei) e esse patch apesar de aplicar normalmente, com pouca mudança (so o path do ip_fw2.c saindo do netinet) não funciona mais.
>> 
>> O MFC aconteceu em algum momento entre o 9.1-RELEASE e o 9.1-STABLE então se mantenha no 9.1-RELEASE-pX se precisa desse patch. O Loos comentou comigo que ia arrumar um tempo pra investigar o que quebrou exatamente que esse patch não funciona mais.
>> 
>> Melhor que investigar/corrigir/gerarnovopatch é que agora com commit bit do src quem sabe ele não consiga commitar em definitivo ;-) Seria o ideal! :D
>> 
>> Loos esse patch foi send-pr(1)? Se foi fala o PR # ai, se tiverem muitos aqui na lista que precisam desse patch sugiro que todos dêem follow-up em um possível PR pra ajudar a dar a importância devida ao patch e mostrar a importância dele entrar na base.
>> 
>> 
>> 
> Mudando o papo.
> 
> Como fica a performance? Ambiente com vários pps e grande quantidade de 
> Mb? Tipo um médio ou grande isp?
> Já teve gente que se recusou a instalar thundercache em bridge devido a 
> performance, tanto em linux quando bsd. Já tive gente que ao mesmo tempo 
> vende appliance de cache de outros fabricantes que só funcionam em 
> bridge, desligam o cabo que vai no router, poe a bridge e liga ela no 
> router, usam ate aquelas placas que se desligar o appliance da energia, 
> ela chaveia, de modo que se o appliance der algum problema, basta tirar 
> da tomada…

Eu pessoalmente não gosto da topologia em bridge. Ela é fácil vender/instalar mas não escala tão bem, e sem uma rede com Fail Open realmente em um evento de falha é bem menos trivial, envolve intervenção física ou um ambiente preparado pra redundância sem IP como 802.1w. Muita gente acha que por em bridge ou paralelo da na mesma pro hardware. Por algum motivo que mal consigo imaginar qual seja, acreditam que seja a mesma coisa. Além de diferente em consumo de recurso (sim bridge consome mais que um mero forwarding de pacote) colocar em bridge ja define uma taxa de PPS muito maior pela obvia razao de voce colocar o ISP inteiro passando ali, não apenas porta 80 que é direcionado seletivamente em um ambiente paralelo. Que em caso de falha basta parar de desviar, simples como um watchdog.sh ou watchdog no mikrotik o que for…

Alem disso todo o lixo que chega numa porta vai pra outra. E isso inclui broadcast, multicast, virus hehehe. O entendimento que a mudanca não é apenas topologica normalmente é negligenciado quando se tuxa em bridge.

> Eu sempre evitei, até porque estes patchs me cansam de aplicar, ás vezes 
> quebram na hora de aplicar, fica incompatível e prá mim uma bridge, que 
> tem que analisar tudo que passa, seja ip, tcp, udp, ipsec, gre, sei lá o 
> que mais, só prá fazer cache de um protocolo específico, é perda de 
> dinheiro, onera demais a caixa.

Eu concordo exatamente com esse ponto.

> Patrick, os softwares  que vocês estão alugando que fazem a análise web, 
> tem conceito de bridge? Ao mesmo tempo, muito cliente tem receio de 
> tirar uma caixa cisco ou juniper ou mikrotik, ou sonicwall ou seja lá o 
> que esteja rodando que faz firewall ou router e colocar um novo router 
> bsd ou qq outra coisa que não conhecem. Neste caso, para análise de 
> tráfego online, uma bridge fica perfeita, até o cara obter confiança e 
> permitir usar a caixa de novo como router.

Sim, tanto bridge quanto espelhamento de porta ou recebendo netflow ou ainda indo buscar snmp. Todas as formas possíveis ;-)

> 
> 
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd



Mais detalhes sobre a lista de discussão freebsd