Hallo,
Ich habe einen 1681v mit drei Subnetzen, dem Content Filter und ein paar Firewallregeln - der Router hat bei ca. 35MBit/s Traffic am VDSL 50 Anschluss 99% CPU und erreicht daher nicht die volle Bandbreite.
Der Speedport der Telekom bringt an der Leitung ~47Mbit/s, die Leitung wurde auch schon von einem T-Techniker gecheckt, alles ok.
Die Idee ist, dass es insgesamt drei Subnetze gibt, die unterschiedliche IP-Bereiche haben und vollständig voneinander getrennt sind, sich also auch über den Router nicht gegenseitig sehen.
Zusätzlich soll für 2 der 3 Subnetze der Content Filter aktiv sein.
Der Zugriff auf das HTTP des WANs ist in diesen zwei Netzwerken immer nur jeweils einer IP aus dem Subnetz gestattet (einem Squid Proxy).
(Netzwerk 3 ist unbeschränkt und ohne Content Filter und Proxy).
Ich vermute, dass ich die Firewallregeln ungeschickt eingegeben habe und daher die CPU-Last so hoch ist. Ich habe schon aus dem "REJECT" ein "DROP" gemacht, in der naiven Hoffnung, dass dann vielleicht ein bisschen weniger Load auf der CPU ist, aber das brachte ca. 1%.
Anbei Screenshots der Regeln.
Ich wäre sehr dankbar, wenn sich jemand die Regeln mal ansehen könnte - mit Verbesserungsvorschlägen. Danke!
1681v mit drei Subnetzen und Firewallregeln hat 99% CPU :/
Moderator: Lancom-Systems Moderatoren
1681v mit drei Subnetzen und Firewallregeln hat 99% CPU :/
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Hi,
sobald ich die Regel deaktiviere, habe ich die volle Bandbreite bei ca. 18% CPU-Last.
macht es Sinn, wenn ich den Filter nur "WEB" checken lasse und nicht "TCP", oder ist das ein Sicherheitsrisiko?
Der Content Filter ist in einer Schule dazu da, die Kiddies davon abzuhalten, im Unterricht Schweinekram anzusehen… und Kiddies sind da ja sehr kreativ. Aber alles andere ausser http Traffic auf Port 80 kann der Content Filter ja sowieso nicht wirklich filtern, oder?
sobald ich die Regel deaktiviere, habe ich die volle Bandbreite bei ca. 18% CPU-Last.
macht es Sinn, wenn ich den Filter nur "WEB" checken lasse und nicht "TCP", oder ist das ein Sicherheitsrisiko?
Der Content Filter ist in einer Schule dazu da, die Kiddies davon abzuhalten, im Unterricht Schweinekram anzusehen… und Kiddies sind da ja sehr kreativ. Aber alles andere ausser http Traffic auf Port 80 kann der Content Filter ja sowieso nicht wirklich filtern, oder?
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Hi p0ddie
Da der Kontentfilter eh nur HTTP(s) überprüft und alles andere "ignoriert" ändert sich am Risiko nichts...
Das Problem im allgemeinen ist, daß der Kontentfilter als Proxy arbeitet, also die TCP-Session auf der PC-Seite terminiert und eine neue Session zum Server aufbaut und somit alle Daten von der einen in die andere Session kopieren muß, was massiv Performance kostet. Ohne den Kontentfilter reicht das LANCOM die Pakete einfach nur weiter.
ggf. brauchst du da ein dickeres Gerät, wenn du mit dem Kontentfilter tatsächlich die 50MBit voll ausnutzen willst - oder du drosselst den Traffic über den Kontentfilter (z.B. globales Limit: 20Mbit/s), so daß das "ungefilterte" Netz den Rest der Bandbreite noch (sinnvoll) nutzen kann... Da der Kontentfilter ja "nur" für die Schüler ist, dürfte eine solche Drosselung kein Problem sein.
Gruß
Backlash
macht es Sinn, wenn ich den Filter nur "WEB" checken lasse und nicht "TCP", oder ist das ein Sicherheitsrisiko?
Da der Kontentfilter eh nur HTTP(s) überprüft und alles andere "ignoriert" ändert sich am Risiko nichts...
Das Problem im allgemeinen ist, daß der Kontentfilter als Proxy arbeitet, also die TCP-Session auf der PC-Seite terminiert und eine neue Session zum Server aufbaut und somit alle Daten von der einen in die andere Session kopieren muß, was massiv Performance kostet. Ohne den Kontentfilter reicht das LANCOM die Pakete einfach nur weiter.
ggf. brauchst du da ein dickeres Gerät, wenn du mit dem Kontentfilter tatsächlich die 50MBit voll ausnutzen willst - oder du drosselst den Traffic über den Kontentfilter (z.B. globales Limit: 20Mbit/s), so daß das "ungefilterte" Netz den Rest der Bandbreite noch (sinnvoll) nutzen kann... Da der Kontentfilter ja "nur" für die Schüler ist, dürfte eine solche Drosselung kein Problem sein.
Gruß
Backlash
Danke!