你的服务器用的是什么防火墙

fanxiaonan

没有做nat，比较这个数据转发还是要经过cpu处理的，所以性能上是有所下降的。

skylove

原帖由 fanxiaonan 于 2006-9-11 15:40 发表
没有做nat，比较这个数据转发还是要经过cpu处理的，所以性能上是有所下降的。

性能肯定是有所下降的，至于下降多少，得看其中设置的策略多少，设置的位置，以及cpu/主板的性能吧。

fanxiaonan 先生有没有兴趣进一步介绍一下呢？ 由于用户比较大，我一直对性能的提升和测试比较看重，所以如果可以，想请您介绍一下测试方法以供学习，谢谢您。

bili

我们当年买的硬件防火墙就是ipfw这样的东东
一有病毒就当机，后来用服务器装了个IPTABLES，比它好了多少倍

fanxiaonan

因为我们测试主要是测试免费的dns bind和商业dns的的性能，加不加iptables只是其中的一个项目，对于多少策略对性能影响没有做详细的测试。
所以针对性iptables的测试是没有做的。

skylove

原帖由 fanxiaonan 于 2006-9-12 11:24 发表
因为我们测试主要是测试免费的dns bind和商业dns的的性能，加不加iptables只是其中的一个项目，对于多少策略对性能影响没有做详细的测试。
所以针对性iptables的测试是没有做的。

还是谢谢您的耐心解答了。

顺便问一下，在一个同时在线最高近1w用户的网络环境中，dns的并发大致上有多大？由于dns查询的特殊性（一次查询失败后不再继续找另一个dns server查询），所以我想询问，如果条件有限，无法做dns集群，有无可能在一台设备上完成呢？ 该设备大致需要什么样的配置才能胜任呢？

我目前的做法是在各自的vlan内分别设置dns server。。。

teddy981345

如果IPTABLES机器配置好一点,内存大一点,拖几万用户上网绝对没有问题,还可以做成其它的,如果透明啊等

skylove

原帖由 teddy981345 于 2006-9-13 08:37 发表
如果IPTABLES机器配置好一点,内存大一点,拖几万用户上网绝对没有问题,还可以做成其它的,如果透明啊等

不知道兄台使用的是何种主板及多大内存？ 可否将目前的实施案例略作分享？

xuxingyu

其中用的都是用CGI规范，调用iptables呵呵，其实几千块的东东，然后卖给客户几万，不知道现在企业怎么想的．．．

Yuri.G.

哪来什么硬件防火墙啊?
现在就几乎没有那个厂商产硬件防火墙了.
说硬件防火墙那都是扯淡.怎么可能呢?
是不是加一个策略就得做一个芯片啊?

fz-L

硬件防火墙本身就是linux或者bsd嘛，只是硬件的承受能力强了