Question: Throughput new Hardware

Hi, 

The IPS (and HTTP proxy with A/V if you're using it between VLANs) is going to be your primary bottleneck.

There's an ongoing discussion about IPS performance in another thread.

Anyways, my single-core Atom 1.6GHz can only do about 45 or 50mbps through the IPS.
If you need higher speeds than that, you can create IPS exceptions for specific traffic/networks, in which case you should be able to get full gigE speeds, if you have good (Intel or Broadcom are best) NICs.
Or you could get a much faster CPU (i3 or i5).
Another user reports over 500mbps with IPS on from LAN to DMZ, on a Xeon CPU.

I don't know if you're using an IDS/IPS in pfSense. If you're not, maybe VMWare is holding you back.
What NIC drivers are you using in VMWare? The 'flexible' drivers are known to perform badly, at least on Linux, but I'm not sure about BSD.

Barry

Thanks for your reply. I've used ESXi on this particular machine just for testing purposes, so i'm going to install Sophos UTM without any hypervisor in place. It sounds great that i can disable IPS for particular paths (for example VLAN1 -> VLAN2) so i can backup data to my NAS as fast as the NAS performs [:)] 

This is, to be honest, exactly what i need. I do not need any IPS in place anyway, Firewalling is enough for my network. I might enable IPS for my DMZ then, because i'm running several webservers and databases there.

I've got one last question: Is it possible to receive a 100-IP-Home-User license for professional home users who are actually having a lot of hardware in place? I'm asking because i've got several virtual/dedicated machines and devices connected to my network and also i'm working with IPv6 over here which causes trouble with the 50-User license (my machines are working each with an own /64).

Kind regards and thank you for your answers.

nope 50 is the limit for free..otherwise you need to purchase.

Also on the atom with ips on you won't see 180 megabits..ever..might not with it off..that's just a weak cpu.  I would go core i3 3.0 ghz.

nope 50 is the limit for free..otherwise you need to purchase.

Also on the atom with ips on you won't see 180 megabits..ever..might not with it off..that's just a weak cpu.  I would go core i3 3.0 ghz.

On the DMZ i max need around 100 mbit so its fine i guess. Will setup the machine today and tell you more about how it runs [:)]

Update:

I've successfully installed Sophos UTM 9 on my Intel D2500CC now (all available updates installed), here are the statistics:



The setup is as follow:

- 1. NIC = WAN
- 2. NIC = MANAGEMENT (VLAN 1)
- 3. NIC = TRUNK (VLAN 2,3,4,5,6...)

Speedtest (same VLAN):


So i'm nearly pushing 1 Gbit through my internal network in the same VLAN which is GREAT. Load didnt went over 10 % while transferring on 1 Gbit [:)]

Speedtest (different VLAN):


Throughput over different VLANs is ~ 850-900 Mbit

All tests with just firewall in place. Rules are set to allow everything between everything (except WAN)

One question remaining: If i test the throughput in the same VLAN, traffic isnt shown in the dashboard and neither in the network-traffic section. Am i missing something? Also traffic between hosts in the same VLAN does NOT pass the UTM, is this a normal behavior? 

Answer found in the Forum => Hosts in the same Subnet / VLAN does NOT pass traffic through the UTM (ovious brainlag by myself, ofcourse this traffic is beeing switched and not routed!)

Right about the VLANs.

That's good performance.

You can enable the IPS for your LAN and DMZ (to protect them from the Internet, note that it helps protect against hostile web sites and other things too), and just create an except for LAN TO DMZ traffic if you want higher performance.

Barry

Right about the VLANs.
You can enable the IPS for your LAN and DMZ (to protect them from the Internet, note that it helps protect against hostile web sites and other things too), and just create an except for LAN TO DMZ traffic if you want higher performance.

Barry

I see no benefit in enabling IPS. Due to the fact that the firewall blocks all ports by default, which are not explicitly set to "open", its all about AV on the hosts behind the UTM. The only thing which is of my interest is the Anti-DDoS part which sounds quite nice.

 note that it helps protect against hostile web sites 

Cheers - Bob

I see no benefit in enabling IPS. Due to the fact that the firewall blocks all ports by default, which are not explicitly set to "open", its all about AV on the hosts behind the UTM. The only thing which is of my interest is the Anti-DDoS part which sounds quite nice.

IPS scans the traffic you are allowing through the firewall.  The firewall stops the casual stuff but for the folks that know how to ride your allowed data the IPS is a useful additional layer of defense.

Thanks so far :-)

I've got two questions remaining but i dont want to create a new thread:

1. Which IPs count against the limit (i even get IPs which were never connected in my LAN in my IPs listung for my license)

2. Why do IPv6 count as is, one of my hosts have 10 IPv6 so its beeing counted 11 times including IPv4

3. Are static IPs are counted?