Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 1083 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Packet Filter Configuration/Performance

mhaug
Is there a preferred way to setup packet filters, or one way that is faster/lighter load on the Astaro320?

Example: I have a group called Servers, which have an outbound packet filter that allows http/s to any.
I also have specific servers that are not in the group. I have a packet filter for each of them configured the exact same as the group above.

My question is which method performs better, single packet filter for a group with many members (40-50) or individual packet filters for each?
OR
Does it really matter?

Thanks


This thread was automatically locked due to age.
  • 0
    I'd say in this case one rule would be more efficient and quicker to run [:)]
  • 0 in reply to absolut_legend
    Well, in 8.2xx, they have implemented ipsets, which pretty much negates any advantage either of your techniques have over the other as far as performance... so I'd go with the easiest to organize and manage method in this case.

    In previous versions, though, with decent hardware and reasonable load, I've not seen much difference between having 10 rules and 75 rules implemented... but I imagine under heavy loads with marginal hardware resources, it can make a difference.

    I do not recommend running Version 8.2xx at this time, due to a number of issues that are still to be rectified (probably in a future release of 8.202).
  • 0
    Groups are sooo much better to manage than 50 billion PF rules all scattered about in different numbers and colors. That's just my opinion and I have lots groups of Trading Software 1-10> Groups of Quote providers/execution servers
    Cameras> Groups> Ips that can see me 
    etc.
  • 0
    Grouping is definately better (at least since 8.1 and especially since 8.2).

    a) Groups helps to keep you a better overview over your rulesets (3 pages with well grouped rules are cooler than 25 pages of single rules...)

    b) In 8.1 multiport was introduced, which already was able to shrink the number iptables rules, which will be created from the backend, if service groups were used. IPSET introduced in 8.200 is very beneficial especially for large rulesets, but furthermore shrinks rules, if also network groups are used.

    On a normal loaded appliance the difference isn't that obvious, but with a lot of rules and a lot of new connections per/s you will feel a difference. Simply test the time if you ping a server. before 8.1 (8.2) first ping always took a multiple times of the following pings (time to match a rule). I personally felt the difference, when opening a RDP connection to a terminalserver. There always was a noticeable delay until connection started. With 8.2 it starts immediately.

    However, I'm not developer, but a very interested recipient, if our geniuses from R&D explaines these techniques to us "ordinary mortals"...*bigrespect*
  • 0
    The firewall/packet filter processes visible rule in numerical order and stops processing when a rule matches, so it is more efficient to place rules that will match most often higher in the list (Lower number.  e.g. rule #1 will be processed first, then rule #2, etc.).