[HaBo]

iko79 · 30.04.08, 09:06

Hallo,

hier hab ich gelesen, dass eine firewall beim durchforsten von verbindungslosen daten länger braucht. kann das stimmen? wenn ja, warum? hat vll wer eine verlässliche quelle dafür?

danke!

**bitmuncher** · 30.04.08, 09:35

Ich denke nicht, dass das Durchsuchen der Pakete länger dauert. Im Fall der Linux-Firewall dürfte die Ursache wohl am ehesten in der Begrenzung der erlaubten UDP-Pakete in einem festgelegten Zeitraum sein, wodurch es dem Client erscheint, als würde die Verbindung länger dauern. Hinzu kommen natürlich auch mögliche Fehlerquellen wie Konfigurationsfehler (REJECT-Regeln für UDP-Verbindungen, anstatt DROP usw.). Solange also nicht genau spezifiziert ist, wie die Firewall konfiguriert ist, kann man solche Geschwindigkeitsbremsen nicht ausschliessen.

Anzeige

- Anzeige -

KlausSchiefer · 30.04.08, 11:08

Zitat:

dass eine firewall beim durchforsten von verbindungslosen daten länger braucht. kann das stimmen?

Im Endeffekt, ja

Zitat:

Ich denke nicht, dass das Durchsuchen der Pakete länger dauert.

Das stimmt. Nur werden bei stateful Verbindungen eben nicht mehr alle Packete
so intensiv analysiert wie es bei verbindungslosen Packeten der fall ist (sein muss).

Wenn TCP Verbindungen aufgebaut werden, werden die hergestellten Verbindungen in state-tables gelistet.
Das ist dann das was man statefull firewalling nennt. Nach einem erfolgreichen 3-way-handshake behält die Firewall einen ACK oder established state im Speicher.
Wenn dann packete an der Firewall ankommen, muss für TCP Verbindungen eigentlich nur in die State Table der Firewall geschaut werden, die üblicherweise im RAM liegen. Wenn die Kriterien eines reinkommenden Packets den Daten aus der State Table entsprechen darf es durch. Dh es wird geschaut ob das Packet einer bereits etablierten Verbindung zugeordnet werden kann.

UDP ist stateless und von daher muss jedesmal geschaut werden von wo wohin und ob erlaubt. Und das dauert (im kleinen Massstab) lange. Zwar gibt es Eselsbrücken um so etwas wie State Tables für UDP zu führen, aber viele Produkte tun das wahrscheinlich (noch) nicht und dann ist es fraglich ob das wirklich Sinn macht, vermutlich nicht.

Zitat:

hat vll wer eine verlässliche quelle dafür?

Verlässliche Quellen sind Dokumentationen über Stateful Firewalls, SPI.

**bitmuncher** · 30.04.08, 11:23

Zitat:

Original von KlausSchiefer
Zwar gibt es Eselsbrücken um so etwas wie State Tables für UDP zu führen, aber viele Produkte tun das wahrscheinlich (noch) nicht und dann ist es fraglich ob das wirklich Sinn macht, vermutlich nicht.

Sofern Connection Tracking mit iptables verwendet wird, werden auch State Tables für UDP in /proc/net/ip_conntrack abgelegt. In dem Fall wäre es also auch in gewisser Weise ein Konfigurationsfehler.

KlausSchiefer · 30.04.08, 12:03

Zitat:

In dem Fall wäre es also auch in gewisser Weise ein Konfigurationsfehler.

Wie meinst du das?

**bitmuncher** · 30.04.08, 12:07

Naja, wer ein Protokoll verwendet, das auf UDP aufbaut und kein conntrack nutzt, muss damit rechnen, dass die Geschwindigkeit darunter leidet. Natürlich nur im Kontext von iptables gesehen.

iko79 · 05.05.08, 21:35

re....

dankeschön!

Anzeige

- Anzeige -

30.04.08, 09:06	#1 (permalink)
iko79 Registriert seit: 17.05.05 Likes: 0	Durchsuchen von UDP-Paketen langsamer? Anzeige Hallo, hier hab ich gelesen, dass eine firewall beim durchforsten von verbindungslosen daten länger braucht. kann das stimmen? wenn ja, warum? hat vll wer eine verlässliche quelle dafür? danke!

30.04.08, 09:35	#2 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Likes: 442	Ich denke nicht, dass das Durchsuchen der Pakete länger dauert. Im Fall der Linux-Firewall dürfte die Ursache wohl am ehesten in der Begrenzung der erlaubten UDP-Pakete in einem festgelegten Zeitraum sein, wodurch es dem Client erscheint, als würde die Verbindung länger dauern. Hinzu kommen natürlich auch mögliche Fehlerquellen wie Konfigurationsfehler (REJECT-Regeln für UDP-Verbindungen, anstatt DROP usw.). Solange also nicht genau spezifiziert ist, wie die Firewall konfiguriert ist, kann man solche Geschwindigkeitsbremsen nicht ausschliessen. __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+

30.04.08, 12:07	#6 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Likes: 442	Naja, wer ein Protokoll verwendet, das auf UDP aufbaut und kein conntrack nutzt, muss damit rechnen, dass die Geschwindigkeit darunter leidet. Natürlich nur im Kontext von iptables gesehen. __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
WEB SERVER durchsuchen	FacomUnit	Webmaster-Security	7	04.07.07 19:57
Objektarrays durchsuchen	Sunstepper	(Web-) Design und webbasierte Sprachen	9	28.03.06 22:54
Suche Programm zum Filtern von TCP-Paketen!	bongs	Network · LAN, WAN, Firewalls	2	19.11.05 03:26
Langsamer Win XP	nox89	Windows	6	19.04.04 19:54
Opera 7.11 Deutsch - Langsamer?	Chris	Applikationen	2	18.09.03 17:52

05.05.08, 21:35	#7 (permalink)
iko79 Themenstarter Registriert seit: 17.05.05 Likes: 0	re.... dankeschön!

[HaBo]

Durchsuchen von UDP-Paketen langsamer?