c't

c't-Projekte - Mailinglisten


[Voriger (Datum)] [Nächster (Datum)] [Voriger (Thread)] [Nächster (Thread)]
[Nach Datum][Nach Thread]

Re: [ctsrvdev] Neue Basis Xen 3 ?

Absender: Peter Siering
Datum: Do, 24.08.2006 18:55:28
In-reply-to: <000001c6c798$615589b0$0801a8c0@nia>
References: <000001c6c798$615589b0$0801a8c0@nia>


On Thu, 24 Aug 2006, Jens Friedrich wrote:

> ich stelle hiermit den  Antrag, von UML auf XEN 3 umzusteigen :-)
>

Angenommen, aber ohne Mitstreiter wird es nicht gehen ;-)

>
> Ich persönlich werde evtl. vom IPCOP weg gehen, wahrscheinlich zu
> fw-builder.
>

fw-builder heisst aber, kein GUI, ipsec zu Fuss ... - oder?

> Ein anderer Favorit wäre Shorewall (evtl. mit GUI in Form von proxmox
> Firewall).
>

Was fuer einen Kernel hat Shorewall? Wie einfach sind die noetigen
Anpassungen, die bei Xen3 ja momentan immer nur fuer aktuellere Kernel zu
haben sind ;-(

Fuers Protokoll: Ich habe einige Stunden darin investiert, den umlisierten
IPCop in einer Xen-DomU an den Start zu bringen. Es scheint aber Probleme
mit dem Abfangen der Systemaufrufe durch UML zu geben. Der Startprozess
stockte hier und da, etwa der Aufruf von ifconfig. Wenn ich ein strace
ergaenzt habe, ging es weiter oder nicht ...

>
> Gründe:
>
> 1)       Xen 3 ist geil und performant und kann PCI Hardware in DomUs
> verwenden (z.B. auch meine FritzCard).
>
> 2)       Ich möchte die zentrale Firewall alleine betreiben (plain) ohne
> zusätzlichen Server/Proxy/Scanner Schnickschnack usw.
>
> 3)       Den Schnickschnack möchte ich in einer dedizierten VM haben :-)
> (XEN bietet IMO ggü UML die notwendige Performance für mehr VMs?)
>
> D.h. für mich:
>
> a.       Die Firewall ist verfügbarer, einfacher und sicherer und läuft
> sofort unter debian mit kernel 2.6
>
> b.       Das Gedöhns mit IPCOP-Kernel oder EFW-Xenisierung entfällt (da EFW
> ja abgeseh. von den 4 ip_xxx_mms Modulen mit dem Xen-kernel läuft?)
> > c.       Updates des SchnickSchnacks (Havp, Frox, SIP etc.)
beeinflussen
> meine Firewall nicht ? bin damit immer online
>
> d.       Ich könnte auch die EndianFirewall als SchnickSchack-Server nutzen,
> obwohl diese keinen
> vernünftigen Update-Mechanismus bietet!
> -> Neue EFW ISO in neuer VM installieren, Konfig übertragen, Fehler beheben
> und dann erst
> auf die neue VM umswitchen
>
> @Peter: Du arbeitest doch bestimmt an einem update des c?t-server auf XEN,
> oder?
>
> Für die Allgemeinheit ist IPCOP aber sicher einfacher zu konfigurieren als
> der
>
> Objekt-orientierte fw-builder ? aber proxmox firewall wäre evtl. eine
> Alternative, die auch einfach
>
> Über GUI zu konfigurieren ist?
>

Im Moment sehe ich in efw2 als interessanteste Alternative, weil es ein
paar Features mitbringt, die ich in ipcop vermisse (openvpn und sip
proxy), Antivirus und Spam-Filter nicht fehl am Platz sind (Samba & Co.
muss man ja nicht benutzen) und _vor allem_ Kernel 2.6 zum Einsatz kommt,
was den Betrieb unter Xen3 erst moeglich macht.

Die efw2-Entwickler haben - so schrieben sie neulich auf ihrer
Mailingliste - Updates fuer aeltere Versionen bereitgestellt.

Peter