<br><div class="gmail_quote">On Thu, Jul 26, 2012 at 1:08 PM, Jacob Appelbaum <span dir="ltr"><<a href="mailto:jacob@appelbaum.net" target="_blank">jacob@appelbaum.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin-top:0px;margin-right:0px;margin-bottom:0px;margin-left:0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
Dennis Ljungmark:<br>
<div><div class="h5">> Hi,<br>
>   We're currently running 6 different 100-200Mbit relay/guard nodes, and<br>
> are looking at some issues moving on towards high performant exit nodes.<br>
><br>
>   There are some administrative issues ( needing another IP block due to<br>
> the RIPE registration, our ISP doesn't want their name on the exit nodes<br>
> that we are responsible for )<br>
>  which are generally minor ( are being resolved anyhow ) and then the big<br>
> stumbling block.<br>
><br>
>  Right now, with iptables modifications ( raw tables hacks to disable<br>
> conntrack, bucket increases, following the general best practices ) our<br>
> firewall is running at high amounts of CPU, but coping.  However, once we<br>
> start introducing Exit Nodes into this equation, things turn sour.<br>
><br>
> So, since we do not want to trust only routing level separation between<br>
> Exit Nodes and internal networks, we're going to have to invest into new<br>
> hardware that can cope with this.  Before this, we tried Ingate firewalls,<br>
> and they weren't capable of coping with the load of guard nodes.<br>
><br>
>   ( The traditional "linux box in front" doesn't quite cut it due to<br>
> networking hardware in most cases. )<br>
><br>
> So,<br>
>   in summary,  when you get to the point of actively dealing with 8-900Mbps<br>
> of Tor traffic ( on top of normal users and others) what hardware is needed<br>
> to cope with firewalling?<br>
><br>
<br>
</div></div>Hey Dennis,<br>
<br>
What hardware are you using? In general iptables/netfilter should be<br>
able to handle more than 200Mb without any trouble at all.<br>
<br>
I wonder if your network card is an issue? What CPUs are you using? What<br>
versions of OpenSSL and other relevant software are in use?<br>
<br>
All the best,<br>
Jacob<br>
<br>
</blockquote></div><br><div>Hardware on the Firewall, or on the Tor nodes? Note here that the tor nodes are not our current bottleneck, so SSL Decoding/OpenSSL isn't part of the problems here. We're getting 200Mbps without trouble, but the network cards in the current firewall   (separate from the Tor nodes) is capping out at ~800Mbps.  ( Not good enough imo, but another issue )</div>
<div><br></div><div>The problem that I have is that the current i686 (32bit) firewall  cannot cope with the connections once we move into exit node land.</div><div><br></div><div>Due to other network issues, we cannot "carte blanche" disable connection tracking ( Fex. Traffic from Tor exit nodes to other corporate networks need to be tracked,  as well as corp net / public wifi need tracking and tracing )</div>
<div>( Since it's all on a single fiber incoming, we don't have the option of physically separating them. )</div><div><br></div><div>//D.S.</div><div><br></div>