NFtables och IPtables : En jämförelse av latens / NFtables and IPtables : A Comparison in Latency

Svensson Eidsheim, Jonas

January 2017

Firewalls are one of the essential tools to secure any network. IPtables has been the defacto firewall in all Linux systems, and the developers behind IPtables are alsoresponsible for its intended replacement, NFtables. Both IPtables and NFtables arefirewalls developed to filter packets. Some services are heavily dependent on lowlatency transport of packets, such as VoIP, cloud gaming, storage area networks andstock trading. This work is aiming to compare the latency between the selectedfirewalls while under generated network load. The network traffic is generated byiPerf and the latency is measured by using ping. The measurement of the latency isdone on ping packets between two dedicated hosts, one on either side of the firewall.The measurement was done on two configurations one with regular forwarding andanother with PAT (Port Address Translation). Both configurations are measured whileunder network load and while not under network load. Each test is repeated ten timesto increase the statistical power behind the conclusion. The results gathered in theexperiment resulted in NFtables being the firewall with overall lower latency bothwhile under network load and not under network load. / Brandväggen är ett av de viktigaste verktygen för att säkra upp nätverk. IPtables harvarit den främst använda brandväggen i alla Linux-system och utvecklarna bakomIPtables är också ansvariga för den avsedda ersättaren, NFtables. Både IPtables ochNFtables är brandväggar som utvecklats för att filtrera paket. Vissa tjänster är starktberoende av att paket som skickas anländer med låg latens. Tjänster som VoIP, cloudgaming, lagringsnät och aktiehandel. Detta arbete syftar till att jämföra latensenmellan de valda brandväggarna under en genererad nätverkslast. Nätverkslastengenereras av iPerf och latensen mäts med hjälp av ping. Mätningen av latensen görs påpingpaketen mellan två dedikerade värdar, en på vardera sida av brandväggen.Mätningen gjordes på två olika konfigurationer, en med vidarebefordran och en annanmed portadressöversättning (eng. PAT, Port Address Translation). Bådakonfigurationerna mäts både under nätverksbelastning och utan nätverksbelastning.Varje test upprepas tio gånger för att öka den statistiska signifikansen bakomslutsatsen. Resultaten som samlats in i experimentet visade att NFtables varbrandväggen med generell lägre latens både under last och inte under last.

firewall

nftables

iptables

security

latency

Computer Sciences

Datavetenskap (datalogi)

LATENCY AND THROUGHPUT COMPARISON BETWEEN IPTABLES AND NFTABLES AT DIFFERENT FRAME AND RULE-SET SIZES / LATENS- OCH GENOMSTRÖMNIGSJÄMFÖRELSE MELLAN IPTABLES OCH NFTABLES VID OLIKA RAM- OCH REGELUPPSÄTTNINGSSTORLEKAR

Jonsson, Tomas

January 2018

Firewalls are one of the most common security tools used in computer networks. Its purpose is to prevent unwanted traffic from coming in to or out of a computer network. In Linux, one of the most common server operating system kernels available, iptables has been the go-to firewall for nearly two decades but a proposed successor, nftables, is available. This project compared latency and throughput performance of both firewalls with ten different rule-set sizes and seven different frame sizes using both linear look-ups and indexed data structures. Latency was measured through the round-trip time of ICMP packets while throughput was measured by generating UDP traffic using iPerf3. The results showed that, when using linear look-ups, nftables performs worse than iptables when using small frame sizes and when using large rule-sets. If the frame size was fairly large and rule-set fairly small, nftables was often performed slightly better both in terms of latency and in terms of throughput. When using indexed data structures, performance of both firewalls was very similar regardless of frame size or rule-set size. Minor, but statistically significant, differences were found both in favour of and against nftables, depending on the exact parameters used. / Brandväggar är en av de vanligaste säkerhetsverktygen som används i datornätverk. Dess syfte är att förhindra oönskad trafik att komma in på eller lämna ett datornätverk. I Linux, en av de vanligaste operativsystemkärnorna som används i serversystem, har iptables varit den rekommenderade brandväggen i nästan två årtionden men en tänkt ersättare, nftables, är tillgänglig. Detta projektet jämförde latens och genomströmning för båda brandväggarna med tio olika storlekar på regeluppsättning samt sju olika ramstorlekar genom både linjära regeluppslag och indexerade datastrukturer. Latens mättes genom tur- och returtid för ICMP-paket medan genomströmning mättes genom att generera UDP-trafik med iPerf3. Resultaten visade att, när linjära regeluppslag användes, nftables presterade sämre än iptables när små ramstorlekar användes samt när stora regeluppsättningar användes. Om ramstorleken var relativt stor samt regeluppsättningen relativt liten presterade nftables något bättre än iptables både i fråga om latens och i fråga om genomströmning. När indexerade datastrukturer användes var prestandan för bägge brandväggarna jämförbar oavsett ramstorlek eller storlek på regeluppsättning. Mindre, men statistiskt signifikanta, skillnader fanns både till nftables för- och nackdel, beroende på vilka parametrar som användes.

Firewall

Iptables

Nftables

Latency

Throughput

Performance

Brandvägg

Iptables

Nftables

Latens

Genomströmning

Prestanda

Computer and Information Sciences

Data- och informationsvetenskap

Vysokorychlostní filtrace síťového provozu / High-Speed Filtration of Network Traffic

Churý, Jan

January 2017

For high-speed (e.g. more than 1 Gbit/s) filtration of network traffic there are available many of proprietary hardware solutions nowadays. But there are also a couple of free licensed projects that are specialized in high-speed packet processing on common hardware. The goal of thesis is to find such projects, verify that there are filtering tools based on these projects, try to filter 10Gbit/s network traffic by these tools and test them against various filtration settings. Implementation of packet filter that could be used for filtration of network traffic up to 10Gbit/s speed should be the output of this thesis.