[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Virtualização de Firewall IPtables



Apesar de não ter experiência própria em virtualização de firewall,
acompanho a lista de discussão do OpenBSD (excelente para uso como
firewall, estou gostando muito), e houve uma thread exatamente sobre
esse tópico. Todos foram enfáticos em NÃO virtualizar firewall.

O que te informo da minha experiencia de servidore com virtualbox é:
não faça. O virtualbox é um produto muito bom, eu mesmo acompanho de
perto o desenvolvimento, mas o seu hypervisor simplesmente não é
robusto o suficiente para uso 24/7. Já passei por essa experiência e
foi aterrorizante.

2010/12/16 Gustavo Soares [SLot] <slot.mg@gmail.com>:
> Você poderia dar uma olhada no XEN[1], utilizo ele a bastante tempo com
> Banco de Dados, Firewall[2] e Samba.
>
>
> [1] http://wiki.xen-br.org/
> [2] http://wiki.xen-br.org/Firewall-dmz-net
>
> Em 16-12-2010 13:28, Anacleto Junior escreveu:
>
> Poxa vida gente, estou ficando com medo! rs
> Trabalho em uma pequena-média empresa, temos 70 usuários aqui na matriz e
> mais alguns externos, não passando de 100.
> Nosso orçamento é bem apertado, consegui comprar um switch 3Com gerenciável
> com bastante custo (o qual ainda não aprende a utillizá-lo totalmente).
> Tenho alguns hardware de servidor, Dell e IBM mas o setor Financeiro não
> quer investir no momento (aquela velha história do setor de TI gerar
> custos). Aí que meu gestor decidiu virtualizar esse firewall, pois ele é
> muito pouco utilizado (recursos da máquina).
> Uma das ideias dele é virtualizar o Samba também, onde temos o sistema de
> arquivos. Alguém já fez esse procedimento?
> Se mais colegas tiverem opiniões para colaborar, eu agradeço, está sendo
> muito construtiva essa ajuda.
> Obrigado
>
> Em 16 de dezembro de 2010 13:18, Eden Caldas <edencaldas@gmail.com>
> escreveu:
>>
>> Também não recomendo virtualizar firewall. Compra um hardware de servidor
>> do mais barato que tem e coloca ele lá. Ou então deixa em máquina montada
>> mesmo, só que a atenção nela vai ser o dobro e fique preparado para
>> surpresas.
>>
>>
>> Em 16 de dezembro de 2010 10:10, Bruno Ayub <bruno.ayub@gmail.com>
>> escreveu:
>>>
>>> Bom dia Anacleto!
>>>
>>>
>>>
>>> Eu sou bem cético em relação à virtualização dos hosts de infraestrutura.
>>> Enquanto firewalls de mercado como Checkpoint, Cisco (ASA, FWSM), etc custam
>>> uma quantia considerável, firewalls que rodam em Linux e OpenBSD custam
>>> basicamente o equivalente ao hardware que eles estão instalados.
>>>
>>> Considerando que você vai migrar o firewall para uma máquina virtual,
>>> implica em uma economia de hardware. Me desculpe a expressão, mas é uma
>>> economia porca. Tudo em função da importância do elemento na rede e mais
>>> ainda em função do custo/benefício que a solução livre entrega.
>>>
>>> Se ainda insistir em migrar, sugiro que deixe ao menos o proxy fora dessa
>>> estrutura. Evite dores de cabeça!
>>>
>>>
>>>
>>> Boa sorte!
>>>
>>>
>>>
>>> 2010/12/16 Anacleto Junior <suporte.anacleto@gmail.com>
>>>>
>>>> Bom dia colegas da Lista,
>>>>
>>>> Aqui onde trabalho estamos planejando a migração do iptables para uma
>>>> máquina virtual (VirtualBox) como objetivo de liberar a máquina física para
>>>> um serviço mais exigente e também atualização do sistema operacional (vamos
>>>> por o Lenny).
>>>> Algumas dúvidas me surgiram quanto à isso, já que sou o "Linux Guy" do
>>>> departamento, eu que vou ter que fazer isso. Aqui vão elas:
>>>>
>>>> Na situação atual, meu firewall tem 2 placas de rede, uma local (ex:
>>>> faixa 192) e uma WAN (ex faixa 10). Como devo configurar no VirtualBox o uso
>>>> dessas placas? Seria melhor criar alias para as interfaces?
>>>> Nesta mesma máquina virtual, imaginei colocar o Squid também. Quais
>>>> problemas eu enfrentaria colocando o proxy junto ao firewall virtualizado?
>>>> Seria melhor isolar?
>>>>
>>>> Quem puder me ajudar eu agradeço.
>>>> --
>>>> Anacleto Júnior
>>>> Linux User: #447388
>>>> http://www.anacletojr.info
>>>>
>>>
>>>
>>>
>>> --
>>> Bruno Ayub.
>>
>
>
>
> --
> Anacleto Júnior
> Analista de TI e Redes
> Linux User: #447388
> http://www.anacletojr.info
>
>
> --
> -------------------
> SLot
> UIN: 19596909
> Linux User: 124842
> Jabber: slot@jabber-br.org
> Emails: slot.mg@gmail.com  | slot@xen-br.org
>


Reply to: