[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Virtualização de Firewall IPtables



Concordo com a maioria em não virtualizar firewalls... Por vários motivos;... segurança é um deles. Faz algum tempo que estudo soluções de virtualização.. Sem dúvida nenhuma a VMWare é a que está mais avançada, no entanto o custo é muito alto. Outra boa opção é o RHEV, Red Hat Enterprise Virtualization, quase a metade do preço do VMWare... Existe também o Xen e uma solução da Oracle(que não lembro o nome agora). Não recomendo utilizar o virtualbox.. visto que é um produto voltado para desktops

Em 16 de dezembro de 2010 20:43, Leonardo Carneiro <chesterman86@gmail.com> escreveu:
A máquina virtual não conseguia sustentar a performance. Após algumas
horas de execução pesada (entre 60 e 100 horas), a performance
começava a degradar até o ponto onde a máquina finalmente travava. Foi
a mesma situação com 4 máquinas virtuais diferentes (com diferentes SO
guests) em duas máquinas físicas diferentes. O problema persistiu
entre as versões 3.0.6 até a 3.2.10, quando eu parei de usar o vbox
para virtualizar servidores.

Não obstante, eu ainda acho um produto fantástico, pois as facilidades
e o tipo de recurso avançado que ele traz pro desktop são fantásticos.



2010/12/16 Eden Caldas <edencaldas@gmail.com>:
> Leonardo
>
> Poderia descrever qual foi o problema desastroso que você experimentou com o
> virtualbox?
>
> Eden Caldas
> Consultor de TI
> eden@linuxfacil.srv.br
> (81) 9653 7220
> LINUX FÁCIL – Consultoria e Serviços em TI
>
>
> Em 16 de dezembro de 2010 15:53, Leonardo Carneiro <chesterman86@gmail.com>
> escreveu:
>>
>> Espero não ser linxado pela seguinte opinião: existe o Hyper-V, da MS
>> tb. Não digo que é melhor ou pior, mas é uma solução bem decente, e
>> kernels mais recentes do linux tem drivers GPL escritos pela própria
>> MS para suportar o hardware virtualizado, e parece que a performance é
>> bem satisfatória.
>>
>> Não quero começar um flamewar aqui sobre microsoft. Apesar de de ser
>> um entusiasta de debian e software livre, sou um entusiasta maior
>> ainda de coisas que funcionam, e o Hyper-V é uma delas. Também não
>> estou diminuindo o Xen e o VMWare, que são produtos fantásticos.
>>
>> 2010/12/16 Anacleto Junior <suporte.anacleto@gmail.com>:
>> > As opiniões estão sendo muito interessantes, agradeço a todos de
>> > antemão.
>> > Isso me fez refletir bastante e levantar esta questão para o meu gestor,
>> > para que avalie novamente e possamos decidir como otimizar então o
>> > processo
>> > e diminuir a ociosidade dos servidores.
>> > Aproveitando já o debate então (não sei se posso, se é off-topic; me
>> > corrijam se não puder), quais serviços eu poderia virtualizar? Samba,
>> > DNS,
>> > Squid? A respeito da solução adotada, Xen e VMWare seriam opções mais
>> > recomendadas para servidores?
>> > Obrigado!
>> >
>> > Em 16 de dezembro de 2010 15:28, Leonardo Carneiro
>> > <chesterman86@gmail.com>
>> > escreveu:
>> >>
>> >> Apesar de não ter experiência própria em virtualização de firewall,
>> >> acompanho a lista de discussão do OpenBSD (excelente para uso como
>> >> firewall, estou gostando muito), e houve uma thread exatamente sobre
>> >> esse tópico. Todos foram enfáticos em NÃO virtualizar firewall.
>> >>
>> >> O que te informo da minha experiencia de servidore com virtualbox é:
>> >> não faça. O virtualbox é um produto muito bom, eu mesmo acompanho de
>> >> perto o desenvolvimento, mas o seu hypervisor simplesmente não é
>> >> robusto o suficiente para uso 24/7. Já passei por essa experiência e
>> >> foi aterrorizante.
>> >>
>> >> 2010/12/16 Gustavo Soares [SLot] <slot.mg@gmail.com>:
>> >> > Você poderia dar uma olhada no XEN[1], utilizo ele a bastante tempo
>> >> > com
>> >> > Banco de Dados, Firewall[2] e Samba.
>> >> >
>> >> >
>> >> > [1] http://wiki.xen-br.org/
>> >> > [2] http://wiki.xen-br.org/Firewall-dmz-net
>> >> >
>> >> > Em 16-12-2010 13:28, Anacleto Junior escreveu:
>> >> >
>> >> > Poxa vida gente, estou ficando com medo! rs
>> >> > Trabalho em uma pequena-média empresa, temos 70 usuários aqui na
>> >> > matriz
>> >> > e
>> >> > mais alguns externos, não passando de 100.
>> >> > Nosso orçamento é bem apertado, consegui comprar um switch 3Com
>> >> > gerenciável
>> >> > com bastante custo (o qual ainda não aprende a utillizá-lo
>> >> > totalmente).
>> >> > Tenho alguns hardware de servidor, Dell e IBM mas o setor Financeiro
>> >> > não
>> >> > quer investir no momento (aquela velha história do setor de TI gerar
>> >> > custos). Aí que meu gestor decidiu virtualizar esse firewall, pois
>> >> > ele é
>> >> > muito pouco utilizado (recursos da máquina).
>> >> > Uma das ideias dele é virtualizar o Samba também, onde temos o
>> >> > sistema
>> >> > de
>> >> > arquivos. Alguém já fez esse procedimento?
>> >> > Se mais colegas tiverem opiniões para colaborar, eu agradeço, está
>> >> > sendo
>> >> > muito construtiva essa ajuda.
>> >> > Obrigado
>> >> >
>> >> > Em 16 de dezembro de 2010 13:18, Eden Caldas <edencaldas@gmail.com>
>> >> > escreveu:
>> >> >>
>> >> >> Também não recomendo virtualizar firewall. Compra um hardware de
>> >> >> servidor
>> >> >> do mais barato que tem e coloca ele lá. Ou então deixa em máquina
>> >> >> montada
>> >> >> mesmo, só que a atenção nela vai ser o dobro e fique preparado para
>> >> >> surpresas.
>> >> >>
>> >> >>
>> >> >> Em 16 de dezembro de 2010 10:10, Bruno Ayub <bruno.ayub@gmail.com>
>> >> >> escreveu:
>> >> >>>
>> >> >>> Bom dia Anacleto!
>> >> >>>
>> >> >>>
>> >> >>>
>> >> >>> Eu sou bem cético em relação à virtualização dos hosts de
>> >> >>> infraestrutura.
>> >> >>> Enquanto firewalls de mercado como Checkpoint, Cisco (ASA, FWSM),
>> >> >>> etc
>> >> >>> custam
>> >> >>> uma quantia considerável, firewalls que rodam em Linux e OpenBSD
>> >> >>> custam
>> >> >>> basicamente o equivalente ao hardware que eles estão instalados.
>> >> >>>
>> >> >>> Considerando que você vai migrar o firewall para uma máquina
>> >> >>> virtual,
>> >> >>> implica em uma economia de hardware. Me desculpe a expressão, mas é
>> >> >>> uma
>> >> >>> economia porca. Tudo em função da importância do elemento na rede e
>> >> >>> mais
>> >> >>> ainda em função do custo/benefício que a solução livre entrega.
>> >> >>>
>> >> >>> Se ainda insistir em migrar, sugiro que deixe ao menos o proxy fora
>> >> >>> dessa
>> >> >>> estrutura. Evite dores de cabeça!
>> >> >>>
>> >> >>>
>> >> >>>
>> >> >>> Boa sorte!
>> >> >>>
>> >> >>>
>> >> >>>
>> >> >>> 2010/12/16 Anacleto Junior <suporte.anacleto@gmail.com>
>> >> >>>>
>> >> >>>> Bom dia colegas da Lista,
>> >> >>>>
>> >> >>>> Aqui onde trabalho estamos planejando a migração do iptables para
>> >> >>>> uma
>> >> >>>> máquina virtual (VirtualBox) como objetivo de liberar a máquina
>> >> >>>> física para
>> >> >>>> um serviço mais exigente e também atualização do sistema
>> >> >>>> operacional
>> >> >>>> (vamos
>> >> >>>> por o Lenny).
>> >> >>>> Algumas dúvidas me surgiram quanto à isso, já que sou o "Linux
>> >> >>>> Guy"
>> >> >>>> do
>> >> >>>> departamento, eu que vou ter que fazer isso. Aqui vão elas:
>> >> >>>>
>> >> >>>> Na situação atual, meu firewall tem 2 placas de rede, uma local
>> >> >>>> (ex:
>> >> >>>> faixa 192) e uma WAN (ex faixa 10). Como devo configurar no
>> >> >>>> VirtualBox o uso
>> >> >>>> dessas placas? Seria melhor criar alias para as interfaces?
>> >> >>>> Nesta mesma máquina virtual, imaginei colocar o Squid também.
>> >> >>>> Quais
>> >> >>>> problemas eu enfrentaria colocando o proxy junto ao firewall
>> >> >>>> virtualizado?
>> >> >>>> Seria melhor isolar?
>> >> >>>>
>> >> >>>> Quem puder me ajudar eu agradeço.
>> >> >>>> --
>> >> >>>> Anacleto Júnior
>> >> >>>> Linux User: #447388
>> >> >>>> http://www.anacletojr.info
>> >> >>>>
>> >> >>>
>> >> >>>
>> >> >>>
>> >> >>> --
>> >> >>> Bruno Ayub.
>> >> >>
>> >> >
>> >> >
>> >> >
>> >> > --
>> >> > Anacleto Júnior
>> >> > Analista de TI e Redes
>> >> > Linux User: #447388
>> >> > http://www.anacletojr.info
>> >> >
>> >> >
>> >> > --
>> >> > -------------------
>> >> > SLot
>> >> > UIN: 19596909
>> >> > Linux User: 124842
>> >> > Jabber: slot@jabber-br.org
>> >> > Emails: slot.mg@gmail.com  | slot@xen-br.org
>> >> >
>> >>
>> >>
>> >> --
>> >> To UNSUBSCRIBE, email to
>> >> debian-user-portuguese-REQUEST@lists.debian.org
>> >> with a subject of "unsubscribe". Trouble? Contact
>> >> listmaster@lists.debian.org
>> >> Archive:
>> >>
>> >> AANLkTiktqvp4zaF656X8uBFJYCPwePvWgzvkNZ0JQzi_@mail.gmail.com" target="_blank">http://lists.debian.org/AANLkTiktqvp4zaF656X8uBFJYCPwePvWgzvkNZ0JQzi_@mail.gmail.com
>> >>
>> >
>> >
>> >
>> > --
>> > Anacleto Júnior
>> > Analista de TI e Redes
>> > Linux User: #447388
>> > http://www.anacletojr.info
>> >
>>
>>
>> --
>> To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org
>> with a subject of "unsubscribe". Trouble? Contact
>> listmaster@lists.debian.org
>> Archive:
>> http://lists.debian.org/AANLkTi9K3MJ6PewA05_iuyzm4F6qdXgGh+1dvx8U@mail.gmail.com
>>
>
>


--
To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Archive: http://lists.debian.org/AANLkTikA2Ku4ArDiyf2A04vRLKcxPvd6imA1D96ncfh@mail.gmail.com




--
Leandro Almeida
ITILv3


Reply to: