Provavelmente sim ...
Mas o que são estas 4 placas de rede ?
Pela minha experiência profisional, boas placas de rede fazem uma diferença brutal na performance de roteadores/gateways/proxys ...
Fábio RabeloEm 27 de abril de 2012 09:57, Moksha Tux <govatux@gmail.com> escreveu:A princípio inciarei os testes em um quad core com 2 GB de RAM e depois esse firewall e roteador rodarão em um servidor HP com six core e 16 GB de RAM com 4 NICs. Acredito que essa configuração esteja sobrando não acha?
MokshaEm 26 de abril de 2012 22:46, Fábio Rabelo <fabio@fabiorabelo.wiki.br> escreveu:Se o Sr. tiver o hardware adequado, não vejo nenhum problema ...
Fábio RabeloEm 26 de abril de 2012 18:59, Moksha Tux <govatux@gmail.com> escreveu:
Grande Fábio!
Estou sériamente enclinado a usar esta solução mas preciso saber do senhor se este ambiente suporta um grande fluxo de dados pois a coisa no trabalho é punk pro o senhor ter uma idéia é uma unidade de uma grande universidade e o que eu estou pretendendo fazer sei que serei chamado de maluco pelo senhor e demais colegas de profissão mas é substituir o PF do Unix OpenBSD para o Iptables rodando em Debian por ordens do meu superior hierárquico devido a facilidade de administração. O que o senhor acha disto?
MokshaEm 26 de abril de 2012 13:30, Fábio Rabelo <fabio@fabiorabelo.wiki.br> escreveu:Isto mesmo ...
Eu uso a mais de 10 anos, o desenvolvedor principal do shorewall é um profissional de segurança, ele precisava de uma ferramenta que lhe permitisse administrar uma grande quantidade de firewalls/gateways/proxys sem ser obrigado a perder horas depurando os scripts manuais, e que lhe permitisse realizar o trabalho remotamente .
O Sr. administra servidores remotamente ? já ocorreu de se "travar" sem acesso a um servidor em que o Sr. estava fazendo alguma modificação ?
Eu sim, e descobri o shorewall exatamente depois de uma situação destas ...
Fábio RabeloEm 26 de abril de 2012 13:06, Moksha Tux <govatux@gmail.com> escreveu:Ah! Sim agora entendi, ele é um pacote cujo a finalidade é trabalhar entre o iptables e o admin como o senhor mesmo explicou e possui uma interface que torna tanto a dministração quanto a implementação do firewall mais amigável. Não seria isso então?
MokshaEm 26 de abril de 2012 12:19, Fábio Rabelo <fabio@fabiorabelo.wiki.br> escreveu:
Não, o Shorewall não é um apliance, é um front-end .
Ele fica entre o iptables e o administrador da rede, facilita em muito a administração qdo existem muitas regras do iptables .
Eu uso geralmente o webmin para gerenciar o shorewall .
O Shorewall pode ser instalado em qualquer distribuição !
Fábio RabeloEm 26 de abril de 2012 11:19, Moksha Tux <govatux@gmail.com> escreveu:
Muito obrigado Fábio pela resposta!
Eu já andei considerando sim alguns appliance como o próprio Untangle que já é Debian, o endian e o pfsense, mas tenho o desejo de dominar a administração e implementação de roteadores/firewalls em iptables na mão mesmo mas confesso que essas soluções não estão descartadas. Será que para uma rede de aproximadamente 2500 usuários e mais de 3000 pontos de rede e com um link de internet de 1Gb o shorewall suportaria numa boa sem pedir arrego? Claro, considerando que ele será instalado em um servidor robusto também. O shorewall é um appliance também? Baseado em que distribuição?
MokshaEm 26 de abril de 2012 10:40, Fábio Rabelo <fabio@fabiorabelo.wiki.br> escreveu:Bom dia ...
Se o Sr. considera difícil o uso direto do iptables, o Sr. poderia considerar um front-end !
Eu uso o shorewall :
http://shorewall.net/
http://people.connexer.com/~roberto/debian/
um simples "apt-get install shorewall-perl" e já estará instalado .
E para manter um número muito grande de regras, ele é uma verdadeira mão na massa !!!
Fábio RabeloEm 25 de abril de 2012 22:56, Moksha Tux <govatux@gmail.com> escreveu:
Boa noite queridos amigos!
Estou construindo um roteador com iptables para o trabalho mas antes estou colhendo bastante informações pois não considero esta ferramenta fácil mas já estou tendo algum exito a miha dúvida é a seguinte... por ser um roteador devo prestar atenção nas regras INPUT que no caso seria relacionado ao próprio host (sistema) e FORWARD que trataria dos pacotes vão "atravessar" este host, sendo assim, as regras de proteção eu devo implementá-las tanto em INPUT quanto em FARWARD ex:
#======================
# REGRAS PARA PROTEÇÃO
#======================
## INPUT
# CONTRA PING DA MORTE
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
# ACEITANDO CONEXÕES
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# CONTRA PORTCAN OCULTO
iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p tcp --tcp-flags ALL SYN,ACK -j DROP
# ACEITANDO CONEXÕES
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
************************************************************************************************
## FORWARD
# CONTRA PING DA MORTE
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
# ACEITANDO CONEXÕES
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# CONTRA PORTCAN OCULTO
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags ALL SYN,ACK -j DROP
# ACEITANDO CONEXÕES
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#==============================
# FIM DAS REGRAS PARA PROTEÇÃO
#==============================
Estaria eu tendo uma dúvida relevante ou simplesmente viajando literalmente na maionese pergunto isto pois concluí que existe a proteção tanto para o host quanto para a rede. Agradeço desde já que puder me orientar a respeito. Grande abraço,
Moksha