Provavelmente sim ... Mas o que são estas 4 placas de rede ?
Pela minha experiência profisional, boas placas de rede fazem uma diferença brutal na performance de roteadores/gateways/proxys ... Fábio Rabelo Em 27 de abril de 2012 09:57, Moksha Tux <[email protected]> escreveu: > A princípio inciarei os testes em um quad core com 2 GB de RAM e depois > esse firewall e roteador rodarão em um servidor HP com six core e 16 GB de > RAM com 4 NICs. Acredito que essa configuração esteja sobrando não acha? > > Moksha > > Em 26 de abril de 2012 22:46, Fábio Rabelo > <[email protected]>escreveu: > > Se o Sr. tiver o hardware adequado, não vejo nenhum problema ... >> >> Fábio Rabelo >> >> >> Em 26 de abril de 2012 18:59, Moksha Tux <[email protected]> escreveu: >> >> Grande Fábio! >>> >>> Estou sériamente enclinado a usar esta solução mas preciso saber do >>> senhor se este ambiente suporta um grande fluxo de dados pois a coisa no >>> trabalho é punk pro o senhor ter uma idéia é uma unidade de uma grande >>> universidade e o que eu estou pretendendo fazer sei que serei chamado de >>> maluco pelo senhor e demais colegas de profissão mas é substituir o PF do >>> Unix OpenBSD para o Iptables rodando em Debian por ordens do meu superior >>> hierárquico devido a facilidade de administração. O que o senhor acha disto? >>> >>> Moksha >>> >>> Em 26 de abril de 2012 13:30, Fábio Rabelo >>> <[email protected]>escreveu: >>> >>> Isto mesmo ... >>>> >>>> Eu uso a mais de 10 anos, o desenvolvedor principal do shorewall é um >>>> profissional de segurança, ele precisava de uma ferramenta que lhe >>>> permitisse administrar uma grande quantidade de firewalls/gateways/proxys >>>> sem ser obrigado a perder horas depurando os scripts manuais, e que lhe >>>> permitisse realizar o trabalho remotamente . >>>> >>>> O Sr. administra servidores remotamente ? já ocorreu de se "travar" >>>> sem acesso a um servidor em que o Sr. estava fazendo alguma modificação ? >>>> >>>> Eu sim, e descobri o shorewall exatamente depois de uma situação destas >>>> ... >>>> >>>> >>>> Fábio Rabelo >>>> >>>> >>>> >>>> Em 26 de abril de 2012 13:06, Moksha Tux <[email protected]> escreveu: >>>> >>>> Ah! Sim agora entendi, ele é um pacote cujo a finalidade é trabalhar >>>>> entre o iptables e o admin como o senhor mesmo explicou e possui uma >>>>> interface que torna tanto a dministração quanto a implementação do >>>>> firewall >>>>> mais amigável. Não seria isso então? >>>>> >>>>> Moksha >>>>> >>>>> Em 26 de abril de 2012 12:19, Fábio Rabelo >>>>> <[email protected]>escreveu: >>>>> >>>>> Não, o Shorewall não é um apliance, é um front-end . >>>>>> >>>>>> Ele fica entre o iptables e o administrador da rede, facilita em >>>>>> muito a administração qdo existem muitas regras do iptables . >>>>>> >>>>>> Eu uso geralmente o webmin para gerenciar o shorewall . >>>>>> >>>>>> O Shorewall pode ser instalado em qualquer distribuição ! >>>>>> >>>>>> >>>>>> Fábio Rabelo >>>>>> >>>>>> >>>>>> >>>>>> Em 26 de abril de 2012 11:19, Moksha Tux <[email protected]>escreveu: >>>>>> >>>>>> Muito obrigado Fábio pela resposta! >>>>>>> >>>>>>> Eu já andei considerando sim alguns appliance como o próprio >>>>>>> Untangle que já é Debian, o endian e o pfsense, mas tenho o desejo de >>>>>>> dominar a administração e implementação de roteadores/firewalls em >>>>>>> iptables >>>>>>> na mão mesmo mas confesso que essas soluções não estão descartadas. Será >>>>>>> que para uma rede de aproximadamente 2500 usuários e mais de 3000 >>>>>>> pontos de >>>>>>> rede e com um link de internet de 1Gb o shorewall suportaria numa boa >>>>>>> sem >>>>>>> pedir arrego? Claro, considerando que ele será instalado em um servidor >>>>>>> robusto também. O shorewall é um appliance também? Baseado em que >>>>>>> distribuição? >>>>>>> >>>>>>> Moksha >>>>>>> >>>>>>> Em 26 de abril de 2012 10:40, Fábio Rabelo < >>>>>>> [email protected]> escreveu: >>>>>>> >>>>>>> Bom dia ... >>>>>>>> >>>>>>>> Se o Sr. considera difícil o uso direto do iptables, o Sr. poderia >>>>>>>> considerar um front-end ! >>>>>>>> Eu uso o shorewall : >>>>>>>> >>>>>>>> http://shorewall.net/ >>>>>>>> >>>>>>>> http://people.connexer.com/~roberto/debian/ >>>>>>>> >>>>>>>> um simples "apt-get install shorewall-perl" e já estará instalado >>>>>>>> . >>>>>>>> >>>>>>>> E para manter um número muito grande de regras, ele é uma >>>>>>>> verdadeira mão na massa !!! >>>>>>>> >>>>>>>> >>>>>>>> Fábio Rabelo >>>>>>>> >>>>>>>> >>>>>>>> >>>>>>>> >>>>>>>> Em 25 de abril de 2012 22:56, Moksha Tux <[email protected]>escreveu: >>>>>>>> >>>>>>>> Boa noite queridos amigos! >>>>>>>>> >>>>>>>>> Estou construindo um roteador com iptables para o trabalho mas >>>>>>>>> antes estou colhendo bastante informações pois não considero esta >>>>>>>>> ferramenta fácil mas já estou tendo algum exito a miha dúvida é a >>>>>>>>> seguinte... por ser um roteador devo prestar atenção nas regras INPUT >>>>>>>>> que >>>>>>>>> no caso seria relacionado ao próprio host (sistema) e FORWARD que >>>>>>>>> trataria >>>>>>>>> dos pacotes vão "atravessar" este host, sendo assim, as regras de >>>>>>>>> proteção >>>>>>>>> eu devo implementá-las tanto em INPUT quanto em FARWARD ex: >>>>>>>>> >>>>>>>>> *#====================== >>>>>>>>> # REGRAS PARA PROTEÇÃO >>>>>>>>> #====================== >>>>>>>>> ## INPUT >>>>>>>>> >>>>>>>>> # CONTRA PING DA MORTE >>>>>>>>> iptables -A INPUT -p icmp --icmp-type echo-request -m limit >>>>>>>>> --limit 1/s -j ACCEPT >>>>>>>>> >>>>>>>>> # ACEITANDO CONEXÕES >>>>>>>>> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT >>>>>>>>> >>>>>>>>> >>>>>>>>> # CONTRA PORTCAN OCULTO >>>>>>>>> iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit >>>>>>>>> --limit 1/s -j ACCEPT >>>>>>>>> iptables -A INPUT -p tcp --tcp-flags ALL SYN,ACK -j DROP >>>>>>>>> >>>>>>>>> # ACEITANDO CONEXÕES >>>>>>>>> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT >>>>>>>>> >>>>>>>>> >>>>>>>>> ************************************************************************************************ >>>>>>>>> ## FORWARD >>>>>>>>> >>>>>>>>> # CONTRA PING DA MORTE >>>>>>>>> iptables -A FORWARD -p icmp --icmp-type echo-request -m limit >>>>>>>>> --limit 1/s -j ACCEPT >>>>>>>>> >>>>>>>>> # ACEITANDO CONEXÕES* * >>>>>>>>> iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT >>>>>>>>> >>>>>>>>> # CONTRA PORTCAN OCULTO* * >>>>>>>>> iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m >>>>>>>>> limit --limit 1/s -j ACCEPT >>>>>>>>> iptables -A FORWARD -p tcp --tcp-flags ALL SYN,ACK -j DROP >>>>>>>>> >>>>>>>>> >>>>>>>>> # ACEITANDO CONEXÕES* * >>>>>>>>> iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT >>>>>>>>> >>>>>>>>> **#============================== >>>>>>>>> # FIM DAS REGRAS PARA PROTEÇÃO >>>>>>>>> #==============================* >>>>>>>>> * >>>>>>>>> * >>>>>>>>> Estaria eu tendo uma dúvida relevante ou simplesmente viajando >>>>>>>>> literalmente na maionese pergunto isto pois concluí que existe a >>>>>>>>> proteção >>>>>>>>> tanto para o host quanto para a rede. Agradeço desde já que puder me >>>>>>>>> orientar a respeito. Grande abraço, >>>>>>>>> >>>>>>>>> Moksha >>>>>>>>> >>>>>>>>> >>>>>>>> >>>>>>> >>>>>> >>>>> >>>> >>> >> >
