São 4 placas GB Ethernet da broadcom muito boas por sinal Em 27 de abril de 2012 10:09, Fábio Rabelo <[email protected]>escreveu:
> Provavelmente sim ... > > Mas o que são estas 4 placas de rede ? > > Pela minha experiência profisional, boas placas de rede fazem uma > diferença brutal na performance de roteadores/gateways/proxys ... > > > Fábio Rabelo > > > Em 27 de abril de 2012 09:57, Moksha Tux <[email protected]> escreveu: > > A princípio inciarei os testes em um quad core com 2 GB de RAM e depois >> esse firewall e roteador rodarão em um servidor HP com six core e 16 GB de >> RAM com 4 NICs. Acredito que essa configuração esteja sobrando não acha? >> >> Moksha >> >> Em 26 de abril de 2012 22:46, Fábio Rabelo >> <[email protected]>escreveu: >> >> Se o Sr. tiver o hardware adequado, não vejo nenhum problema ... >>> >>> Fábio Rabelo >>> >>> >>> Em 26 de abril de 2012 18:59, Moksha Tux <[email protected]> escreveu: >>> >>> Grande Fábio! >>>> >>>> Estou sériamente enclinado a usar esta solução mas preciso saber do >>>> senhor se este ambiente suporta um grande fluxo de dados pois a coisa no >>>> trabalho é punk pro o senhor ter uma idéia é uma unidade de uma grande >>>> universidade e o que eu estou pretendendo fazer sei que serei chamado de >>>> maluco pelo senhor e demais colegas de profissão mas é substituir o PF do >>>> Unix OpenBSD para o Iptables rodando em Debian por ordens do meu superior >>>> hierárquico devido a facilidade de administração. O que o senhor acha >>>> disto? >>>> >>>> Moksha >>>> >>>> Em 26 de abril de 2012 13:30, Fábio Rabelo >>>> <[email protected]>escreveu: >>>> >>>> Isto mesmo ... >>>>> >>>>> Eu uso a mais de 10 anos, o desenvolvedor principal do shorewall é um >>>>> profissional de segurança, ele precisava de uma ferramenta que lhe >>>>> permitisse administrar uma grande quantidade de firewalls/gateways/proxys >>>>> sem ser obrigado a perder horas depurando os scripts manuais, e que lhe >>>>> permitisse realizar o trabalho remotamente . >>>>> >>>>> O Sr. administra servidores remotamente ? já ocorreu de se "travar" >>>>> sem acesso a um servidor em que o Sr. estava fazendo alguma modificação ? >>>>> >>>>> Eu sim, e descobri o shorewall exatamente depois de uma situação >>>>> destas ... >>>>> >>>>> >>>>> Fábio Rabelo >>>>> >>>>> >>>>> >>>>> Em 26 de abril de 2012 13:06, Moksha Tux <[email protected]> escreveu: >>>>> >>>>> Ah! Sim agora entendi, ele é um pacote cujo a finalidade é trabalhar >>>>>> entre o iptables e o admin como o senhor mesmo explicou e possui uma >>>>>> interface que torna tanto a dministração quanto a implementação do >>>>>> firewall >>>>>> mais amigável. Não seria isso então? >>>>>> >>>>>> Moksha >>>>>> >>>>>> Em 26 de abril de 2012 12:19, Fábio Rabelo <[email protected] >>>>>> > escreveu: >>>>>> >>>>>> Não, o Shorewall não é um apliance, é um front-end . >>>>>>> >>>>>>> Ele fica entre o iptables e o administrador da rede, facilita em >>>>>>> muito a administração qdo existem muitas regras do iptables . >>>>>>> >>>>>>> Eu uso geralmente o webmin para gerenciar o shorewall . >>>>>>> >>>>>>> O Shorewall pode ser instalado em qualquer distribuição ! >>>>>>> >>>>>>> >>>>>>> Fábio Rabelo >>>>>>> >>>>>>> >>>>>>> >>>>>>> Em 26 de abril de 2012 11:19, Moksha Tux <[email protected]>escreveu: >>>>>>> >>>>>>> Muito obrigado Fábio pela resposta! >>>>>>>> >>>>>>>> Eu já andei considerando sim alguns appliance como o próprio >>>>>>>> Untangle que já é Debian, o endian e o pfsense, mas tenho o desejo de >>>>>>>> dominar a administração e implementação de roteadores/firewalls em >>>>>>>> iptables >>>>>>>> na mão mesmo mas confesso que essas soluções não estão descartadas. >>>>>>>> Será >>>>>>>> que para uma rede de aproximadamente 2500 usuários e mais de 3000 >>>>>>>> pontos de >>>>>>>> rede e com um link de internet de 1Gb o shorewall suportaria numa boa >>>>>>>> sem >>>>>>>> pedir arrego? Claro, considerando que ele será instalado em um servidor >>>>>>>> robusto também. O shorewall é um appliance também? Baseado em que >>>>>>>> distribuição? >>>>>>>> >>>>>>>> Moksha >>>>>>>> >>>>>>>> Em 26 de abril de 2012 10:40, Fábio Rabelo < >>>>>>>> [email protected]> escreveu: >>>>>>>> >>>>>>>> Bom dia ... >>>>>>>>> >>>>>>>>> Se o Sr. considera difícil o uso direto do iptables, o Sr. poderia >>>>>>>>> considerar um front-end ! >>>>>>>>> Eu uso o shorewall : >>>>>>>>> >>>>>>>>> http://shorewall.net/ >>>>>>>>> >>>>>>>>> http://people.connexer.com/~roberto/debian/ >>>>>>>>> >>>>>>>>> um simples "apt-get install shorewall-perl" e já estará >>>>>>>>> instalado . >>>>>>>>> >>>>>>>>> E para manter um número muito grande de regras, ele é uma >>>>>>>>> verdadeira mão na massa !!! >>>>>>>>> >>>>>>>>> >>>>>>>>> Fábio Rabelo >>>>>>>>> >>>>>>>>> >>>>>>>>> >>>>>>>>> >>>>>>>>> Em 25 de abril de 2012 22:56, Moksha Tux <[email protected]>escreveu: >>>>>>>>> >>>>>>>>> Boa noite queridos amigos! >>>>>>>>>> >>>>>>>>>> Estou construindo um roteador com iptables para o trabalho mas >>>>>>>>>> antes estou colhendo bastante informações pois não considero esta >>>>>>>>>> ferramenta fácil mas já estou tendo algum exito a miha dúvida é a >>>>>>>>>> seguinte... por ser um roteador devo prestar atenção nas regras >>>>>>>>>> INPUT que >>>>>>>>>> no caso seria relacionado ao próprio host (sistema) e FORWARD que >>>>>>>>>> trataria >>>>>>>>>> dos pacotes vão "atravessar" este host, sendo assim, as regras de >>>>>>>>>> proteção >>>>>>>>>> eu devo implementá-las tanto em INPUT quanto em FARWARD ex: >>>>>>>>>> >>>>>>>>>> *#====================== >>>>>>>>>> # REGRAS PARA PROTEÇÃO >>>>>>>>>> #====================== >>>>>>>>>> ## INPUT >>>>>>>>>> >>>>>>>>>> # CONTRA PING DA MORTE >>>>>>>>>> iptables -A INPUT -p icmp --icmp-type echo-request -m limit >>>>>>>>>> --limit 1/s -j ACCEPT >>>>>>>>>> >>>>>>>>>> # ACEITANDO CONEXÕES >>>>>>>>>> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT >>>>>>>>>> >>>>>>>>>> >>>>>>>>>> # CONTRA PORTCAN OCULTO >>>>>>>>>> iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit >>>>>>>>>> --limit 1/s -j ACCEPT >>>>>>>>>> iptables -A INPUT -p tcp --tcp-flags ALL SYN,ACK -j DROP >>>>>>>>>> >>>>>>>>>> # ACEITANDO CONEXÕES >>>>>>>>>> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT >>>>>>>>>> >>>>>>>>>> >>>>>>>>>> ************************************************************************************************ >>>>>>>>>> ## FORWARD >>>>>>>>>> >>>>>>>>>> # CONTRA PING DA MORTE >>>>>>>>>> iptables -A FORWARD -p icmp --icmp-type echo-request -m limit >>>>>>>>>> --limit 1/s -j ACCEPT >>>>>>>>>> >>>>>>>>>> # ACEITANDO CONEXÕES* * >>>>>>>>>> iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT >>>>>>>>>> >>>>>>>>>> # CONTRA PORTCAN OCULTO* * >>>>>>>>>> iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m >>>>>>>>>> limit --limit 1/s -j ACCEPT >>>>>>>>>> iptables -A FORWARD -p tcp --tcp-flags ALL SYN,ACK -j DROP >>>>>>>>>> >>>>>>>>>> >>>>>>>>>> # ACEITANDO CONEXÕES* * >>>>>>>>>> iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT >>>>>>>>>> >>>>>>>>>> **#============================== >>>>>>>>>> # FIM DAS REGRAS PARA PROTEÇÃO >>>>>>>>>> #==============================* >>>>>>>>>> * >>>>>>>>>> * >>>>>>>>>> Estaria eu tendo uma dúvida relevante ou simplesmente viajando >>>>>>>>>> literalmente na maionese pergunto isto pois concluí que existe a >>>>>>>>>> proteção >>>>>>>>>> tanto para o host quanto para a rede. Agradeço desde já que puder me >>>>>>>>>> orientar a respeito. Grande abraço, >>>>>>>>>> >>>>>>>>>> Moksha >>>>>>>>>> >>>>>>>>>> >>>>>>>>> >>>>>>>> >>>>>>> >>>>>> >>>>> >>>> >>> >> >
