[GTER] Statefull firewall em frente a servidores

[Renato Frederick]

Ótima discussão!

> Certamente o que o Roland menciona não se aplica a ambiente de médio
> porte, onde alguns GB a mais de RAM permite ter um numero de states alto
> suficiente para não ser exaurido em um DDoS antes da propria largura de
> banda exaurir.

concordo com você.
>
> Concordo que statefull seja uma enorme buraco na armadura que expõe o
> calcanhar. Por isso recentemente quando um famoso firewall open source
> BSD transformou-se em "stateful por padrão" eu discuti com as pessoas
> envolvidas implorando por uma sysctl ao menos que retornasse o
> comportamento anterior. Pra mim o "keep state" implícito é tiro no pé.
> Stateles e stateful não podem ser mutuamente exclusivos. Não em cenário
> amplo.
>

Já vi cenários infestados por esta "onda" de ameaças zumbis  na qual teve 
muito deste firewall citado emcima de hardware modesto não dar conta, Da 
mesma maneira que já vi muito firewall montado manualmente com regras do 
tipo "ipfw allow tcp from $rede_interna 1024-65535 to any 1-1023 keep-state"
Uma solução paliativa até passarem antivirus e etc foi transformar isto em

ipfw allow tcp from $rede_interna 1024-65535 to any 1-1023
ipfw allow tcp from amu 1-1023 to $rede_interna



> Mas é importante enfatizar que a conversa na nanog não é sobre ter ou
> não ter firewall. É ter ou não stateful.

Exatamente, há cenários que o statefull não vai atender ou vai atender a um 
custo de hardware muito grande.


>
> Não resolve, mas dificulta a exaustão da tabela de estado, e permite
> evitar hard-limit no número de entradas na tabela. Isso so enfatiza o
> meu entendimento supracitado que stateful e stateles não podem ser
> mutuamente exclusivos. Mas concluir simplesmente que é melhor ficar sem
> firewall do que com firewall, também não pode.
>

Só vejo gente falar que não gosta de firewall na frente da rede porque é um 
ponto de falha.. OK, adicione CARP e adicione mais servidores até atender a 
redundância desejada!