[GTER] ServerU L-800+FreeBSD 10.1+OpenBGPD+Netmap

Fabiano Ribeiro fabiano.ribeiro at gerenciatec.com.br
Sat May 16 18:03:03 -03 2015 

    Agora eu entendi porque que é difícil encontrar relatos de uso do
openbgpd+pf, pois no core não se utiliza firewall para filtragem de DDoS
(no meu caso está na camada de distribuição), mas para utilizar PBR baseado
em routing mark é necessário o mesmo, ou estou enganado ?
    Além disso, os colegas deixam desativado os recursos de firewall (seja
ipfw ou PF) no sistema ? Há realmente essa necessidade ? Sei que será
necessário threads a mais para processar o firewall, mas não vejo motivo de
deixá-lo desativado se eu quiser dropar um input na minha porta SSH. A
menos que se queira chegar ao máximo de Mpps da caixa.

Em 16 de maio de 2015 16:48, Jefferson Gondek <
jefferson.gondek at iveloz.net.br> escreveu:

> Boa tarde..
>
>   Posso estar falando besteira, então se tiver alguém com experiência
> nesse cenário pode me corrigir, mas seria interessante não deixar nenhum
> tipo de firewall junto com seu BGP. Nos melhores casos, implemente uma
> solução de IDS/IPS entre seus Peers e seu Core...filtrando os dados de
> entrada e saída para sua caixa....
>   Claro que você vai precisar de um device quase 2x melhor que o seu Core,
> pois a massa de dados que ele vai ter de aguentar é muito grande, em caso
> de um ataque...
>
>   Como disse, posso estar falando besteira, mas seria uma boa solução...
>
> Att,
>
> Jefferson Gondek
>
>
> ----- Mensagem original -----
> De: "Fabiano Ribeiro" <fabiano.ribeiro at gerenciatec.com.br>
> Para: "Grupo de Trabalho de Engenharia e Operacao de Redes" <
> gter at eng.registro.br>
> Enviadas: Sábado, 16 de maio de 2015 15:35:37
> Assunto: Re: [GTER] ServerU L-800+FreeBSD 10.1+OpenBGPD+Netmap
>
> Prezados,
>
>     Não vou fazer firewall no core e por isso pode ser stateless, preciso
> de firewall para bloquear algum ataque a caixa e PBR  se precisar. Quero
> uma solução testada para não precisar fazer testes no momento que eu
> precisar do recurso.
>      A minha dúvida é justamente a melhor integração ao openbgpd e
> performance. O PF é desenvolvido pela equipe do openBSD que também
> desenvolve o openbgpd, logo eles já são integrados nativamente, e como o PF
> tem suporte a SMP ele seria a escolha lógica. Porém não encontrei nenhum
> relato em produção do PF com SMP e netmap.
>
>
> Em 16 de maio de 2015 10:02, Uesley Correa <uesleycorrea at gmail.com>
> escreveu:
>
> > + 1 para o BL.
> >
> > Uesley Corrêa - Analista de Telecomunicações
> > Instrutor Oficial UBNT UBRSS & UBWA
> >
> > Em 16 de maio de 2015 09:35, Cleber A. Nascimento <cleber at bsd.com.br>
> > escreveu:
> >
> > > Borda limpa. Use outra caixa para firewall no perimetro interno.
> > >
> > > Em 16 de maio de 2015 06:30, Otavio Augusto <otavioti at gmail.com>
> > escreveu:
> > >
> > > > Se o seu problema for o smp o pf do freebsd 10.1 ja trabalha
> > nativamente
> > > > com threads.
> > > > Quanto a firewall eu uso o ipfw porque acho a sintaxe mais clara,
> fácil
> > > de
> > > > entender. Mas o pf é um excelente firewall também.
> > > > Em 16/05/2015 00:31, "Fabiano Ribeiro" <
> > > fabiano.ribeiro at gerenciatec.com.br
> > > > >
> > > > escreveu:
> > > >
> > > > > Prezados,
> > > > >
> > > > >       Estou montando minha primeira caixa de FreeBSD para
> roteamento
> > > BGP
> > > > e
> > > > > estou com uma serverU L-800 aqui para isso. Após os estudos decidi
> > > > utilizar
> > > > > o OpenBGP e estou na dúvida se utilizo o firewall PF, pois não
> senti
> > > > muita
> > > > > segurança em utilizá-lo baseado nas pesquisas que fiz na WEB
> > utilizando
> > > > ele
> > > > > com netmap e SMP ativos.
> > > > >        Pelo que venho estudado o OpenBGP é mais integrado ao PF do
> > que
> > > o
> > > > > IPFW, pois me permite fazer PBR no OpenBGP integrado. Não preciso
> > hoje
> > > de
> > > > > PBR mas quero deixar testado para qualquer necessidade
> > > > >        Assim, gostaria da opinião dos colegas que já tem uma
> vivência
> > > > > melhor com FreeBSD: Qual o firewall mais indicado para trabalhar
> > nesse
> > > > > cenário com o openbgpd atualmente ?
> > > > >
> > > > > Se precisar de mais algum detalhe me informe por favor.
> > > > > --
> > > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > --
> > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > >
> > >
> > >
> > >
> > > --
> > >
> > > Cleber Alves
> > >
> > > .ılı..ılı.
> > > "Observe as estrelas e aprenda com elas." Albert Einstein
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

More information about the gter mailing list