[GTER] Fw Statefull em Rede assimétrica
Cledir Justo
cledirjusto.redes at gmail.com
Mon Nov 5 16:15:52 -02 2012
Vou explicar um pouco mais o cenário:
O firewall é um checkpoint, é necessário ativar o statefull pois está
desabilitado, ele é o gateway da rede, possui dezenas de interfaces, se
fosse somente na saída de internet seria mais fácil, mas como ele é o
gateway de uma rede com inúmeras interfaces, 3 saídas de internet, (já foi
detectado que estão assimétricas também), precisava de um jeito de mapear o
tráfego de ida e volta, é inviável fazer tracert em todas as rotas, cada
origem possui 200 destinos (modo de dizer), me passou colocar wireshark e
verificar, apesar de ser trabalhoso, é o mais viável rsrs
Em 5 de novembro de 2012 14:45, Fernando Avelino
<fernandossp at gmail.com>escreveu:
> Se for utilizar firewall com tráfego assimétrico lembre se de desabilitar o
> rpf também, senão vai dropar do msm jeito, firewall sincronizados trabalham
> com tráfego assimétrico na boa.
>
> Em segunda-feira, 5 de novembro de 2012, Henrique de Moraes Holschuh<
> henrique.holschuh at ima.sp.gov.br> escreveu:
> > On 05-11-2012 14:07, Cledir Justo wrote:
> >>
> >> Alguém já passou por uma situação onde você deve adicionar um
> >> firewall statefull em uma grande rede que está assimétrica, alguém
> >> tem uma
> >
> > Se a firewall permitir, habilite o modo assimétrico nela.
> >
> > Se não permitir, coloque dois roteadores de borda (esquema ativo-passivo
> usando VRRP, etc),
> > ou um só roteador de borda (esquema "acende uma vela") para tornar as
> coisas simétricas
> > do ponto de vista da firewall.
> >
> > Se a firewall estiver em esquema de alta disponibilidade, vai precisar
> manter sincronizadas
> > as tabelas de estado no cluster de firewall...
> >
> > --
> > Henrique de Moraes Holschuh <hmh at ima.sp.gov.br>
> > IM@ - Informática de Municípios Associados
> > Engenharia de Telecomunicações
> > TEL +55-19-3755-6555/CEL +55-19-9293-9464
> >
> > Antes de imprimir, lembre-se de seu compromisso com o Meio Ambiente
> > e do custo que você pode evitar.
> >
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> >
>
> --
> Fernando Avelino
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
--
*Atenciosamente,
Cledir Justo
**www.multihop.com.br*
More information about the gter
mailing list