[GTER] Fw Statefull em Rede assimétrica

[Douglas Fischer]

Cledir,
passei por um cenário muito parecido.

E cheguei à uma conclusão que creio que você não vai gostar...
  - Não cabe ao firewall resolver esse problema.

Sugiro que reconsidere sua estratégia de roteamento.

Para dentro
  O cenário que acho mais elegante é:
    - Um switch-router como gateway do grosso das Vlans
    - Uma vlan entre o swtich-router e o firewall(e outros possiveis
elementos de routing)
    - Algumas Vlans como DMZ e Guest tendo o próprio firewall como gateway.

Para fora
  A checkpoint tem um recurso matador que é um dos poucos que a Cisco ainda
não copiou...
  Roteamento baseado em origem no firewall.
  Como é checkpoint... acho que não vais ter problema.


Em 5 de novembro de 2012 16:15, Cledir Justo
<cledirjusto.redes at gmail.com>escreveu:

> Vou explicar um pouco mais o cenário:
> O firewall é um checkpoint, é necessário ativar o statefull pois está
> desabilitado, ele é o gateway da rede, possui dezenas de interfaces, se
> fosse somente na saída de internet seria mais fácil, mas como ele é o
> gateway de uma rede com inúmeras interfaces, 3 saídas de internet, (já foi
> detectado que estão assimétricas também), precisava de um jeito de mapear o
> tráfego de ida e volta, é inviável fazer tracert em todas as rotas, cada
> origem possui 200 destinos (modo de dizer), me passou colocar wireshark e
> verificar, apesar de ser trabalhoso, é o mais viável rsrs
>
> Em 5 de novembro de 2012 14:45, Fernando Avelino
> <fernandossp at gmail.com>escreveu:
>
> > Se for utilizar firewall com tráfego assimétrico lembre se de
> desabilitar o
> > rpf também, senão vai dropar do msm jeito, firewall sincronizados
> trabalham
> > com tráfego assimétrico na boa.
> >
> > Em segunda-feira, 5 de novembro de 2012, Henrique de Moraes Holschuh<
> > henrique.holschuh at ima.sp.gov.br> escreveu:
> > > On 05-11-2012 14:07, Cledir Justo wrote:
> > >>
> > >>  Alguém já passou por uma situação onde você deve adicionar um
> > >>  firewall statefull em uma grande rede que está assimétrica, alguém
> > >>  tem uma
> > >
> > > Se a firewall permitir, habilite o modo assimétrico nela.
> > >
> > > Se não permitir, coloque dois roteadores de borda (esquema
> ativo-passivo
> > usando VRRP, etc),
> > > ou um só roteador de borda (esquema "acende uma vela") para tornar as
> > coisas simétricas
> > > do ponto de vista da firewall.
> > >
> > > Se a firewall estiver em esquema de alta disponibilidade, vai precisar
> > manter sincronizadas
> > > as tabelas de estado no cluster de firewall...
> > >
> > > --
> > > Henrique de Moraes Holschuh <hmh at ima.sp.gov.br>
> > > IM@ - Informática de Municípios Associados
> > > Engenharia de Telecomunicações
> > > TEL +55-19-3755-6555/CEL +55-19-9293-9464
> > >
> > > Antes de imprimir, lembre-se de seu compromisso com o Meio Ambiente
> > > e do custo que você pode evitar.
> > >
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >
> >
> > --
> > Fernando Avelino
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
>
>
>
> --
> *Atenciosamente,
> Cledir Justo
> **www.multihop.com.br*
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
Douglas Fernando Fischer
Engº de Controle e Automação