[GTER] Fw Statefull em Rede assimétrica

[Shine]

Cledir,

Eu tenho que concordar com o Douglas, essa abordagem de firewall com
múltiplas interfaces controlando o roteamento não escala e mistura as
funções operacionais dos dispositivos.
Dependendo da escala de roteamento poderia ser interessante ter uma
estrutura de rota dinâmica na rede (OSPF, por exemplo), porque rota
estática não é escalável operacionalmente, ainda mais se vc tiver diversos
caminhos paralelos para o mesmo fluxo.



Em 5 de novembro de 2012 16:15, Cledir Justo
<cledirjusto.redes at gmail.com>escreveu:

> Vou explicar um pouco mais o cenário:
> O firewall é um checkpoint, é necessário ativar o statefull pois está
> desabilitado, ele é o gateway da rede, possui dezenas de interfaces, se
> fosse somente na saída de internet seria mais fácil, mas como ele é o
> gateway de uma rede com inúmeras interfaces, 3 saídas de internet, (já foi
> detectado que estão assimétricas também), precisava de um jeito de mapear o
> tráfego de ida e volta, é inviável fazer tracert em todas as rotas, cada
> origem possui 200 destinos (modo de dizer), me passou colocar wireshark e
> verificar, apesar de ser trabalhoso, é o mais viável rsrs
>
> Em 5 de novembro de 2012 14:45, Fernando Avelino
> <fernandossp at gmail.com>escreveu:
>
> > Se for utilizar firewall com tráfego assimétrico lembre se de
> desabilitar o
> > rpf também, senão vai dropar do msm jeito, firewall sincronizados
> trabalham
> > com tráfego assimétrico na boa.
> >
> > Em segunda-feira, 5 de novembro de 2012, Henrique de Moraes Holschuh<
> > henrique.holschuh at ima.sp.gov.br> escreveu:
> > > On 05-11-2012 14:07, Cledir Justo wrote:
> > >>
> > >>  Alguém já passou por uma situação onde você deve adicionar um
> > >>  firewall statefull em uma grande rede que está assimétrica, alguém
> > >>  tem uma
> > >
> > > Se a firewall permitir, habilite o modo assimétrico nela.
> > >
> > > Se não permitir, coloque dois roteadores de borda (esquema
> ativo-passivo
> > usando VRRP, etc),
> > > ou um só roteador de borda (esquema "acende uma vela") para tornar as
> > coisas simétricas
> > > do ponto de vista da firewall.
> > >
> > > Se a firewall estiver em esquema de alta disponibilidade, vai precisar
> > manter sincronizadas
> > > as tabelas de estado no cluster de firewall...
> > >
> > > --
> > > Henrique de Moraes Holschuh <hmh at ima.sp.gov.br>
> > > IM@ - Informática de Municípios Associados
> > > Engenharia de Telecomunicações
> > > TEL +55-19-3755-6555/CEL +55-19-9293-9464
> > >
> > > Antes de imprimir, lembre-se de seu compromisso com o Meio Ambiente
> > > e do custo que você pode evitar.
> > >
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >
> >
> > --
> > Fernando Avelino
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
>
>
>
> --
> *Atenciosamente,
> Cledir Justo
> **www.multihop.com.br*
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>