[GTER] Roteador BGP por trás de firewall.

Diogo Montagner diogo.montagner at gmail.com
Thu May 16 21:22:19 -03 2013 

Depende do objetivo do seu design e aonde o BGP se encaixa nesta história.

Eu seguiria esta regra: se a capacidade de forwarding do firewall (com as
regras aplicadas) for maior que a do roteador, você pode colocar o firewall
na frente do roteador. Do contrário não, pois você corre o risco do
firewall cair muito antes da capacidade do seu link esgotar em um DDoS.

Dois exemplos:

- IPSEC VPN usando BGP em roteadores internos para troca de rotas.
      - firewall na frente do roteador de BGP

- Borda Internet
       - firewall atras do roteador de BGP da borda

[]s

./diogo -montagner
JNCIE-SP 0x41A


2013/5/17 Douglas Fischer <fischerdouglas at gmail.com>

> Não é errado.
> Mas terá que ser Multihop e dependerá de IGP ou rota estática(A não ser que
> o frw esteja em L2).
>
> Para teste eu já implementei com ASA, mas para vida real eu imagino que
> deva ser bem chato de manter. Ainda mais se for multihomed.
>
> /*Android told-me that this text should be at bottom.*/
> Em 16/05/2013 19:30, "Kalil de A. Carvalho" <kalilac at gmail.com> escreveu:
>
> > Bom dia senhores.
> >
> > A algum tempo precisei fechar uma conexão BGP com um forneceder de uma
> > empresa que trabalhei.
> >
> > Lá tinhamos um firewall e eu queria fechar a conexão de forma que o
> > roteador estivese por trás do firewall.
> >
> > Quando informei isso ao tecnico da empresa da outra empresa ele informou
> > que isso era errado, me perguntou se eu conhecia alguem que tinha feito
> > isso (com não conhecia fiquei calado) e afirmou que o correto, segundo as
> > boas praticas, era que o roteador deveria esta na ponta mais externa.
> >
> > Buscando nas documentações realmente tudos os cenários realmente fazem
> > mensão apenas ao roteador na borda, sem estar com nenhum dispositivo
> > intermediario.
> >
> > Porem minha pergunta permanece:
> >
> > Seria errado ou não aconcelhado colocar um firewall antes do roteador que
> > fecha BGP?
> >
> >
> > --
> > Kalil de A. Carvalho
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

More information about the gter mailing list