[GTER] Firewall de perímetro - distribuído

[willian pires]

Boa noite,
Atualmente desenvolvi uma solução idêntica a que você pede com freebsd, pf e openbgpd mas podeser portado para qualquer solução.
Cada router-edge tem uma sessão bgp com um nó central que chamo de netcomm.
Dentro de cada egde e do netcomm temos perfis de community bgp, exemplo: 
Permitindo:65530:100 --- trafego full all ports in all ports out65530:110 --- trafego full tcp ports in all ports out65530:120 --- trafego full udp ports in all ports out
Segunda parte:65530:180 --- trafego full all port 80 65530:181 --- trafego full all port 8165530:122 --- trafego full all port 22 
E por ai vai....
Terceira parte:65530:500 --- trafego full all ports 5365530:800 --- trafego full all ports 80,81,3128,808065530:900 --- trafego full all ports 25,110,143,54365530:1000 --- trafego full all ports 1024 ~ 65530

E assim vai... 
Bloqueando:65531:100 --- trafego full all ports in all ports out65531:110 --- trafego full tcp ports in all ports out65531:120 --- trafego full udp ports in all ports out
Segue a mesma logica so que com 65531 
Quando o netcomm anuncia uma rota /32 unico host ou /24 uma rede ele envia junto uma communitydessa forma o openbgpd 
bgpctl net add 10.16.0.1 community 65530:800 libera todo acesso a esse host na porta 80.
Você pode adicionar um anuncio com varias communitys segue:bgpctl net add 10.16.0.1 community 65530:500 community 65530:800 libera todo acesso a esse host na porta 80 e 53.
Os anúncios são extremamente rápidos e a configuração do pf.conf é bem flexível essa solução é aplicável a cisco/mk/juniper onde via anuncio bgp você alimenta uma lista e casa essa lista dentro de regras de firewall ou acl.
É possível criar uma interface web para interagir com o pf assim você tem um firewall distribuído e com interface gráfica.
Qualquer coisa da um toque no skype w.psouza.
Att
> Date: Wed, 8 Jan 2014 16:48:17 -0200
> From: contato at nbinfo.inf.br
> To: gter at eng.registro.br
> Subject: [GTER]  Firewall de perímetro - distribuído
> 
> Boa tarde
> 
> 
> Situação:
> 
> Vários nós de roteamento de entrada e saídas, rodando o serviço de 
> firewall em cada nó, lembrando que o trafego pode sair por qualquer nó 
> bem como voltar.
> 
> Necessidade manter o status das conexões, de forma a responder como se 
> fosse um único firewall.
> 
> 
> Cenário atual:
> 
> Atualmente eu forço o trafego para cada nó.
> 
> 
> Necessidade:
> 
> Alguma forma de automatizar a atuação dos firewall de modo a trabalharem 
> de forma distribuída mas unificada.
> 
> 
> Obs.:  Pode ser montada uma rede de gerencia exclusiva para a atuação 
> segura dos firewall.
> 
>      Att.
> 
>      Moises Ceratti
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter