[GTER] ServerU L-800+FreeBSD 10.1+OpenBGPD+Netmap

Lista lista.gter at gmail.com
Sat May 16 22:05:22 -03 2015


Fábio boa noite.
Sou adepto a seguintes situações.

1 borda livre,  somente con regra de firewall  de input a ele mesmo.ataque
ddos para clientes é blackhole/32 ou algo antes das interface de input.
2 sobre o  melhor firewall, lhe pergunto tbem. Qual deles vc domina? Borda
não é lugar de testes e sim de uptime e isso vc só consegue afinando o seu
conhecimento em cima daquilo que você ja testou. Então va de acordo com o
que vc ja se sente seguro e implemente e teste antes tudo o que for
necessitar, caso não te atenda ae sim sugiro a você a estudar outras opções
e sim somente após se sentir confiante,  implemente.

My cents


Em sábado, 16 de maio de 2015, Fabiano Ribeiro <
fabiano.ribeiro at gerenciatec.com.br> escreveu:
> Rubens,
>
>    Então, como disse hoje não preciso de PBR, mas quero já testar o
recurso
> caso seja preciso direcionar um tráfego para algum link. Como ela está
aqui
> em laboratório dando sopa já quero deixar testado a capacidade para saber
> se posso contar com o recurso em alguma situação. Não preciso chegar ao
> máximo da capacidade da ServerU agora.
>
>    Estamos fugindo da discussão inicial, que é saber qual o melhor
firewall
> para trabalhar no freebsd+openbgpd. Algum colega da lista trabalha com PBR
> e qual firewall usa ?
>
> Em 16 de maio de 2015 18:21, Rubens Kuhl <rubensk at gmail.com> escreveu:
>
>> 2015-05-16 18:03 GMT-03:00 Fabiano Ribeiro <
>> fabiano.ribeiro at gerenciatec.com.br>:
>>
>> >     Agora eu entendi porque que é difícil encontrar relatos de uso do
>> > openbgpd+pf, pois no core não se utiliza firewall para filtragem de
DDoS
>> > (no meu caso está na camada de distribuição), mas para utilizar PBR
>> baseado
>> > em routing mark é necessário o mesmo, ou estou enganado ?
>> >     Além disso, os colegas deixam desativado os recursos de firewall
>> (seja
>> > ipfw ou PF) no sistema ? Há realmente essa necessidade ? Sei que será
>> > necessário threads a mais para processar o firewall, mas não vejo
motivo
>> de
>> > deixá-lo desativado se eu quiser dropar um input na minha porta SSH. A
>> > menos que se queira chegar ao máximo de Mpps da caixa.
>> >
>>
>> Firewall de proteção do plano de controle é algo a deixar ligado,
inclusive
>> com stateful. Tráfego só de passagem pela caixa que é melhor deixar
>> normalmente intocado, só filtrando quando for ataque à sua
infra-estrutura
>> (não a clientes, que você deve filtrar nos dispositivos que atendem os
>> clientes).
>>
>>
>> Rubens
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter



More information about the gter mailing list