[GTER] Indicacao de Appliance para LoadBalance+Proxy+Segregacao de Redes
Douglas Fischer
fischerdouglas at gmail.com
Fri Mar 24 16:40:42 -03 2017
Quando falamos de Firewall de Camada 7, ou NGFW(existe uma zona opaca nessa
definição)
A grande diferença entre um CopyRight e um OpenSource não está nem tanto na
Funcionalidade ou na performance...
Isso é uma questão de dimensionamento e design da colocação do dispositivo
na rede.
O GRANDE TRUNFO está nos serviços contratados!
Acho que o exemplo mais evidente é a lista de categorização da Internet
OpenSource vs CopyRight.
Se você acha que dá para comparar ShalaList com o que uma PaloAlto ou Cisco
oferece, ou com a granularidade das filtragens nas WebApps, REVEJA SEUS
CONCEITOS!
Em 23 de março de 2017 20:47, Bruno Cabral <bruno at openline.com.br> escreveu:
> Já escutei uma dessas ao tentar implantar um opensource pra economizar 300
> mil por ano num hospital
>
> "Se você sair, quem vai manter isso?"
>
> E depois me tiraram porque "TI gasta muito"
>
> O problema ao meu ver não é a dificuldade do pfsense mas o sobrinho não
> saber usar. Quem vai menter é você ou ele?
>
> Mostre dois orçamentos. Um da arbor e um do pfsense, com treinamento para
> o sobrinho...
>
> E deixe o diretor escolher
>
> !3runo
>
> --
> Cursos e Consultoria BGP e OSPF
> http://www.openline.com.br/cursos/
>
> ________________________________
> De: gter <gter-bounces at eng.registro.br> em nome de Anderson C. Santos <
> anderson at microquest.com.br>
> Enviado: quinta-feira, 23 de março de 2017 18:46:55
> Para: gter at eng.registro.br
> Assunto: Re: [GTER] Indicacao de Appliance para
> LoadBalance+Proxy+Segregacao de Redes
>
> Prezado Roberval,
>
> No meu caso o pfsense ate atenderia.
>
> As estacoes cabeadas sao fixas e com proxy ja configurado em cada uma
> (gerando relatorio http/https com usuario autenticado sem problema)
>
> O wifi da diretoria nao precisa de proxy - vai ser um hotspot dedicado
> para eles e conectado em uma porta fisica liberada (nao precisa de
> relatorio)
>
> O wifi do comerical eh outro hotspot dedicado e conectado em porta
> fisica especifica (nao deve ter proxy nem precisa de relatorio) -
> apenas impedir acesso facebook, youtube e semelhantes.
>
> Via pfsense eu usaria uma VLAN para cada um, com regras especificas
> (por exemplo para deter HTTPS sem proxy faria via filtragem de DNS).
>
> Mas o problema central eh: o "sobrinho" falou que linux/bsd/pfsense
> sao solucoes ruins e dificeis de administrar, entao ele quer
> um appliance de fornecedor conhecido.
>
> So comentando, no passado ja implemetamos Captive Portal via MAC
> do device do usuario (filtrando DNS e obrigando um cadastro) -
> tinha algumas falhas com spoof de MAC mas funcionava razoavelmente
> bem para o que se propunha.
>
> Abracos,
>
> Anderson C. Santos
>
> On 03/23/2017 06:26 PM, Roberval Lustosa wrote:
> > Tenho minhas dúvidas sobre o pfsense atender a todos esses requisitos.
> >
> > Se fosse apenas máquinas cabeadas, ok. Implantaria o squid com proxy
> ativo
> > usando wpad, dns ou até mesmo setando manualmente no navegador. Já na
> rede
> > wifi os problemas serão:
> >
> > 1 - Nem todos os celulares funcionam com wpad e nem sei se todos tem
> opção
> > de setar proxy manualmente.
> > 2 - Uma opção seria usar captive portal, mas vc só terá relatórios de
> > acesso se integrar com o squid transparente e mesmo assim será meio
> furado,
> > pois proxy transparente nao filtra https(até filtra, mas é cheio de
> > limitação e com altíssimo consumo de RAM). Além de tudo isso, vc teria
> que
> > criar duas instâncias do squid: uma com proxy ativo e outra com proxy
> > transparente pois por padrão o squid nao funciona ao mesmo tempo ativo e
> > transparente.
> >
> > Isso ai foram os problemas que tive (e estou tendo). Posso estar errado e
> > espero que eu esteja e alguém possa dar uma solução pra esses problemas.
> > rs...
> > vlw
> >
> >
> >
> >
> > Em 23 de março de 2017 11:18, Patrick Barreto Petronetto <
> > patrickbp at gmail.com> escreveu:
> >
> >> Nunca vi funcionando, mas me parece que faz o que o seu cliente precisa:
> >> http://www.tp-link.com/us/products/details/cat-4909_TL-
> >> ER604W.html#overview
> >>
> >> Se alguém na lista já usou esse TP-LINK (ou modelo similar) eu também
> >> gostaria de saber se funciona bem.
> >>
> >> 2017-03-22 15:53 GMT-03:00 Luzemário Dantas <luzemario at luzehost.com.br
> >:
> >>
> >>> pfSense na veia.
> >>>
> >>>
> >>>
> >>> Em 21-03-2017 08:35, willian pires escreveu:
> >>>
> >>>> Hillstone quanto você quer gastar ?
> >>>>
> >>>> Get Outlook for Android<https://aka.ms/ghei36>
> >>>>
> >>>>
> >>>> ________________________________
> >>>> From: gter <gter-bounces at eng.registro.br> on behalf of Thiago
> >> Ferrarezi <
> >>>> thiago.ferrarezi at gmail.com>
> >>>> Sent: Monday, March 20, 2017 3:28:00 PM
> >>>> To: Grupo de Trabalho de Engenharia e Operacao de Redes
> >>>> Subject: Re: [GTER] Indicacao de Appliance para
> >>>> LoadBalance+Proxy+Segregacao de Redes
> >>>>
> >>>> como o amigo ai disse pfsense é o mais indicado e é top.
> >>>>
> >>>> Em 20 de março de 2017 12:01, Eduardo Rigler <erigler at gmail.com>
> >>>> escreveu:
> >>>>
> >>>> Tem que ser pago?
> >>>>>
> >>>>> Salvo engano você consegue fazer tudo isso com pfsense.
> >>>>>
> >>>>> []´s
> >>>>>
> >>>>>
> >>>>> Em 20 de março de 2017 10:53, Anderson C. Santos <
> >>>>> anderson at microquest.com.br
> >>>>>
> >>>>>> escreveu:
> >>>>>> Prezados,
> >>>>>>
> >>>>>> Surgiu uma necessidade em um cliente pequeno (20 estacoes)
> >>>>>> com algumas coisas especificas.
> >>>>>>
> >>>>>> No caso ele quer um appliance que permita
> >>>>>>
> >>>>>> - Load Balance (para 2 links)
> >>>>>>
> >>>>>> - Proxy e ACL de acesso a sites (com usuario e senha, sem
> >>>>>> integracao com AD)
> >>>>>>
> >>>>>> - Relatorio de acesso a sites
> >>>>>>
> >>>>>> - Segregacao de redes:
> >>>>>>
> >>>>>> - adm cabo
> >>>>>>
> >>>>>> - wifi diretoria
> >>>>>>
> >>>>>> - wifi vendedores
> >>>>>>
> >>>>>> Por exemplo, o que vier pelo wifi diretoria ta liberado
> geral,
> >>>>>> pelo adm cabo tera proxy configurado nas estacoes e
> >>>>>> usuario/senha e pelo wifi vendedores nao precisa usuario/
> >>>>>> senhas (sao notes pessoais) mas sem acesso a alguns sites
> >>>>>> (facebook). Imaginei uma solucao usando vlans.
> >>>>>>
> >>>>>> Estou analisando algumas solucoes, como BluePex e SonicWall.
> >>>>>>
> >>>>>> Alguem tem alguma sugestao ou ja fez parecido ?
> >>>>>>
> >>>>>> Abracos,
> >>>>>>
> >>>>>> Anderson C. Santos
> >>>>>>
> >>>>>> --
> >>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
> >>>>>>
> >>>>>> --
> >>>>> gter list https://eng.registro.br/mailman/listinfo/gter
> >>>>>
> >>>>
> >>>>
> >>>>
> >>>> --
> >>>> Atenciosamente,
> >>>>
> >>>> *Thiago Ferrarezi*Analista Linux
> >>>> thiago.ferrarezi at gmail.com
> >>>> --
> >>>> gter list https://eng.registro.br/mailman/listinfo/gter
> >>>> --
> >>>> gter list https://eng.registro.br/mailman/listinfo/gter
> >>>>
> >>>
> >>> --
> >>> gter list https://eng.registro.br/mailman/listinfo/gter
> >>>
> >> --
> >> gter list https://eng.registro.br/mailman/listinfo/gter
> >>
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
--
Douglas Fernando Fischer
Engº de Controle e Automação
More information about the gter
mailing list