[GTER] Firewall no ASN

Tárcio Dutra tarcio_dutra at hotmail.com
Wed Sep 19 08:48:58 -03 2018 

Bom dia, a todos. Obrigado pelo interesse no assunto.


A EMPRESA que nos "reclamou" dos ataques, com certa "educação" frisou que a responsabilidade para conter a saída desses ataques é de nossa responsabilidade e não do cliente, também citou o Marcos Civil. :/   Olha, no Marco Civil não encontrei nada dizendo isso.

+++++++++++++++++++++++++Alguém achou essa interpretação (não estou querendo fugir da responsabilidade da minha rede)? Alguém sabe  se as GRANDES usam firewall para o trafego de cliente???++++++++++++++++++++++++++++++++++


Alexandre C.Fiz esse notificação e já removi os IPs. Também duvido muito que as Teles dão importância a esses avisos (agora resta saber se eles implantam firewall, ALGUÉM SABE?)


Eduardo SchoedlerObrigado pela indicação de leitura.


Marcelo GondimSe eu chegar a fazer o Firewall, tbm acho mais viável faze-lo nos BRAS (obrigado pelo código), apesar que estou com receio do aumento de CPU, você não notou aumento na latência devido ao FIREWALL?


Rubens

Um equipamento L2 dedicado ao FIREWALL já utilizo em pequenas aplicações, só não consigo dizer se a latência não vai aumentar para os clientes, já que o tráfego é bem mais alto.


Obrigado novamente


________________________________
De: gter <gter-bounces at eng.registro.br> em nome de Marcelo Gondim <gondim at bsdinfo.com.br>
Enviado: terça-feira, 18 de setembro de 2018 22:33:05
Para: gter at eng.registro.br
Assunto: Re: [GTER] Firewall no ASN

Essa abordagem que o Rubens colocou é a melhor mesmo. Aqui usamos assim:


BRAS ----- CGNAT ----- Router/Firewall --- Borda
  |                                      |
  +------------------------------+
              IPv6

Em 18/09/2018 22:16, Rubens Kuhl escreveu:
> O recomendável é um terceiro equipamento entre esses dois, em configuração
> não redundante.
>
> BRAS - Firewall - Borda
> +------------------------+
>
> Essa conexão direta entre BRAS e Borda é a que já existe hoje, e seria
> contingência caso o firewall pife.
> Dá para fazer isso em L2 ou L3 à sua escolha... se for L2 com spanning-tree
> de redundância, se for L3 com OSPF de redundância. Se for L2 com firewall
> bridge, se for L3 com firewall roteado.
>
> Um servidor x86, rodando RouterOS, Linux ou FreeBSD seria um bom candidato.
>
>
> Rubens
>
>
>
> On Tue, Sep 18, 2018 at 9:04 PM Tárcio Dutra <tarcio_dutra at hotmail.com>
> wrote:
>
>> Boa tarde, Turma.
>>
>>
>> Recentemente recebemos alguns avisos de "Os IPs abaixo são origem de
>> ataques DDoS", tais IPs são de alguns clientes, somos um ISP.
>>
>> Ele pedem para bloquearmos, a exemplo, o trafego que sai através de uma
>> porta X.
>>
>>
>> Bem, devemos sempre colaborar...
>>
>>
>> Tenho equipamentos Cisco e Mikrotik. O que vocês recomendam?
>>
>>
>> Configurar um Firewall Foward no Router BGP, nos Concentradores PPPoE? Se
>> eu subir um FIREWALL eu vou ter um aumento considerável no processamento
>> dos meus equipamentos.  😖  :(
>>
>>
>> Realmente gostaria de ler a experiência de vocês. Agradeço a quem me
>> ajudar.
>>
>>
>> Att,
>>
>> Tárcio
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
> --

--
gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list