[GTER] Firewall no ASN

[Rubens Kuhl]

On Wed, Sep 19, 2018 at 12:38 PM Tárcio Dutra <tarcio_dutra at hotmail.com>
wrote:

> Bom dia, a todos. Obrigado pelo interesse no assunto.
>
>
> A EMPRESA que nos "reclamou" dos ataques, com certa "educação" frisou que
> a responsabilidade para conter a saída desses ataques é de nossa
> responsabilidade e não do cliente, também citou o Marcos Civil. :/   Olha,
> no Marco Civil não encontrei nada dizendo isso.
>

Nem eu. "Vê se cola" total.


>
> +++++++++++++++++++++++++Alguém achou essa interpretação (não estou
> querendo fugir da responsabilidade da minha rede)? Alguém sabe  se as
> GRANDES usam firewall para o trafego de
> cliente???++++++++++++++++++++++++++++++++++
>


As grandes tem sim recursos para fazer isso, apesar de o fazerem com
relutância.


> Alexandre C.Fiz esse notificação e já removi os IPs. Também duvido muito
> que as Teles dão importância a esses avisos (agora resta saber se eles
> implantam firewall, ALGUÉM SABE?)
>

De fato ignoram praticamente tudo que não venha com um mandado judicial...


> Rubens
>
> Um equipamento L2 dedicado ao FIREWALL já utilizo em pequenas aplicações,
> só não consigo dizer se a latência não vai aumentar para os clientes, já
> que o tráfego é bem mais alto.
>
>
O ponto num firewall nessa função é manter baixo o número de conexões
stateful. Há alguns jeitos de fazer isso:
1) Usar tabela RAW e fazer o máximo possível stateless, tendo a opção de
fazer stateful se necessário
2) Não carregar conntrack e fazer filtragens via "ip rule".

Eu gosto mais do método 1.

Tendo um baixo número de conexões trackeadas, dá para implementar isso em
baixa latência até mesmo com placas de rede "baunilha". Se colocar placas
de rede melhores, diminui ainda mais a latência.

Rubens


Rubens