[MASOCH-L] Firewall de perímetro - distribuído
Contato - NBINFO
contato at nbinfo.inf.br
Thu Jan 9 12:13:37 -03 2014
Esqueci de mencionar, rede sem NAT, os pacotes se fosse desativado todos
os firewall chegaria sem qualquer problema ao destino, o problema em si
está em implementar um firewall de perímetro distribuído.
Em 09/01/2014 12:00, Tiago Flôres escreveu:
> Parece que seria o caso de usar VRRP !?
>
>
> Em 9 de janeiro de 2014 11:56, Contato - NBINFO <contato at nbinfo.inf.br>escreveu:
>
>> Atualmente é como o Lucas descreveu, a única coisa que preciso fazer é
>> unificar os firewall para que fique dinâmico, como tinha explicado, hoje eu
>> forço o fluxo
>> de conexões para se manter sobre determinado roteador/firewall, fica
>> distribuído mas não dinâmico.
>>
>> Cenário:
>>
>> Entrada Links:
>>
>> - BGP/Router - fornecedor 1 -
>> - BGP/Router - fornecedor 2 -
>> - BGP/Router - fornecedor 3 -
>>
>> Recebimento atual dos links:
>>
>> - Firewall 1 (se conecta ao roteador 1,2 e 3) -> segue para rede
>> interna
>> - Firewall 2 (se conecta ao roteador 1,2 e 3) -> segue para rede
>> interna
>>
>> Hoje eu mantenho via roteamento o fluxo forçado manualmente
>> sobre cada roteador.
>>
>> Recebimento planejado:
>> - Firewall 1 (se conecta ao roteador 1,2 e 3) -> segue para rede
>> interna
>> - Firewall 2 (se conecta ao roteador 1,2 e 3) -> segue para rede
>> interna
>> - Firewall 3 (se conecta ao roteador 1,2 e 3) -> segue para rede
>> interna
>> Sem necessidade de forçar o fluxo de dados, qualquer firewall
>> atende a solicitação e todos trabalhando como se fosse um único firewall.
>>
>>
>>
>> Em 09/01/2014 11:28, Lucas Willian Bocchi escreveu:
>>
>> Hum.
>>> A única coisa que vi parecida com isso no linux seria o projeto bastionX.
>>> De resto, dessa forma que está funcionando pra ele, desconheço !
>>> Aí realmente tem que apelar pro bom BSD (se for solução livre).
>>> Para algo tão complexo então vejo que teria que partir para uma caixa
>>> confiável como sugeriu o Douglas!
>>>
>>> Em 9 de janeiro de 2014 11:13, Bruno Cabral <bruno at openline.com.br>
>>> escreveu:
>>>
>>>> Os SYNs e ACKs deviam passar normalmente (usando BGP) pelos caminhos
>>>> alternativos, nao me parece ser o que ele esta tentando.
>>>>
>>>> So vejo necessidade dessa distribuicao de tabela conntrack se estiver
>>>> usando algum tipo de NAT
>>>>
>>>> !3runo
>>>>
>>>> --
>>>> Cursos e Consultoria BGP
>>>> http://f2link.f2b.com.br/impressora3d
>>>>
>>>>
>>>> Acho que não Lucas...
>>>>> Pelo que eu entendi, ele tem a estrutura distribuída.
>>>>> Ex.: - Um link BGP e um firewall com uma operadora "A" em Cascavel,
>>>>> - Um link BGP e um firewall com outra operadora "B" em Curitiba.
>>>>> - Uma estrutura própria de interconexão dos diversos sites deles.
>>>>>
>>>> __
>>>> masoch-l list
>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>
>>> __
>>> masoch-l list
>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>
>>>
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>>
>
>
More information about the masoch-l
mailing list