Pessoal, estamos para substituir nosso firewall iptables por um Mikrotik.
Temos cerca de 6 mil regras na tabela filter do iptables
Vocês acreditam que a RB 1100AHx2 vai dar conta?
Versão Imprimível
Pessoal, estamos para substituir nosso firewall iptables por um Mikrotik.
Temos cerca de 6 mil regras na tabela filter do iptables
Vocês acreditam que a RB 1100AHx2 vai dar conta?
Sim, na filter tem isso, na NAT tem mais umas 40.
O Atual esta em um Debian, Core 2 duo 2.8, 2gb de RAM
Nunca vi ele passar de 3% de processamento.
Ainda estou procurando um jeito de migrar as regras, mas se não tiver como, terá que ser na mão aos poucos...
Alguém já usou Mikrotik com esse tanto de regras?
UP
Nossa, quanta regra. Poderia nos dizer o que elas fazem? Será que não tem como diminuir esse numero?
Abraço
Minha politica é dropar tudo.
Ai conforme alguns serviços precisam de portas ou acesso externo específico que não devem passar pelo proxy/firewall, faço a regra de liberação. Também tenho uma DMZ com vários servidores com regras especificas de acesso.
Este número é grande pois eu tenho 4 links, e tenho que repetir a regra para cada um dos links e em ambos os sentidos em alguns casos.
Tenho cerca de 1000 regras, o resto é tudo variação conforme o link usado e o sentido, o que acaba dando o total de 6000.
Ex:
Código :
0 0 ACCEPT tcp -- eth1 * IP Externo LINK1 multiport sports 20,21,80 state RELATED,ESTABLISHED 0 0 ACCEPT tcp -- eth1 * IP Externo LINK1 tcp spts:1024:65535 dpts:1024:65535 state ESTABLISHED 0 0 ACCEPT tcp -- eth3 * IP Externo LINK2 multiport sports 20,21,80 state RELATED,ESTABLISHED 0 0 ACCEPT tcp -- eth3 * IP Externo LINK2 tcp spts:1024:65535 dpts:1024:65535 state ESTABLISHED 0 0 ACCEPT tcp -- eth4 * IP Externo LINK3 multiport sports 20,21,80 state RELATED,ESTABLISHED 0 0 ACCEPT tcp -- eth4 * IP Externo LINK3 tcp spts:1024:65535 dpts:1024:65535 state ESTABLISHED 0 0 ACCEPT tcp -- ppp0 * IP Externo LINK4 multiport sports 20,21,80 state RELATED,ESTABLISHED 0 0 ACCEPT tcp -- ppp0 * IP Externo LINK4 tcp spts:1024:65535 dpts:1024:65535 state ESTABLISHED
Qualquer duvida adicional pode perguntar. Meu fornecedor de equipamento e a empresa de consultoria disseram que ela vai suportar. Mas gostaria de confirmar se alguém aqui já usou com essa quantidade.