+ Responder ao Tópico



  1. #1

    Padrão Qual a melhor distribuição para Firewall/Proxy ?

    Boa tarde pessoal,

    Estamos com projeto de migrar nosso serviço de Firewall de um software proprietário para uma distribuição Linux.

    Agora vem a dúvida, qual a melhor e mais segura distribuição para fazer este serviço ?

    RedHat, openSuse, Suse, Mandriva, Debian, Fedora, etc ???

    Me deem uma opnião por favor...

  2. #2

    Padrão

    Gosto de 3: Debian, Suse e FreeBSD!



  3. #3

    Padrão

    Primeiro não existe firewall 100% seguro. E segundo cada firewall é um firewall.
    O melhor é escolher entre as distribuições mais ativas (debian, centos, fedora), ou se a
    empresa quiser investir em suporte usar a redhat.
    No fw você vai usar basicamente iptables, se tiver serviço de proxy também squid, com o
    squid pode usar o squidguard ou dansguardian para ajudar no bloqueios. Pode usar o sarg
    para gerar relatórios de acesso.
    Para fazer o fw uma boa ferramenta é o firewall builder, você encontra ela no sourceforge.
    Como complemento do fw você pode usar o ntop para verificar o trafego nas interfaces de
    rede, o denyhosts para segurança, e talvez o OSSEC como IDS.
    Isso tudo depende da estrutura de rede que você esta disposto a implementar, como já
    disse, cada caso é um caso.

  4. #4

    Padrão Tudo vai depender de quanto tempo voce tem

    Firewall é a peça mais sensível da sua rede, com ele funcionando todos de amam quando ele cai todos de odeiam.

    Slackware,Debian são as minhas recomendação de uso livre ambos são extremamente estáveis e a documentação na internet é farta.

    RedHat é a minha recomendação para distribuição Linux paga o suporte é bom e tem muito profissional no mercado.

    Open/Net(BSD) São minhas recomendações para mundo BSD, são os mais portaveis e seguros sistemas operacionais que a falta do dinheiro vai lhe prover, abos trabalham com pf que é um filtro sensacional tem suporte a muitas features.

    Ainda tem os bonitões fechados que são:
    Ipcop - utilizei bastante funciona bem e tem um suporte extenso. (Linux/Iptables)
    Pfsense - ultilizo bastante funciona muito bem tem um suporte mais restrito. (FreeBsd/PF)

    Lembre-se que firewall não é so filtro de pacotes como dito anteriormente pelo nosso amigo, IDS, IPS, proxyes e muitos logs são peças fundamentais para que seu firewall só lhe traga alegrias e acredite que com um firewall "furado" voce vai precisar de neosaldina.

    Abraço



  5. #5

    Padrão

    Sem desmerecer ninguem, digo que... Se você conhece bem linux qualquer distro fara um bom proxy/firewall. prefiro Debian5, mais existe outras tão boas quanto. aqui em minha rede proxy squid só rodou filé no debian5.
    Já iptables tem em todas... para ficar melhor recomendo patch Layer 7 aplicado..
    Agora se você não manja muito o mundo linux. pelo menos o basico como comandos/iptables scripts-sh instalação e configuraçao squid, principalmente (squid.conf) que é o culpado por grande parte da lentidão das redes, quando é mal escrito.
    E principalmente se você não quer passar madrugadas a fio, lendo livros e tutos na net, e o pior tentando filtrar algo que realmente funcione.
    Recomendo usar uma solução pronta, existem varias exelentes e livres. alguns exemplos são.
    Vyatta http://www.vyatta.com
    Brazilfw BrazilFW Firewall and Router
    Pfsence http://www.pfsense.com
    Ps - o ultimo não é linux e sim freebsd ###o firewall nesse caso se trata de IPCHAINS e não iptables####. ### erro meu,.. me desculpe ###
    Em todas essas soluções vai o brinde de Loadbalance (o do vyatta é o melhor) toddas as 3 tem interface web.
    captive portal só no brazilfw e pfsence
    Brazilfw é mais facil de configurar.
    Bom acho que é isso, qualquer duvida é só postar.
    Abraços
    Última edição por RobertoLima; 21-07-2009 às 18:27.

  6. #6

    Padrão

    Citação Postado originalmente por RobertoLima Ver Post
    Sem desmerecer ninguem, digo que... Se você conhece bem linux qualquer distro fara um bom proxy/firewall. prefiro Debian5, mais existe outras tão boas quanto. aqui em minha rede proxy squid só rodou filé no debian5.
    Já iptables tem em todas... para ficar melhor recomendo patch Layer 7 aplicado..
    Agora se você não manja muito o mundo linux. pelo menos o basico como comandos/iptables scripts-sh instalação e configuraçao squid, principalmente (squid.conf) que é o culpado por grande parte da lentidão das redes, quando é mal escrito.
    E principalmente se você não quer passar madrugadas a fio, lendo livros e tutos na net, e o pior tentando filtrar algo que realmente funcione.
    Recomendo usar uma solução pronta, existem varias exelentes e livres. alguns exemplos são.
    Vyatta http://www.vyatta.com
    Brazilfw BrazilFW Firewall and Router
    Pfsence http://www.pfsense.com
    Ps - o ultimo não é linux e sim freebsd o firewall nesse caso se trata de IPCHAINS e não iptables.
    Em todas essas soluções vai o brinde de Loadbalance (o do vyatta é o melhor) toddas as 3 tem interface web.
    captive portal só no brazilfw e pfsence
    Brazilfw é mais facil de configurar.
    Bom acho que é isso, qualquer duvida é só postar.
    Abraços
    ipchains no freebsd ?? pfsense roda pf !!!
    PF: Packet Filtering



  7. #7

    Padrão

    Somente um engano do nosso amigo:
    Pfsense roda pf e não ipchains, ipchains é um filtro de pacotes nativod do Linux com kernels da série 2.2 e que foi substituído pelo iptables a partir do kernel 2.4.
    Pf é um filtro de pacotes nativo do OpenBSD e por sua elegancia e capacidade de processamento e features extremamente avançadas foi portado a quase todos os bsd (Open/Net/Free) não sei se o Darwin usa.

    Ipchains é stateless cada conexão deve ter sua entrada e saida declarada
    Pf é statefull o que garante baixo uso de cpu em altas cargas.

    Ipchains utiliza-se de ipfwadm para fazer nat
    Pf tem ferramentas de snat,dnat e port nat nativos.

    Pf tem a capacidade junto com pfsync de manter as conexões ativas em 2 firewalls redundantes
    Ipchais não tem essa feature que atualemente vem sendo desenvolvida com conntrackd no iptables.

    Ipchais teve seu ultimo release valido em 2000.
    Pf tem sua arvore de desenvolvimento mantida ativamente e em constante evolução.

    Acredito que o companheiro Roberto Lima se enganou mesmo e peço que caso alguma informação minha estiver errada por favor me corrijam somente assim podemos ter um forum melhor.

  8. #8

    Padrão

    Somente para documentação
    PF: O Filtro de Pacotes do OpenBSD

    Talvez uma das suas duvidas lendo esse forum seja:

    Efetivamente estamos falando de sistemas unix like.
    Efetivamente estamos falando de sistemas seguros.

    O que efetivamente importa na escolha de 1 firewall ?
    Capacidade de processamento de regras ?
    Capacidade de processamento de pacotes por segundo ?
    Capacidade de funcionamento em alta disponibilidade ?
    Capacidade de analisar camada 7 ?
    Facilidade na inclusão de regras ?
    Facilidade na captura e leitura dos logs ?

    Abraço



  9. #9

    Padrão

    Realmente foi um equivoco de minha parte IPchains no pfsence... Peço mil desculpas.
    Abraços