Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1

    Padrão Mikrotik como Firewall

    Pessoal, estamos para substituir nosso firewall iptables por um Mikrotik.

    Temos cerca de 6 mil regras na tabela filter do iptables

    Vocês acreditam que a RB 1100AHx2 vai dar conta?

  2. #2

    Padrão

    Sim, na filter tem isso, na NAT tem mais umas 40.

    O Atual esta em um Debian, Core 2 duo 2.8, 2gb de RAM
    Nunca vi ele passar de 3% de processamento.

    Ainda estou procurando um jeito de migrar as regras, mas se não tiver como, terá que ser na mão aos poucos...



  3. #3

    Padrão

    Alguém já usou Mikrotik com esse tanto de regras?

  4. #4



  5. #5
    Moderador Avatar de gamineiro
    Ingresso
    Jan 2008
    Localização
    RS
    Posts
    423
    Posts de Blog
    2

    Padrão

    Nossa, quanta regra. Poderia nos dizer o que elas fazem? Será que não tem como diminuir esse numero?

    Abraço

  6. #6

    Padrão

    Citação Postado originalmente por gamineiro Ver Post
    Nossa, quanta regra. Poderia nos dizer o que elas fazem? Será que não tem como diminuir esse numero?

    Abraço
    Minha politica é dropar tudo.

    Ai conforme alguns serviços precisam de portas ou acesso externo específico que não devem passar pelo proxy/firewall, faço a regra de liberação. Também tenho uma DMZ com vários servidores com regras especificas de acesso.

    Este número é grande pois eu tenho 4 links, e tenho que repetir a regra para cada um dos links e em ambos os sentidos em alguns casos.

    Tenho cerca de 1000 regras, o resto é tudo variação conforme o link usado e o sentido, o que acaba dando o total de 6000.

    Ex:
    Código :
      0     0 ACCEPT     tcp  --  eth1   *       IP Externo        LINK1      multiport sports 20,21,80 state RELATED,ESTABLISHED 
        0     0 ACCEPT     tcp  --  eth1   *       IP Externo        LINK1       tcp spts:1024:65535 dpts:1024:65535 state ESTABLISHED 
        0     0 ACCEPT     tcp  --  eth3   *       IP Externo         LINK2        multiport sports 20,21,80 state RELATED,ESTABLISHED 
        0     0 ACCEPT     tcp  --  eth3   *       IP Externo         LINK2        tcp spts:1024:65535 dpts:1024:65535 state ESTABLISHED 
        0     0 ACCEPT     tcp  --  eth4   *       IP Externo         LINK3        multiport sports 20,21,80 state RELATED,ESTABLISHED 
        0     0 ACCEPT     tcp  --  eth4   *       IP Externo         LINK3        tcp spts:1024:65535 dpts:1024:65535 state ESTABLISHED 
        0     0 ACCEPT     tcp  --  ppp0   *       IP Externo         LINK4      multiport sports 20,21,80 state RELATED,ESTABLISHED 
        0     0 ACCEPT     tcp  --  ppp0   *       IP Externo         LINK4      tcp spts:1024:65535 dpts:1024:65535 state ESTABLISHED

    Qualquer duvida adicional pode perguntar. Meu fornecedor de equipamento e a empresa de consultoria disseram que ela vai suportar. Mas gostaria de confirmar se alguém aqui já usou com essa quantidade.



  7. #7
    Ricardo Romero Avatar de ricromero
    Ingresso
    Apr 2008
    Localização
    São Paulo / Interior
    Posts
    921

    Padrão

    Me desculpe, mas vai trocar o CERTO pelo duvidoso por que?

    Seu processamento não passa de 3% com vários clientes, certo? Então para que trocar?? Esse Debian não está atendendo a demanda a contento?

    Citação Postado originalmente por Magazine Ver Post
    Sim, na filter tem isso, na NAT tem mais umas 40.

    O Atual esta em um Debian, Core 2 duo 2.8, 2gb de RAM
    Nunca vi ele passar de 3% de processamento.

    Ainda estou procurando um jeito de migrar as regras, mas se não tiver como, terá que ser na mão aos poucos...

  8. #8

    Padrão

    Citação Postado originalmente por ricromero Ver Post
    Me desculpe, mas vai trocar o CERTO pelo duvidoso por que?

    Seu processamento não passa de 3% com vários clientes, certo? Então para que trocar?? Esse Debian não está atendendo a demanda a contento?
    Quatro itens:


    1°. Facilidade na configuração de regras. O Iptables que temos é muito complexo, são cerca de 5 scripts e toda vez é um sacrifício para alguém que não tenha tanto conhecimento adicionar alguma regra necessária. Quero poder tirar férias as vezes :-)


    2°. Fail over e balanceamento. Até consegui fazer fail over no iptables, mas o balanceamento não funcionou como gostaria. Acredito que o mikrotik irá resolver este problema facilmente.


    3° Substituir uma máquina física por uma 'caixinha' de apenas 1U.

    4° Facilitar em caso de problema com o equipamento. Preciso apenas baixar a conf usada em um novo equipamento, conectar os cabos e já esta no ar novamente. 15min de downtime no máximo em caso de defeito no equipamento.



  9. #9
    Moderador Avatar de gamineiro
    Ingresso
    Jan 2008
    Localização
    RS
    Posts
    423
    Posts de Blog
    2

    Padrão

    Citação Postado originalmente por Magazine Ver Post
    Minha politica é dropar tudo.

    Tenho cerca de 1000 regras, o resto é tudo variação conforme o link usado e o sentido, o que acaba dando o total de 6000.
    Acho que podemos te ajudar a chegar apenas em 1000 ou menos, usando ADDRESS LISTS.

    Citação Postado originalmente por Magazine Ver Post
    Quatro itens:


    1°. Facilidade na configuração de regras. O Iptables que temos é muito complexo, são cerca de 5 scripts e toda vez é um sacrifício para alguém que não tenha tanto conhecimento adicionar alguma regra necessária. Quero poder tirar férias as vezes :-)


    2°. Fail over e balanceamento. Até consegui fazer fail over no iptables, mas o balanceamento não funcionou como gostaria. Acredito que o mikrotik irá resolver este problema facilmente.


    3° Substituir uma máquina física por uma 'caixinha' de apenas 1U.

    4° Facilitar em caso de problema com o equipamento. Preciso apenas baixar a conf usada em um novo equipamento, conectar os cabos e já esta no ar novamente. 15min de downtime no máximo em caso de defeito no equipamento.
    E ainda pode usar VRRP[1] e deixar outra caixinha do lado, pronta para assumir automaticamente em caso de falha da principal.

    [1] http://wiki.mikrotik.com/wiki/Manual:Interface/VRRP

    Abraço

  10. #10
    Ricardo Romero Avatar de ricromero
    Ingresso
    Apr 2008
    Localização
    São Paulo / Interior
    Posts
    921

    Padrão

    Entendo cara, mas são só 3% de processamento e ALTISSIMAMENTE confiável

    Citação Postado originalmente por Magazine Ver Post
    Quatro itens:


    1°. Facilidade na configuração de regras. O Iptables que temos é muito complexo, são cerca de 5 scripts e toda vez é um sacrifício para alguém que não tenha tanto conhecimento adicionar alguma regra necessária. Quero poder tirar férias as vezes :-)


    2°. Fail over e balanceamento. Até consegui fazer fail over no iptables, mas o balanceamento não funcionou como gostaria. Acredito que o mikrotik irá resolver este problema facilmente.


    3° Substituir uma máquina física por uma 'caixinha' de apenas 1U.

    4° Facilitar em caso de problema com o equipamento. Preciso apenas baixar a conf usada em um novo equipamento, conectar os cabos e já esta no ar novamente. 15min de downtime no máximo em caso de defeito no equipamento.



  11. #11

    Padrão

    Amigo, para essa sua aplicação recomendo..
    R210 com o melhor processador que você conseguir comprar..
    O mínimo de ram e o mínimo de HD..
    RB44Ge.
    E é 1U.

    Seja feliz.!


    Não desmereço o linux+iptables, pelo contrário, acho ótimo.
    Mas pelo que você citou das facilidades e tudo mais.. ta ai o caminho das pedras.

    Att.

    Edit: Agora que lembrei.. você quer colocar em uma 1100Ahx2.. Sei não. Eu não arriscaria tudo isso.
    O server ai de cima sai o dobro do preço.. Mas é aquilo.. Uma vez só..

  12. #12

    Padrão

    @gamineiro.
    Pois é, estava vendo que o Mikrotik usa access list, vai facilitar muito na importação das regras e no dia-a-dia quando precisar adicionar ou remover algum IP.

    O VRRP eu conheço, mas não vou utilizar pois terei apenas um equipamento de backup sendo que terei 3 em produção(em outras filiais). Mas valeu pela dica!


    @
    ricromero
    É confiável até algum link cair ou alguém que não seja eu precisar alterar alguma regra hehe.


    @
    Arthur Bernardes
    O custo do hardware do servidor seria mais caro que investir na RB, até pq eu teria que ter dois para ter um de backup.
    Sem contar o consumo de energia maior do servidor comparado a RB.


    @
    klabundee
    Essa RB44Ge não é apenas a placa PCI?



  13. #13

    Padrão

    Citação Postado originalmente por Magazine Ver Post

    @
    klabundee
    Essa RB44Ge não é apenas a placa PCI?
    Sim.. que você iria ligar no R210.
    Terá 4 placas 10/100/1000 para usar.

  14. #14

    Padrão

    Citação Postado originalmente por klabundee Ver Post
    Sim.. que você iria ligar no R210.
    Terá 4 placas 10/100/1000 para usar.
    Entendi.. mas ai o custo ficaria acima até da RB CCR1036.



  15. #15

    Padrão

    Quer uma ideia?

    Pega um servidor (HP ou Dell), instala o VMWare. Usa o PFSense para colocar suas regras. Sim, vai sofrer! rs.. Mas bem menos, pois ele tem uma interface gráfica intuitiva e qualquer um pode gravar os passos (faça screenshots para passar pros seus funcionários).

    Quando estiver tudo funcionando redondinho e você estiver satisfeito com tudo, faça snapshots pelo VMWare. A cada atualização desse firewall, faça uma nova snapshot (ou programe pra fazer, tanto faz). Deu problema no firewall? Só restaurar a snapshot e está tudo resolvido!

    Obs: ensine o teu pessoal a restaurar também. Se não confia, faça remotamente quando não der pra fazer pessoalmente!

    Pronto, só sair de férias e ser feliz! :P

  16. #16

    Padrão

    @surfinhu
    Obrigado pela sugestão, mas além de sair mais caro fazer isso, ainda correria o risco da máquina física do vmware dar pau e ter que ser trocada.



  17. #17

    Padrão

    Citação Postado originalmente por Magazine Ver Post
    @surfinhu
    Obrigado pela sugestão, mas além de sair mais caro fazer isso, ainda correria o risco da máquina física do vmware dar pau e ter que ser trocada.
    Wow! Também teria o risco de um meteoro cair na Terra e destruir a sua internet! (brincadeira.. rs) :P

    Mas, rapaz, teria também o risco do seu MK queimar. Mas, rapaz, teria também o risco do seu MK queimar. E ai?

    Cara, tu pode fazer isso no mesmo desktop onde está o linux com iptables. O grande "trunfo" que tu vai ter é: quando queimar ou corromper o HD com os dados, tu já vai ter uma imagem pronta com as últimas configs do firewall. E vai te poupar de instalar novamente o Debian, configurar rede, usuários e senhas, etc. Você instala um VMWare em 10min e restaura em 5.

    Isso é, se você sempre salvar a imagem da VM em outro HD, é claro! rs.. :P

  18. #18

    Padrão

    Citação Postado originalmente por surfinhu Ver Post
    Wow! Também teria o risco de um meteoro cair na Terra e destruir a sua internet! (brincadeira.. rs) :P

    Mas, rapaz, teria também o risco do seu MK queimar. Mas, rapaz, teria também o risco do seu MK queimar. E ai?

    Cara, tu pode fazer isso no mesmo desktop onde está o linux com iptables. O grande "trunfo" que tu vai ter é: quando queimar ou corromper o HD com os dados, tu já vai ter uma imagem pronta com as últimas configs do firewall. E vai te poupar de instalar novamente o Debian, configurar rede, usuários e senhas, etc. Você instala um VMWare em 10min e restaura em 5.

    Isso é, se você sempre salvar a imagem da VM em outro HD, é claro! rs.. :P
    Serei o primeiro a comprar um datacenter em Marte quando for possível para ficar de backup caso caia um meteoro na terra. hehe :P

    No caso do MK, eu terei uma unidade de BKP.
    Só jogar a conf no novo equipamento e colocar no ar.



  19. #19

    Padrão

    Citação Postado originalmente por Arthur Bernardes Ver Post
    Eu uso aqui um script de envio automático de backup por e-mail, me facilita muito!


    Valeu, provavelmente usuarei!

  20. #20

    Padrão

    É fácil de responder sua pergunta Magazine,


    O que vai gerar alto processamento na rb 1100AHx2 é a quantidade de conexões simultâneas, pois as regras de firewall não afetam em nada no roteador.


    Vocês pode ter uma rb 1100AHx2 com essas 6000 mil regras, se não tiver trafego não vai ter processamento.


    Agora a pergunta, quantas conexões simultâneas passam pelo seu firewall?


    Se você responder essa pergunta fica fácil de dizer se a rb 1100AHx2 lhe atende.