+ Responder ao Tópico



  1. Citação Postado originalmente por gamineiro Ver Post
    Nossa, quanta regra. Poderia nos dizer o que elas fazem? Será que não tem como diminuir esse numero?

    Abraço
    Minha politica é dropar tudo.

    Ai conforme alguns serviços precisam de portas ou acesso externo específico que não devem passar pelo proxy/firewall, faço a regra de liberação. Também tenho uma DMZ com vários servidores com regras especificas de acesso.

    Este número é grande pois eu tenho 4 links, e tenho que repetir a regra para cada um dos links e em ambos os sentidos em alguns casos.

    Tenho cerca de 1000 regras, o resto é tudo variação conforme o link usado e o sentido, o que acaba dando o total de 6000.

    Ex:
    Código :
      0     0 ACCEPT     tcp  --  eth1   *       IP Externo        LINK1      multiport sports 20,21,80 state RELATED,ESTABLISHED 
        0     0 ACCEPT     tcp  --  eth1   *       IP Externo        LINK1       tcp spts:1024:65535 dpts:1024:65535 state ESTABLISHED 
        0     0 ACCEPT     tcp  --  eth3   *       IP Externo         LINK2        multiport sports 20,21,80 state RELATED,ESTABLISHED 
        0     0 ACCEPT     tcp  --  eth3   *       IP Externo         LINK2        tcp spts:1024:65535 dpts:1024:65535 state ESTABLISHED 
        0     0 ACCEPT     tcp  --  eth4   *       IP Externo         LINK3        multiport sports 20,21,80 state RELATED,ESTABLISHED 
        0     0 ACCEPT     tcp  --  eth4   *       IP Externo         LINK3        tcp spts:1024:65535 dpts:1024:65535 state ESTABLISHED 
        0     0 ACCEPT     tcp  --  ppp0   *       IP Externo         LINK4      multiport sports 20,21,80 state RELATED,ESTABLISHED 
        0     0 ACCEPT     tcp  --  ppp0   *       IP Externo         LINK4      tcp spts:1024:65535 dpts:1024:65535 state ESTABLISHED

    Qualquer duvida adicional pode perguntar. Meu fornecedor de equipamento e a empresa de consultoria disseram que ela vai suportar. Mas gostaria de confirmar se alguém aqui já usou com essa quantidade.

  2. Me desculpe, mas vai trocar o CERTO pelo duvidoso por que?

    Seu processamento não passa de 3% com vários clientes, certo? Então para que trocar?? Esse Debian não está atendendo a demanda a contento?

    Citação Postado originalmente por Magazine Ver Post
    Sim, na filter tem isso, na NAT tem mais umas 40.

    O Atual esta em um Debian, Core 2 duo 2.8, 2gb de RAM
    Nunca vi ele passar de 3% de processamento.

    Ainda estou procurando um jeito de migrar as regras, mas se não tiver como, terá que ser na mão aos poucos...



  3. Citação Postado originalmente por ricromero Ver Post
    Me desculpe, mas vai trocar o CERTO pelo duvidoso por que?

    Seu processamento não passa de 3% com vários clientes, certo? Então para que trocar?? Esse Debian não está atendendo a demanda a contento?
    Quatro itens:


    1°. Facilidade na configuração de regras. O Iptables que temos é muito complexo, são cerca de 5 scripts e toda vez é um sacrifício para alguém que não tenha tanto conhecimento adicionar alguma regra necessária. Quero poder tirar férias as vezes :-)


    2°. Fail over e balanceamento. Até consegui fazer fail over no iptables, mas o balanceamento não funcionou como gostaria. Acredito que o mikrotik irá resolver este problema facilmente.


    3° Substituir uma máquina física por uma 'caixinha' de apenas 1U.

    4° Facilitar em caso de problema com o equipamento. Preciso apenas baixar a conf usada em um novo equipamento, conectar os cabos e já esta no ar novamente. 15min de downtime no máximo em caso de defeito no equipamento.

  4. Citação Postado originalmente por Magazine Ver Post
    Minha politica é dropar tudo.

    Tenho cerca de 1000 regras, o resto é tudo variação conforme o link usado e o sentido, o que acaba dando o total de 6000.
    Acho que podemos te ajudar a chegar apenas em 1000 ou menos, usando ADDRESS LISTS.

    Citação Postado originalmente por Magazine Ver Post
    Quatro itens:


    1°. Facilidade na configuração de regras. O Iptables que temos é muito complexo, são cerca de 5 scripts e toda vez é um sacrifício para alguém que não tenha tanto conhecimento adicionar alguma regra necessária. Quero poder tirar férias as vezes :-)


    2°. Fail over e balanceamento. Até consegui fazer fail over no iptables, mas o balanceamento não funcionou como gostaria. Acredito que o mikrotik irá resolver este problema facilmente.


    3° Substituir uma máquina física por uma 'caixinha' de apenas 1U.

    4° Facilitar em caso de problema com o equipamento. Preciso apenas baixar a conf usada em um novo equipamento, conectar os cabos e já esta no ar novamente. 15min de downtime no máximo em caso de defeito no equipamento.
    E ainda pode usar VRRP[1] e deixar outra caixinha do lado, pronta para assumir automaticamente em caso de falha da principal.

    [1] http://wiki.mikrotik.com/wiki/Manual:Interface/VRRP

    Abraço



  5. Entendo cara, mas são só 3% de processamento e ALTISSIMAMENTE confiável

    Citação Postado originalmente por Magazine Ver Post
    Quatro itens:


    1°. Facilidade na configuração de regras. O Iptables que temos é muito complexo, são cerca de 5 scripts e toda vez é um sacrifício para alguém que não tenha tanto conhecimento adicionar alguma regra necessária. Quero poder tirar férias as vezes :-)


    2°. Fail over e balanceamento. Até consegui fazer fail over no iptables, mas o balanceamento não funcionou como gostaria. Acredito que o mikrotik irá resolver este problema facilmente.


    3° Substituir uma máquina física por uma 'caixinha' de apenas 1U.

    4° Facilitar em caso de problema com o equipamento. Preciso apenas baixar a conf usada em um novo equipamento, conectar os cabos e já esta no ar novamente. 15min de downtime no máximo em caso de defeito no equipamento.






Tópicos Similares

  1. MikroTik como firewall para Datacenter
    Por acernot no fórum Redes
    Respostas: 2
    Último Post: 05-11-2013, 09:02
  2. Mikrotik como firewall da LAN
    Por wemersonrv no fórum Redes
    Respostas: 2
    Último Post: 16-03-2009, 21:37
  3. Mikrotik como AP no alto da torre como ????
    Por marcelomg no fórum Redes
    Respostas: 16
    Último Post: 02-02-2006, 12:15
  4. Openbsd como firewall dois links um para kasa emule
    Por wolflinux2 no fórum Servidores de Rede
    Respostas: 0
    Último Post: 21-08-2005, 20:07
  5. IPTABLES e realmente seguro como firewall ?
    Por no fórum Servidores de Rede
    Respostas: 2
    Último Post: 05-09-2003, 12:58

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L