Mikrotik como Firewall

**Magazine** · 17-04-2014, 17:16

Pessoal, estamos para substituir nosso firewall iptables por um Mikrotik.

Temos cerca de 6 mil regras na tabela filter do iptables

Vocês acreditam que a RB 1100AHx2 vai dar conta?

**Magazine** · 17-04-2014, 17:36

Sim, na filter tem isso, na NAT tem mais umas 40.

O Atual esta em um Debian, Core 2 duo 2.8, 2gb de RAM
Nunca vi ele passar de 3% de processamento.

Ainda estou procurando um jeito de migrar as regras, mas se não tiver como, terá que ser na mão aos poucos...

**Magazine** · 22-04-2014, 10:15

Alguém já usou Mikrotik com esse tanto de regras?

**Magazine** · 24-04-2014, 14:40

UP

**gamineiro** · 28-04-2014, 17:22

Nossa, quanta regra. Poderia nos dizer o que elas fazem? Será que não tem como diminuir esse numero?

Abraço

**Magazine** · 28-04-2014, 17:37

Postado originalmente por gamineiro

Nossa, quanta regra. Poderia nos dizer o que elas fazem? Será que não tem como diminuir esse numero?

Abraço

Minha politica é dropar tudo.

Ai conforme alguns serviços precisam de portas ou acesso externo específico que não devem passar pelo proxy/firewall, faço a regra de liberação. Também tenho uma DMZ com vários servidores com regras especificas de acesso.

Este número é grande pois eu tenho 4 links, e tenho que repetir a regra para cada um dos links e em ambos os sentidos em alguns casos.

Tenho cerca de 1000 regras, o resto é tudo variação conforme o link usado e o sentido, o que acaba dando o total de 6000.

Ex:

Código :

  0     0 ACCEPT     tcp  --  eth1   *       IP Externo        LINK1      multiport sports 20,21,80 state RELATED,ESTABLISHED 
    0     0 ACCEPT     tcp  --  eth1   *       IP Externo        LINK1       tcp spts:1024:65535 dpts:1024:65535 state ESTABLISHED 
    0     0 ACCEPT     tcp  --  eth3   *       IP Externo         LINK2        multiport sports 20,21,80 state RELATED,ESTABLISHED 
    0     0 ACCEPT     tcp  --  eth3   *       IP Externo         LINK2        tcp spts:1024:65535 dpts:1024:65535 state ESTABLISHED 
    0     0 ACCEPT     tcp  --  eth4   *       IP Externo         LINK3        multiport sports 20,21,80 state RELATED,ESTABLISHED 
    0     0 ACCEPT     tcp  --  eth4   *       IP Externo         LINK3        tcp spts:1024:65535 dpts:1024:65535 state ESTABLISHED 
    0     0 ACCEPT     tcp  --  ppp0   *       IP Externo         LINK4      multiport sports 20,21,80 state RELATED,ESTABLISHED 
    0     0 ACCEPT     tcp  --  ppp0   *       IP Externo         LINK4      tcp spts:1024:65535 dpts:1024:65535 state ESTABLISHED

Qualquer duvida adicional pode perguntar. Meu fornecedor de equipamento e a empresa de consultoria disseram que ela vai suportar. Mas gostaria de confirmar se alguém aqui já usou com essa quantidade.

**ricromero** · 28-04-2014, 18:10

Me desculpe, mas vai trocar o CERTO pelo duvidoso por que?

Seu processamento não passa de 3% com vários clientes, certo? Então para que trocar?? Esse Debian não está atendendo a demanda a contento?

Postado originalmente por Magazine

Sim, na filter tem isso, na NAT tem mais umas 40.

O Atual esta em um Debian, Core 2 duo 2.8, 2gb de RAM
Nunca vi ele passar de 3% de processamento.

Ainda estou procurando um jeito de migrar as regras, mas se não tiver como, terá que ser na mão aos poucos...

**Magazine** · 28-04-2014, 18:18

Postado originalmente por ricromero

Me desculpe, mas vai trocar o CERTO pelo duvidoso por que?

Seu processamento não passa de 3% com vários clientes, certo? Então para que trocar?? Esse Debian não está atendendo a demanda a contento?

Quatro itens:

1°. Facilidade na configuração de regras. O Iptables que temos é muito complexo, são cerca de 5 scripts e toda vez é um sacrifício para alguém que não tenha tanto conhecimento adicionar alguma regra necessária. Quero poder tirar férias as vezes :-)

2°. Fail over e balanceamento. Até consegui fazer fail over no iptables, mas o balanceamento não funcionou como gostaria. Acredito que o mikrotik irá resolver este problema facilmente.

3° Substituir uma máquina física por uma 'caixinha' de apenas 1U.

4° Facilitar em caso de problema com o equipamento. Preciso apenas baixar a conf usada em um novo equipamento, conectar os cabos e já esta no ar novamente. 15min de downtime no máximo em caso de defeito no equipamento.

**gamineiro** · 28-04-2014, 18:28

Postado originalmente por Magazine

Minha politica é dropar tudo.

Tenho cerca de 1000 regras, o resto é tudo variação conforme o link usado e o sentido, o que acaba dando o total de 6000.

Acho que podemos te ajudar a chegar apenas em 1000 ou menos, usando ADDRESS LISTS.

Postado originalmente por Magazine

Quatro itens:

1°. Facilidade na configuração de regras. O Iptables que temos é muito complexo, são cerca de 5 scripts e toda vez é um sacrifício para alguém que não tenha tanto conhecimento adicionar alguma regra necessária. Quero poder tirar férias as vezes :-)

2°. Fail over e balanceamento. Até consegui fazer fail over no iptables, mas o balanceamento não funcionou como gostaria. Acredito que o mikrotik irá resolver este problema facilmente.

3° Substituir uma máquina física por uma 'caixinha' de apenas 1U.

4° Facilitar em caso de problema com o equipamento. Preciso apenas baixar a conf usada em um novo equipamento, conectar os cabos e já esta no ar novamente. 15min de downtime no máximo em caso de defeito no equipamento.

E ainda pode usar VRRP[1] e deixar outra caixinha do lado, pronta para assumir automaticamente em caso de falha da principal.

[1] http://wiki.mikrotik.com/wiki/Manual:Interface/VRRP

Abraço

**ricromero** · 28-04-2014, 22:11

Entendo cara, mas são só 3% de processamento e ALTISSIMAMENTE confiável

Postado originalmente por Magazine

Quatro itens:

1°. Facilidade na configuração de regras. O Iptables que temos é muito complexo, são cerca de 5 scripts e toda vez é um sacrifício para alguém que não tenha tanto conhecimento adicionar alguma regra necessária. Quero poder tirar férias as vezes :-)

2°. Fail over e balanceamento. Até consegui fazer fail over no iptables, mas o balanceamento não funcionou como gostaria. Acredito que o mikrotik irá resolver este problema facilmente.

3° Substituir uma máquina física por uma 'caixinha' de apenas 1U.

4° Facilitar em caso de problema com o equipamento. Preciso apenas baixar a conf usada em um novo equipamento, conectar os cabos e já esta no ar novamente. 15min de downtime no máximo em caso de defeito no equipamento.

**klabundee** · 28-04-2014, 23:49

Amigo, para essa sua aplicação recomendo..
R210 com o melhor processador que você conseguir comprar..
O mínimo de ram e o mínimo de HD..
RB44Ge.
E é 1U.

Seja feliz.!

Não desmereço o linux+iptables, pelo contrário, acho ótimo.
Mas pelo que você citou das facilidades e tudo mais.. ta ai o caminho das pedras.

Att.

Edit: Agora que lembrei.. você quer colocar em uma 1100Ahx2.. Sei não. Eu não arriscaria tudo isso.
O server ai de cima sai o dobro do preço.. Mas é aquilo.. Uma vez só..

**Magazine** · 29-04-2014, 09:03

@gamineiro.
Pois é, estava vendo que o Mikrotik usa access list, vai facilitar muito na importação das regras e no dia-a-dia quando precisar adicionar ou remover algum IP.

O VRRP eu conheço, mas não vou utilizar pois terei apenas um equipamento de backup sendo que terei 3 em produção(em outras filiais). Mas valeu pela dica!

@ricromero
É confiável até algum link cair ou alguém que não seja eu precisar alterar alguma regra hehe.

@Arthur Bernardes
O custo do hardware do servidor seria mais caro que investir na RB, até pq eu teria que ter dois para ter um de backup.
Sem contar o consumo de energia maior do servidor comparado a RB.

@klabundee
Essa RB44Ge não é apenas a placa PCI?

**klabundee** · 29-04-2014, 09:14

Postado originalmente por Magazine

@klabundee
Essa RB44Ge não é apenas a placa PCI?

Sim.. que você iria ligar no R210.
Terá 4 placas 10/100/1000 para usar.

**Magazine** · 29-04-2014, 09:23

Postado originalmente por klabundee

Sim.. que você iria ligar no R210.
Terá 4 placas 10/100/1000 para usar.

Entendi.. mas ai o custo ficaria acima até da RB CCR1036.

**surfinhu** · 29-04-2014, 11:25

Quer uma ideia?

Pega um servidor (HP ou Dell), instala o VMWare. Usa o PFSense para colocar suas regras. Sim, vai sofrer! rs.. Mas bem menos, pois ele tem uma interface gráfica intuitiva e qualquer um pode gravar os passos (faça screenshots para passar pros seus funcionários).

Quando estiver tudo funcionando redondinho e você estiver satisfeito com tudo, faça snapshots pelo VMWare. A cada atualização desse firewall, faça uma nova snapshot (ou programe pra fazer, tanto faz). Deu problema no firewall? Só restaurar a snapshot e está tudo resolvido!

Obs: ensine o teu pessoal a restaurar também. Se não confia, faça remotamente quando não der pra fazer pessoalmente!

Pronto, só sair de férias e ser feliz! :P

**Magazine** · 29-04-2014, 16:05

@surfinhu
Obrigado pela sugestão, mas além de sair mais caro fazer isso, ainda correria o risco da máquina física do vmware dar pau e ter que ser trocada.

**surfinhu** · 29-04-2014, 16:12

Postado originalmente por Magazine

@surfinhu
Obrigado pela sugestão, mas além de sair mais caro fazer isso, ainda correria o risco da máquina física do vmware dar pau e ter que ser trocada.

Wow! Também teria o risco de um meteoro cair na Terra e destruir a sua internet! (brincadeira.. rs) :P

Mas, rapaz, teria também o risco do seu MK queimar. Mas, rapaz, teria também o risco do seu MK queimar. E ai?

Cara, tu pode fazer isso no mesmo desktop onde está o linux com iptables. O grande "trunfo" que tu vai ter é: quando queimar ou corromper o HD com os dados, tu já vai ter uma imagem pronta com as últimas configs do firewall. E vai te poupar de instalar novamente o Debian, configurar rede, usuários e senhas, etc. Você instala um VMWare em 10min e restaura em 5.

Isso é, se você sempre salvar a imagem da VM em outro HD, é claro! rs.. :P

**Magazine** · 29-04-2014, 16:43

Postado originalmente por surfinhu

Wow! Também teria o risco de um meteoro cair na Terra e destruir a sua internet! (brincadeira.. rs) :P

Mas, rapaz, teria também o risco do seu MK queimar. Mas, rapaz, teria também o risco do seu MK queimar. E ai?

Cara, tu pode fazer isso no mesmo desktop onde está o linux com iptables. O grande "trunfo" que tu vai ter é: quando queimar ou corromper o HD com os dados, tu já vai ter uma imagem pronta com as últimas configs do firewall. E vai te poupar de instalar novamente o Debian, configurar rede, usuários e senhas, etc. Você instala um VMWare em 10min e restaura em 5.

Isso é, se você sempre salvar a imagem da VM em outro HD, é claro! rs.. :P

Serei o primeiro a comprar um datacenter em Marte quando for possível para ficar de backup caso caia um meteoro na terra. hehe :P

No caso do MK, eu terei uma unidade de BKP.
Só jogar a conf no novo equipamento e colocar no ar.

**Magazine** · 29-04-2014, 17:08

Postado originalmente por Arthur Bernardes

Eu uso aqui um script de envio automático de backup por e-mail, me facilita muito!

https://under-linux.org/entry.php?b=3106

Valeu, provavelmente usuarei!

**oracl3** · 29-04-2014, 17:51

É fácil de responder sua pergunta Magazine,

O que vai gerar alto processamento na rb 1100AHx2 é a quantidade de conexões simultâneas, pois as regras de firewall não afetam em nada no roteador.

Vocês pode ter uma rb 1100AHx2 com essas 6000 mil regras, se não tiver trafego não vai ter processamento.

Agora a pergunta, quantas conexões simultâneas passam pelo seu firewall?

Se você responder essa pergunta fica fácil de dizer se a rb 1100AHx2 lhe atende.

Mikrotik como Firewall

Ferramentas de Tópicos

Mikrotik como Firewall