Transparentny FW z FreeBSD

Jozef Drahovsky freebsdcz2 at jozef.drahovsky.sk
Wed Mar 7 21:05:04 CET 2018

Previous message (by thread): Transparentny FW z FreeBSD
Next message (by thread): Transparentny FW z FreeBSD
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Som rad, ze problematika zaujala. Vidim, ze je tu viacero ludi, ktori sa 
na to pozeraju z vlastneho pohladu a vlastnej odbornosti.

Ano da sa to riesit IPS dedicated zelezom, ale cielov je viac, nielen 
lacne riesenie, ale aj lacna prevadzka celku a mat vsetko pod vlastnou 
kontrolou.

Jednoduchy priklad na exaktnu predstavu.
Existuje firma, ktora ma verejne C, vlastne AS,vlastny reverzny DNS 
a viac krat optiku od roznych providrovza drahe peniaze, kde verejne 
bezi vselico mozne.

Okrem toho ma viacero pracovisk kde je tiez sirokopasmovy pristup, ale 
len jednu verejnu IP a aj to nie vsade fixnu, navyse bez 
moznostinastavenia reverzneho DNS.
Pritom rozdiel mat a nemat moznost nastavit reverzu domenu podla seba je 
400% mesacnej ceny.

Kazde z tychto pracovisk chce mat u seba okrem obvykleho PAT pristupu 
pre bezne pocitace, aj niekolko verejnych serverov bez NAT z dovodu 
specifickeho vyvoja a experimentalnej prevadzky.

Samozrejme existuje riešenie vsade zaplatit niekolko pevnych ip a za 
reverzny zaznam.
Ale existuje aj resenie vyexportovat jednotlive ip adresy z onej 
zakladnej LAN siete svojpomocne v transparentnych L2 tuneloch. Navyse 
tym sa vyriesi aj lokalizacny problem.

Cize jedno dvoj ethernet portove zariadenie do centraly, ktore sa bude 
javit z pohladu LAN ako tranasparentny FW, ktory filtrovat bude iba 
v rozsahu aby vedel, ktoru MAC s verifikovanou IP, kam mapreposielat 
(zamerne nepisem rutovat) cez tunely ako VPN koncentrator z druhej 
ethernet karty.

V kazdom pracovisku bude dalsie dvojethernetove zariadenie, ktore sa 
bude cez PAT javit ako beze zariadenie vytvarajuce tunel na VPN 
koncentrator, ale na druhej strane sa bude spravat ako transparentny FW 
z LAN onej centraly, filtrovanie zasa bude len na urovni opravnenej MAC 
s verifikovanou IP .

Celu takuto infrastrukturu viem nakonfigurovat s Cisco ASA, ale nechem. 
Jedna vec je cena, druha je, ze to nebezi podla mojich predstav. Preto 
zvazujem pouzit FreeBSD s technologou transparentneho FW a zbytok 
doprogramovat.

  Jozef

Previous message (by thread): Transparentny FW z FreeBSD
Next message (by thread): Transparentny FW z FreeBSD
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list