Transparentny FW z FreeBSD
Vilem Kebrt
vilem.kebrt at gmail.com
Thu Mar 8 01:04:32 CET 2018
Nechci ti brát iluze, ale mám dojem že vynalezas kolo. Tohle ti umožňuje policy based ipsec přeci.
Vilém
Odesláno z Blue
8. 3. 2018 0:25, 0:25, Jozef Drahovsky <freebsdcz2 at jozef.drahovsky.sk> napsal/a:
>Som rad, ze problematika zaujala. Vidim, ze je tu viacero ludi, ktori
>sa
>na to pozeraju z vlastneho pohladu a vlastnej odbornosti.
>
>Ano da sa to riesit IPS dedicated zelezom, ale cielov je viac, nielen
>lacne riesenie, ale aj lacna prevadzka celku a mat vsetko pod vlastnou
>kontrolou.
>
>Jednoduchy priklad na exaktnu predstavu.
>Existuje firma, ktora ma verejne C, vlastne AS,vlastny reverzny DNS
>a viac krat optiku od roznych providrovza drahe peniaze, kde verejne
>bezi vselico mozne.
>
>Okrem toho ma viacero pracovisk kde je tiez sirokopasmovy pristup, ale
>len jednu verejnu IP a aj to nie vsade fixnu, navyse bez
>moznostinastavenia reverzneho DNS.
>Pritom rozdiel mat a nemat moznost nastavit reverzu domenu podla seba
>je
>400% mesacnej ceny.
>
>Kazde z tychto pracovisk chce mat u seba okrem obvykleho PAT pristupu
>pre bezne pocitace, aj niekolko verejnych serverov bez NAT z dovodu
>specifickeho vyvoja a experimentalnej prevadzky.
>
>Samozrejme existuje riešenie vsade zaplatit niekolko pevnych ip a za
>reverzny zaznam.
>Ale existuje aj resenie vyexportovat jednotlive ip adresy z onej
>zakladnej LAN siete svojpomocne v transparentnych L2 tuneloch. Navyse
>tym sa vyriesi aj lokalizacny problem.
>
>Cize jedno dvoj ethernet portove zariadenie do centraly, ktore sa bude
>javit z pohladu LAN ako tranasparentny FW, ktory filtrovat bude iba
>v rozsahu aby vedel, ktoru MAC s verifikovanou IP, kam mapreposielat
>(zamerne nepisem rutovat) cez tunely ako VPN koncentrator z druhej
>ethernet karty.
>
>V kazdom pracovisku bude dalsie dvojethernetove zariadenie, ktore sa
>bude cez PAT javit ako beze zariadenie vytvarajuce tunel na VPN
>koncentrator, ale na druhej strane sa bude spravat ako transparentny FW
>
>z LAN onej centraly, filtrovanie zasa bude len na urovni opravnenej MAC
>
>s verifikovanou IP .
>
>Celu takuto infrastrukturu viem nakonfigurovat s Cisco ASA, ale nechem.
>
>Jedna vec je cena, druha je, ze to nebezi podla mojich predstav. Preto
>zvazujem pouzit FreeBSD s technologou transparentneho FW a zbytok
>doprogramovat.
>
> Jozef
>
>--
>FreeBSD mailing list (users-l at freebsd.cz)
>http://www.freebsd.cz/listserv/listinfo/users-l
More information about the Users-l
mailing list