Transparentny FW z FreeBSD

Vilem Kebrt vilem.kebrt at gmail.com
Thu Mar 8 01:04:32 CET 2018


Nechci ti brát iluze, ale mám dojem že vynalezas kolo. Tohle ti umožňuje policy based ipsec přeci.
Vilém

⁣Odesláno z Blue ​

8. 3. 2018 0:25, 0:25, Jozef Drahovsky <freebsdcz2 at jozef.drahovsky.sk> napsal/a:
>Som rad, ze problematika zaujala. Vidim, ze je tu viacero ludi, ktori
>sa 
>na to pozeraju z vlastneho pohladu a vlastnej odbornosti.
>
>Ano da sa to riesit IPS dedicated zelezom, ale cielov je viac, nielen 
>lacne riesenie, ale aj lacna prevadzka celku a mat vsetko pod vlastnou 
>kontrolou.
>
>Jednoduchy priklad na exaktnu predstavu.
>Existuje firma, ktora ma verejne C, vlastne AS,vlastny reverzny DNS 
>a viac krat optiku od roznych providrovza drahe peniaze, kde verejne 
>bezi vselico mozne.
>
>Okrem toho ma viacero pracovisk kde je tiez sirokopasmovy pristup, ale 
>len jednu verejnu IP a aj to nie vsade fixnu, navyse bez 
>moznostinastavenia reverzneho DNS.
>Pritom rozdiel mat a nemat moznost nastavit reverzu domenu podla seba
>je 
>400% mesacnej ceny.
>
>Kazde z tychto pracovisk chce mat u seba okrem obvykleho PAT pristupu 
>pre bezne pocitace, aj niekolko verejnych serverov bez NAT z dovodu 
>specifickeho vyvoja a experimentalnej prevadzky.
>
>Samozrejme existuje riešenie vsade zaplatit niekolko pevnych ip a za 
>reverzny zaznam.
>Ale existuje aj resenie vyexportovat jednotlive ip adresy z onej 
>zakladnej LAN siete svojpomocne v transparentnych L2 tuneloch. Navyse 
>tym sa vyriesi aj lokalizacny problem.
>
>Cize jedno dvoj ethernet portove zariadenie do centraly, ktore sa bude 
>javit z pohladu LAN ako tranasparentny FW, ktory filtrovat bude iba 
>v rozsahu aby vedel, ktoru MAC s verifikovanou IP, kam mapreposielat 
>(zamerne nepisem rutovat) cez tunely ako VPN koncentrator z druhej 
>ethernet karty.
>
>V kazdom pracovisku bude dalsie dvojethernetove zariadenie, ktore sa 
>bude cez PAT javit ako beze zariadenie vytvarajuce tunel na VPN 
>koncentrator, ale na druhej strane sa bude spravat ako transparentny FW
>
>z LAN onej centraly, filtrovanie zasa bude len na urovni opravnenej MAC
>
>s verifikovanou IP .
>
>Celu takuto infrastrukturu viem nakonfigurovat s Cisco ASA, ale nechem.
>
>Jedna vec je cena, druha je, ze to nebezi podla mojich predstav. Preto 
>zvazujem pouzit FreeBSD s technologou transparentneho FW a zbytok 
>doprogramovat.
>
>  Jozef
>
>-- 
>FreeBSD mailing list (users-l at freebsd.cz)
>http://www.freebsd.cz/listserv/listinfo/users-l


More information about the Users-l mailing list