BFW Firewall & Router

[cunha.jcesar]

Prezados amigos,

Em primeiro lugar, apesar de estar criando um novo tópico, submeto a validade do mesmo ao crivo dos rmoderadores/comunidade

A idéia por trás disso é a seguinte:

1) Toda filosofia por detrás do BFW, pelo menos até onde entendo, é controlar o tráfego no sentido cliente->rede

muito bem, isto ele faz bem e com desempenho ímpar!!!

então pensei, que tal usá-lo para fazer o contrário?

2) O BFW sendo usado para fazer o oposto de 1) ?

Explico:

Imagine que você é um provedor de serviços.
Imagine que você hospede seus servidores num ambiente de DATACENTER
Imagine que o que você pretende é fazer NAT da internet para seus servidores
Imagine que tua preocupação não é o que teu usuario vai fazer e sim, o que ele vai acessar

Fiz um projeto piloto, substituindo um firewall profissional (Checkpoint) pelo BFW dentro de um datacenter.
Isso já tem cerca de 1 ano
O BFW tem se comportado lindamente

È claro que você tem suas mazelas, assim como criar do nada suas regras.
Nada de ter pré-configuradas como num FW Profissional.

Até agora, o comportamento do BFW tem se mostrado impecável.

Contudo, como o projeto é piloto o tráfego não é massivo, então tão tenho dados para analizar seu desempenho sob forte carga.

Tem alguém que tope continuar com este experimento e trocar idéias?

OBS: Submeto a validade desta idéia ao crivo dos moderadores do BFW
Caso considerem que é fora de propósito, tem toda liberdade de extinguir o tópico.

[Eduardo]

Estive pensando em algo que pode ser complementar ao que voce esta propondo.

Não esta claro para mim qual a diferença do BFW normal para o BFW em Data-Center, gostaria que voce explicase melhor.
Me corrija se eu estiver indo numa direção diferente da sua, mas a ideia seria por outros serviços em BFW 64x em servidores exclusivos para por exemplo fazer storage com o Samba.
Alias um usuario teve a mesma ideia que eu e colocou ela no http://www.brazilfw.com.br/forum/viewtopic.php?f=77&t=77696&view=unread&sid=1d25aa43edffc85f2b88144cb2e8aa59#p282162

Gostaria de aproveitar a velocidade, facilidade e leveza do BFW3 64Bits para fazer servidores de serviços de redes que hoje a gente faz com Ubuntu ou outras distros Linux.
Posso estar errado mas acho que o BFW com o NAT desligado seria um Storage mais rapido do que um Ubuntu Server e mais facil de instalar e configurar.
No caso do Samba claro que faltaria alguns ajustes para fica mais completo, mas seria um avanço notavel para o BFW, projetando ele não so como um Firewall mas tambem como um Linux base para serviços de rede.

se encaixaria nesse tipo de serviços os:
- Samba para storage
- Rsync para sistema de backup tipo i-drive ou drop-box
- Webserver para varios serviços, inclusive OCR
- outros como FTP, etc...

Claro que posso estar viajando, mas vejo o BFW 64Bits tanto dedicado como em maquina Virtual como uma plataforma de suporte a qualquer coisa.
Não sei se teria que fazer algum ajuste nele para deixa-lo mais leve ainda, mas to postando ate para saber se isso é possivel ou se é melhor usar as ditros especificas para esses fins como o freenas para storage.

Grato.

[cunha.jcesar]

Estive pensando em algo que pode ser complementar ao que voce esta propondo.

Não esta claro para mim qual a diferença do BFW normal para o BFW em Data-Center, gostaria que voce explicase melhor.
Me corrija se eu estiver indo numa direção diferente da sua, mas a ideia seria por outros serviços em BFW 64x em servidores exclusivos para por exemplo fazer storage com o Samba.
Alias um usuario teve a mesma ideia que eu e colocou ela no http://www.brazilfw.com.br/forum/viewtopic.php?f=77&t=77696&view=unread&sid=1d25aa43edffc85f2b88144cb2e8aa59#p282162

Gostaria de aproveitar a velocidade, facilidade e leveza do BFW3 64Bits para fazer servidores de serviços de redes que hoje a gente faz com Ubuntu ou outras distros Linux.
Posso estar errado mas acho que o BFW com o NAT desligado seria um Storage mais rapido do que um Ubuntu Server e mais facil de instalar e configurar.
No caso do Samba claro que faltaria alguns ajustes para fica mais completo, mas seria um avanço notavel para o BFW, projetando ele não so como um Firewall mas tambem como um Linux base para serviços de rede.

se encaixaria nesse tipo de serviços os:
- Samba para storage
- Rsync para sistema de backup tipo i-drive ou drop-box
- Webserver para varios serviços, inclusive OCR
- outros como FTP, etc...

Claro que posso estar viajando, mas vejo o BFW 64Bits tanto dedicado como em maquina Virtual como uma plataforma de suporte a qualquer coisa.
Não sei se teria que fazer algum ajuste nele para deixa-lo mais leve ainda, mas to postando ate para saber se isso é possivel ou se é melhor usar as ditros especificas para esses fins como o freenas para storage.

Grato.

Eduardo,

Basicamente a idéia é:

1. Filtrar pacotes vindos da Internet para servidores web hosteados em datacenters
2. Fazer nat para estes mesmos servidores.
3. Enfim fazer a proteção destes servidores

[biohazzard]

Olá!!!
Quero novamente agradeçer ao cunha pela ajuda que me deu no post 3g não conecta no brazilfw 3.255.

Vamos a discusão do topico, que seria no lugar de simplesmente fornecer serviço de firewall, controle da rede interna. Ele fosse utilizado para controle externo, saber o volume de trafego vindos de fora, qual ip solicitou tal serviço, qual serviço foi acessado? Mas para isto não teriam que melhorar o suporte a servidores web?
Também seria muito interessante não so ter os graficos, mas armazenar os graficos de volume de trafego,para posteriori comparações, e si tivesse como monitorar a rede, e os equipamentos que fazem parte da rede seria perfeito.

meu caro cunha, tem como me passar seu contato msn, orkut, face....

[Eduardo]

Vamos a discusão do topico, que seria no lugar de simplesmente fornecer serviço de firewall, controle da rede interna. Ele fosse utilizado para controle externo, saber o volume de trafego vindos de fora, qual ip solicitou tal serviço, qual serviço foi acessado? Mas para isto não teriam que melhorar o suporte a servidores web?
Também seria muito interessante não so ter os graficos, mas armazenar os graficos de volume de trafego,para posteriori comparações, e si tivesse como monitorar a rede, e os equipamentos que fazem parte da rede seria perfeito.

O BFW3 tem muitos addons para fazer isso.
Tem o Ntop, o BandwchitD e o Mysar para inicio de conversa.

[cunha.jcesar]

Olá!!!
Quero novamente agradeçer ao cunha pela ajuda que me deu no post 3g não conecta no brazilfw 3.255.

Vamos a discusão do topico, que seria no lugar de simplesmente fornecer serviço de firewall, controle da rede interna. Ele fosse utilizado para controle externo, saber o volume de trafego vindos de fora, qual ip solicitou tal serviço, qual serviço foi acessado? Mas para isto não teriam que melhorar o suporte a servidores web?
Também seria muito interessante não so ter os graficos, mas armazenar os graficos de volume de trafego,para posteriori comparações, e si tivesse como monitorar a rede, e os equipamentos que fazem parte da rede seria perfeito.

meu caro cunha, tem como me passar seu contato msn, orkut, face....

Dificilmente, entro em redes sociais.
Mas pode me encontrar no gtalk cunha.jcesar@gmail.com

[cunha.jcesar]

Vamos a discusão do topico, que seria no lugar de simplesmente fornecer serviço de firewall, controle da rede interna. Ele fosse utilizado para controle externo, saber o volume de trafego vindos de fora, qual ip solicitou tal serviço, qual serviço foi acessado? Mas para isto não teriam que melhorar o suporte a servidores web?
Também seria muito interessante não so ter os graficos, mas armazenar os graficos de volume de trafego,para posteriori comparações, e si tivesse como monitorar a rede, e os equipamentos que fazem parte da rede seria perfeito.

O BFW3 tem muitos addons para fazer isso.
Tem o Ntop, o BandwchitD e o Mysar para inicio de conversa.

Sim ele tem recursos suficientes.
Talvez seja necessária alguma melhoria no sistema de logs.
A questão principal é como ele se comportaria num tráfego super intenso.
Vou desenhar a topologia, assim fica mais fácil a visão do pretendido

[cunha.jcesar]

Amigos, venho atualizar minhas últimas aventuras neste tópico
Vamos lá...
Nesta madrugada, aproveitando uma janela de manutenção no datacenter....

Substituí temporariamente nosso firewall comercial pelo BFW 3.0255 com regras semelhantes.
Explico o semelhante, apenas bloqueio de portas não autorizadas e nat fazendo a translação dos ips válidos para os diversos ips dentro do cluster, outras mais elaboradas não pude implementar (afinal, mesmo na madruga não podia impactar os clientes né???). Teve riscos sim de invasão, mas como o ambiente estava controlado resolvi assumir...
Enquanto fazia a manutenção do cluster o BFW assumiu a função do firewall...
No período foram tratadas mais de 2 milhões de conexões, a uma taxa média de 12.000 conexões por hora!!!!
Isto muito me animou...ao ponto de neste final de semana deixar por conta do BFW toda defesa do meu ambiente no datacenter.

Como a situação é complexa e vai além da premissa cliente -> rede (na realidade é mundo -> servidores) neste momento não vou dar maiores detalhes. Até porque a topologia é bastante complexa.

Mas prometo a todos que estão acompanhando este tópico...Dados e diagramas do situação vão ser postados...

Por ora, só tenho a dizer: "o BFW é o cara.... "

[sam_fisher]

Amigos, venho atualizar minhas últimas aventuras neste tópico
Vamos lá...
Nesta madrugada, aproveitando uma janela de manutenção no datacenter....

Substituí temporariamente nosso firewall comercial pelo BFW 3.0255 com regras semelhantes.
Explico o semelhante, apenas bloqueio de portas não autorizadas e nat fazendo a translação dos ips válidos para os diversos ips dentro do cluster, outras mais elaboradas não pude implementar (afinal, mesmo na madruga não podia impactar os clientes né???). Teve riscos sim de invasão, mas como o ambiente estava controlado resolvi assumir...
Enquanto fazia a manutenção do cluster o BFW assumiu a função do firewall...
No período foram tratadas mais de 2 milhões de conexões, a uma taxa média de 12.000 conexões por hora!!!!
Isto muito me animou...ao ponto de neste final de semana deixar por conta do BFW toda defesa do meu ambiente no datacenter.

Como a situação é complexa e vai além da premissa cliente -> rede (na realidade é mundo -> servidores) neste momento não vou dar maiores detalhes. Até porque a topologia é bastante complexa.

Mas prometo a todos que estão acompanhando este tópico...Dados e diagramas do situação vão ser postados...

Por ora, só tenho a dizer: "o BFW é o cara.... "

Meus Parabéns!!!!!!
São Poucos os que tem Coragem e Determinação dessa tamanha/grandeza ao ponto de colocar o BrazilFW num Data Center como você Fez!!!!!
e ainda por cima Descrevendo os detalhes do andamento dos testes elaborado em cima de um Ambiente de Produção....
Pra você só tenha a dizer uma coisa: Tiro o Meu Chapéu!!!!!!

[cunha.jcesar]

Amigo sam_fisher, primeiramente agradeço suas palavras

Agora vou tecer alguns comentários/novidades do andamento do projeto...

Primeiro, estive ausente do local desde o dia 22 e é claro literalmente me "esquecí" de de voltar ao FW de produção
Segundo, até hoje "convenientemente esquecido o BFW" está lá firme e forte

Hoje analisando as ferramentas de monitoramento do Datacenter pude constatar algumas coisas:

1) o tempo de latência diminuiu cerca de 12%
2) o tempo de resposta da aplicação para a rede diminuiu cerca de 4%
3) Inexplicavelmente o tempo de resposta do MySQL para a aplicação ASP caiu de 0,00012 ms para 0,00004 ms (não entendi)

Então vou deixar o BFW lá "esquecido" por mais tempo para evitar erros de análise por sazonalidade.

Agora, o prós e contras:

Experimentei 3 FW distintos a saber:

1) Um com regras feitas por mim, baseadas num iptables rodando num opensuse (ok eu gosto de SuSe não falem..)
2) Um num appliance comercial...não me perguntem qual...
3) O BFW 3.x rodando na mesma máquina que em 1)

Minhas observações por plataforma:

1) Legal, como era feito por mim tinha todos relatórios customizados exatamente como queria. O ruim é que o desempenho não era nada bom...(e olha que tentei otimizar ao máximo)

2) Mais ou menos, os relatórios apesar de detalhados não eram exatamente o que eu queria ver. O desempenho foi um pouco melhor que em 1). O problema era queda cerca de 2x por semana....

3) Desempenho nitidamente superior a 1) e 2) Relatórios, bem estes são ruins já que ele é feito para operar num sentido e estou usando noutro. Implementei meio que na POG alguns e tem correspondido. Infelizmente minha máquina de desenvolvimento "faleceu" e vou ter um delay longo para desenvolver.

Agora, meu grau de confiança no BFW é tão grande que me senti totalmente à vontade para esta experiência.
E confesso, nosso BFW superou em muito minhas expectativas de estabilidade.

O BFW em momento nenhum me decepcionou, muito pelo contrário. Sempre me atendeu muito bem!!!
Isso inclusive contribuiu para que além de me tornar um doador contumaz, participar mais do forum.

Quem quiser mais detalhes estou aberto à discussão e a colaboração.

O BFW é bom demais

[cunha.jcesar]

Esquecí de um detalhe:

O BFW está rodando no hardware do meu firewall ( o opensuse ) um dell 1850

Não fiz uma instalação nele não (até para não perde-lo)
Tá rodando num boot pelo pendrive, Meu Deus...devo ser doido mesmo...