Red IP - Tareas #2761

Firewall perimetral

03/24/2014 12:31 PM - Daniel Viñar Ulriksen

Status: En curso Start date: 03/24/2014

Priority: Normal Due date:

Assignee: Andrés Pías % Done: 80%

Category: Estimated time: 0.00 hour

Target version: Spent time: 0.00 hour

Description

Tuvimos que suprimir mrtg, por disfuncionamiento hardware: se presentaron pérdidas de red de hasta 30% cuando se pasaba mrtg,

hasta 10% incluso en el salto antes de mrtg.

Si bien pensábamos poner el mikrotik planck como cortafuefos perimetral, en realidad tanto la recomendación del referente de redes,

como las dificultades que tuvimos en cvonfigurar planck, la no respuesta de seciu respecto a segmentación de redes, sugieren que

mantengamos un cortafuegos perimetral bridge a parte.

Related issues:

Related to Red IP - Tareas # 2752: Nuevos problemas de red Cerrada 03/17/2014

Related to Red IP - Tareas # 643: Firewall externo en Planck Rechazada 01/27/2013 01/27/2013

History

#1 - 03/24/2014 12:44 PM - Daniel Viñar Ulriksen

- File BugSaganInstall.jpg added

- % Done changed from 0 to 20

Nos planteamos poner un firewall perimetral con pfsense, e irlo pasando a una política "todo cerrado, excepto lo que se requiera abrir".

Probamos instalar pfsense en el fierro IBM x3250 M4, que sirvió como sagan. pero llegamos a un error que parece de una forma de incompatibilidad con

la plataforma hardware (el UEFI?):

03/19/2020 1/3

Luego procuramos armar un equipo básico. Tuvimos que sacarle la pata de la tarjeta que se integra en el chassis, por ser para chassis ancho, cuando

necesitábamos uno bajo. Esto puede plantear problemas de tierra.

Luego instalamos correctamente pfsense en esa máquina, pero a la hor ade probarlos se expérimentan interrupciones largas e inaceptables. ¿Será por el

problema de la tarjeta?

Debemos constituir un hardware correcto (de buena calidad) con dos buenas tarjetas de red.

#2 - 03/24/2014 02:13 PM - Sebastián Sasías

Al no ser fácil conseguir las tarjetas de red que necesitamos hablé con Arnaldo Castro, ya que ellos trabajan con equipos que requieren el mismo tamaño

de hardware (y fue nuestro proveedor de equipos en las últimas 2 compras), y nos ofrecieron un par de modelos (el tipo de tarjeta es low profile):

1 - intel expi9301ct (este modelo tiene conector pci express x1 y sería solo para la última partida de pc que nos llegó... parece que ésta trabaja con intel

pro)

03/19/2020 2/3

2 - nexxt nw122nxt19 (este modelo tiene conector pci clasico, no me pasó el modelo pero googleando llegue a nexxt)

contacto: Ana - 2902 7000 int. 1363 - Arnaldo Castro (Ventas)

#3 - 03/26/2014 09:05 PM - Daniel Viñar Ulriksen

- Status changed from Nueva to En curso

- % Done changed from 20 to 50

Hoy instalé en el fierro que fue Sagan, ahora denominado fermi, una debian 7, con un bridge entre las dos interfaces y un iptables manejado desde el

fwbuilder (archivo guardado en bourdieu).

Quedó operacional para las reglas que ya teníamos en mrtg, incluso un poco más estrictas.

#4 - 12/30/2014 10:04 AM - Daniel Viñar Ulriksen

- Assignee changed from CSIC - Informática y redes to Daniel Viñar Ulriksen

- % Done changed from 50 to 80

Cuando se pasó a la configuración de una red separada entre planck y oppenheimer (red 164.73.250.48/29, ver [[red_ip_csic:|esquema]]), hubieron

dificultades de configuración de este firewall perimetral.

Probamos varias configuraciones a partir de FWBuilder, con o sin "bridge firewall".

En realidad, nos faltaba: permitir el tráfico en la misma red 164.73.250.48/29 (llamada CSIC-RAU en el FWBuilder). (y quizás que sólo el tráfico ICMP sea

necesario).

Quedó funcionando un iptables simple, dejamos esta tarea abierta para volver a probar un firewall bridge, con reglas en las interfases físicas, y afinar

otros detalles.

#5 - 12/30/2014 03:14 PM - Daniel Viñar Ulriksen

faltaba el acceso al expe. Agregado en la versión: 2014123003_CSIC.fwb

#8 - 04/23/2016 06:50 PM - Daniel Viñar Ulriksen

- Assignee changed from Daniel Viñar Ulriksen to Andrés Pías

Files

BugSaganInstall.jpg 213 KB 03/24/2014 Daniel Viñar Ulriksen

03/19/2020 3/3