pergunta de instalação do IPtables

Quanto aos firewalls, eu ficaria preocupado onde eles são colocados, suas velocidades de Internet e quantas regras você precisa nelas. Eles podem praticamente ditar o tipo de hardware que você precisará. Esteja atento para mais desempenho / velocidades mais altas, você pode precisar de melhores placas NIC. No passado, usei cartões Intel Pro de nível superior.

Sobre o roteador / firewalls nas configurações de ISP, eu costumava ter no ISP Eu estava executando um roteador Linux com IPtables para firewall / contabilidade. Com o tempo, substituí-lo por um roteador Cisco ISP, criei listas de acesso para bloquear as poucas portas que eu precisava cortar (principalmente portas padrão do Windows, SQLSERVER e não muito mais) e comecei a enviar netflow para um servidor Linux para fazer a contabilidade de dados de clientes quando nossa capacidade começou a crescer.

Tenha em atenção que, se for um fornecedor de fábrica de cabos, as regras de firewall da camada 2/3 podem ser adicionadas às configurações do modem DOCSIS. Você pode salvar uma significativa largura de banda de envio dessa maneira.

Quanto a um firewall de código aberto, recomendo o pfSense. Eu usei isso no passado para proteger a rede corporativa do ISP, e hoje em dia usá-los para fornecer VPNs de clientes nativos para OS / X, Linux e Windows 7-10. Eles também suportam failover completo, onde, se o mestre falhar, o escravo mantém o estado das conexões ao longo do tempo e seleciona tudo. O pfSense é executado sobre o FreeBSD e possui uma interface gráfica de gerenciamento que é muito flexível.

link

Em relação ao iptables / VPN no Linux, estou usando um Debian também como firewall e VPN (com strongswan) para proteger uma rede especial, e não é necessário mexer com compilações de kernel.

Quanto ao shapping do tráfego da camada 7, tentamos fazer isso por um tempo com o Linux, mas não foi muito eficiente, e foi um processo demorado. Nós acabamos indo para um shapper de tráfego NetEnforcer.

nftables estão atualmente em desenvolvimento para substituir o iptables, e embora eles não digam o mesmo, eu consideraria isso "beta" por enquanto. Eu não tenho nenhum insight em sua linha do tempo, mas você pode ler mais aqui: link

Muitas distribuições do Linux já possuem o iptables habilitado por padrão. Ou é compilado, ou eles carregam o módulo na inicialização (mais comum). A maneira mais fácil de saber seria executar:

lsmod | grep ip_tables

Você deve ver uma linha que diz ip_tables se o módulo estiver carregado. Você também pode tentar:

iptables -L

para ver se você recebe algo de volta. A maioria das caixas, por padrão, terá "cadeias" vazias, o que basicamente significa permitir tudo (o padrão permitido é configurado por padrão).

Eu usaria shorewall de preferência para escrever diretamente as regras iptables . Existem também alternativas como firewalld .

Com relação à compilação do kernel, realmente depende se os recursos que você precisa estão ou não disponíveis no kernel padrão ou como um suplemento modular. Se eles não são, então você precisará rolar o seu próprio. No entanto, isso não é realmente muito empreendedor, pois significa mais trabalho toda vez que houver uma atualização do pacote do kernel.

Nos comentários que você perguntou sobre a filtragem de pacotes do ISP. Acho que seria melhor você usar a ipset extension para iptables para esse tipo de trabalho. Em termos de proteção, ele permite que você crie conjuntos de milhares (se não dezenas de milhares ) de regras similares que podem ser executadas sem diminuir significativamente o tráfego que flui através de seus conjuntos de regras.

Suponho que você também esteja procurando IDS / IPS em escala real.