3 ISP + PfSense + BGP + FullRoute Table + 10Gbps (IPv4+IPv6)
-
Hola, Soy nuevo en el foro y un viejo usuario de pfsense, lo use en sus primeras versiones pero sin bgp ni nada, solo para hacer experimentos. Hoy el caso es distinto, debido a que hace 2 semanas uno de nuestros routers de borde fallo el cual concentraba los 3 isp y entregaba por Puerto de 10 gbps a la red completa.
Cuestion ahora me encuentro con un problema, el cpu y ram estan extremadamente bajos pero no puedo trasladar las reglas de firewall que tenia anteriormente en mi CCR1072 (Mikrotik).
La red en estos momentos esta traficando unos 4 a 8 gbps en Hora pico. pero esta semana me empezaron a llover ataques ddos y el pfsense se reinicia y si me atacan 3 veces se cae las 3 veces.. antes en mikrotik tenia una lista de IP bloqueadas las cuales casi no entraban ataques por lo tanto ahora estoy sin esa lista y el PFsense esta montado en el siguiente equipo:CPU Type: Intel(R) Xeon(R) CPU E5-2697 v2 @ 2.70GHz
48 CPUs: 2 package(s) x 12 core(s) x 2 hardware threads
AES-NI CPU Crypto: Yes (inactive)
QAT Crypto: No
Uptime 7 Days 14 Hours 43 Minutes 51 Seconds
State table size: 3% (574278/19650000)
MBUF Usage: 3%(205476/8000000) Desde que se aumento bajaron las Caidas/Reinicios
CPU usage: 7%
Memory usage: 5% of 196500 MiB
10Gbps FullDuplex SFP+: 4
1Gbps FullDuplex RJ45: 2
(Proximamente si logro que funcione correctamente se agregarian 4 Tarjetas PCI x4 SFP+)
Proxima Ampliacion: 16 SFP+El servidor cuenta con
pfBlockerNG instalado para poder filtrar algo pero no se como se configura correctamente.
Las reglas tengo default porque la mayoría de documentación que veo es todo para natear las conexiones pero no para trabajar con ruteo dinámico como el caso de BGP
Otras de las cosas es que tengo en la red 3 servidores de los cuales 2 contienen puras virtuales y 1 es un CPANEL el cual se saco por una vlan porque si lo conectaba directo como estaba a través de un salto de BGP no se podían acceder a las IP publicas.
Pero realmente desarme casi toda la red ruteada que tenia.
Aun los nat lo sigo haciendo en los mikrotik (CCR1072) como estaban ya que están integrados con el sistema de gestión y se conectan al PFSENSE directo con BGPEn cuestión no se si alguien hizo una implementación parecida o esta familiarizado con PFsense para que maneje grandes volúmenes de conexión o si algun caso de ISP que tenga implementado pfsense para aclarar algunas dudas de como tratar las reglas en PFSENSE poruqe como mencione toda documentacion o tutorial encontrado es para trabajar con 1o 2 wan con ip publica y natear a 1 solo subnet.
Por ende solo necesito colaboracion en el tema de reglas si alguien tiene idea como hacer para poder filtrar con pfBlockerNG + las listas de botnets que tengo registradas en mi mikrotik
para bloquearlas y si es posible hacer algun anti ddos para poder funcionar correctamente y bajar los problemas de red. porque realmente hace 1 semana que no duermo tranquilo con la red que se cae de improvisto en todo momento.