Pfsense router + Firewall
-
Buenos dias ,
Soy nuevo en la lista , y nuevo en esto de PFsense. Lo primero un saludo!
Estoy diseñando un nuevo esquema de RED para la empresa donde trabajo. No es una empresa muy grande (40 clientes y 50 o 60 servidores) , pero si tenemos muchas conexiones al exterior, tanto enlaces adls , shdsl y rdsi, como lineas Punto a Punto y un enlace metrolan con unos 12 clientes (se envia mucha información por estos enlaces)
En total puede ser , unas 22 conexones al exterior . Esto provoca un buen jaleo de enrutamientos y directivas de seguridad.Estamos pensando en cambiar el hardware de routers y firewall , que tenemos ahora , ya antiguos , por algo nuevo (y como estamos en crisis , lo mas barato posible)
Una vez puestos en materia , formulo mi pregunta.
Conociendo vosotros mas , como funciona PFSENSE , dejariais , que PFSENSE , soportara el enrutamiento ,NAT de entrada y salida y ademas las directivas de FW , Todo en la misma maquina , o en dos maquinas o 3 , utilizando CARP?? o por el contrario , seria mucha carga para PFSENSE , y seria mejor colocar detras 2 Routers y que sean ellos los que lleven el routing , y PFSENSE el tema de seguridad y Filtrado y el NAT??
Todolo hacemos con rutas estaticas , y no tenemos enrutamiento dinamico.
Muchas gracias por vuestra atención.
Saludos
Carlos
-
¡Hola!
A cerca de los equipos de conectivad a Internet prefiero tenerlos separados de pfSense y en modo router. Pienso que es un esquema más organizado, más seguro y que permite un diagnóstico más simple. Es decir, una cuestión es la conexión a Internet y la otra es la organización del tráfico con pfSense.
En cuanto a la potencia del equipo a manejar con pfSense todo depende de qué ancho de banda consuman tus usuarios. Pero cuando se habla de Internet el cuello de botella suele ser la conexión a Internet, no el cortafuegos que tengas detrás. A menos que quieras funciones de proxy, IDS… en el pfSense.
Y en lo que respecta a CARP si quieres seguridad tienes que emplearlo, duplicando el pfSense y pensando en que ambos equipos deben tener una placa de red que los una, dedicada, para CARP.
¡Suerte!
Josep Pujadas
-
Muchas gracias Bellera por tu respuesta.
Seguimos viendo el cambio de hardware y parece que seguira para adelante.
Ahora , abusando un poco de vuestra paciencia y buen hacer . Que tipo de hardware recomendais ??
He visto que en http://www.applianceshop.eu/ , http://www.topell.com/?q=node/1 o http://www.hacom.net/ ya venden maquinas preparadas e instaladas con PFSENSE.
Realmente prefiero pasarme de Throughput que quedarme corto , ya que hay muchas posibilidades de que sigamos creciendo.
He estado viendo las maquinas de hacom.net , y he visto alguna maquina como la Mars http://www.hacom.net/catalog/mars-pfsense-appliance que parece estar intersante para mis propositos.
De todas maneras , me gustaria saber vuestras experiencias con el hardware que teneis , que tal funciona , para cuantos usuarios.
En fin , siento abusar de vosotros de esta manera, pero creo que la experciencias personales , valen mas que las especificaciones de frabricantes.
Muchas gracias de antemano.
saludos
S