SOLUÇÃO DE FIREWALL COM SOFTWARE LIVRE E IPV6

Rafael F. Reale – IFBA Campus Valença / DMCC UFBA / NUPERC UNIFACS / reale@ifba.edu.br

Lúcio Fernandes - IFBA Campus Valença / MPROF UFPE/ luciofernandes@ifba.edu.br

AGENDA

Gestão de Redes

Problemática dos Campi dos Interiores

Requisitos Técnicos

Solução com Linux (OpenSuse)

Solução com Mikrotik

Solução com PFSense

Captive Portal

Proxy Cache (Squid)

Proxy Filter (SquidGuard)

IPv6

Firewall

Monitoramento

Agregação de Links (Load Balance)

Limites de Banda (Traffic Shaper e Bandwidth Limit)

PROBLEMÁTICA DOS CAMPI DOS

INTERIORES

Limitações financeira e geográficas

Geográficas -> Banda de internet disponível

Financeira -> Aquisição de equipamentos especializados

REQUISITOS TÉCNICOS

Otimizar a banda de internet

Separar a redes acadêmica, administrativa e Internet (Firewall/VLAN)

Limitar a banda de Internet para rede administrativa e acadêmica (por rede e por usuário)

Gerenciar a autenticação nos pontos de rede sem fio

Monitoramento

Agregação links

Suporte a IPv6

SOLUÇÃO COM LINUX (OPENSUSE)

Pontos Positivos:

Otimizar a banda de internet existente

Separar a redes acadêmica, administrativa e Internet

(Firewall/VLAN)

Monitoramento

Ponto Negativo:

Conhecimento aprofundado em Linux e Redes

SOLUÇÃO COM MIKROTIK

Pontos Positivos:

Separar a redes acadêmica, administrativa e Internet (Firewall/VLAN)

Limitar a banda de Internet para rede administrativa e acadêmica (por rede e por usuário)

Gerenciar a autenticação nos pontos de rede sem fio

Monitoramento

Agregação links

Suporte a IPv6

Ponto Negativo:

Não otimiza a banda de internet existente (Proxy Cache)

Aquisição do Hardware

Solução proprietária

SOLUÇÃO COM PFSENSE

Pontos Positivos:

Otimizar a banda de Internet

Separar a redes acadêmica, administrativa e Internet (Firewall/VLAN)

Limitar a banda de internet para rede administrativa e acadêmica (por rede e por usuário)

Gerenciar a autenticação nos pontos de rede sem fio

Monitoramento

Agregação links

Suporte a IPv6

Fácil Gestão

Hardware convencional

O QUE É O PFSENSE

Software livre (BSD license)

FreeBSD

Papel de um firewall e/ou roteador de redes

Dezenas de pacotes adicionais

OTIMIZAR A BANDA DE INTERNET

OTIMIZAR A BANDA DE INTERNET

SEPARAR A REDES ACADÊMICA,

ADMINISTRATIVA E INTERNET

(FIREWALL/VLAN)

GERENCIAR A AUTENTICAÇÃO NOS

PONTOS DE REDE SEM FIO

LIMITAR A BANDA DE INTERNET PARA REDE

ADMINISTRATIVA E ACADÊMICA (POR

REDE E POR USUÁRIO)

MONITORAMENTO

MONITORAMENTO

SUPORTE A IPV6

Prezados,

Conforme conversas anteriores com Rafael Reale, fizemos alocação de

bloco IPv6 para o IFBA-Valença! A ideia é fazermos um piloto de

conectividade IPv6 com alguma instituição do interior e o Rafael

juntamente com o Lucio irão apresentar os resultados desse piloto no

WTR 2014 do PoP-BA!

Fizemos, assim, a alocação do bloco 2801:86:9004::/48 para o IFBA-Valença.

Lúcio, Rafael, esse 2801:86:9004::/48 deverá ser usado para configurar

suas redes internas (/64), variando esse 4o agrupamento, por exemplo:

- - 2801:86:9004:1::/64 --->> rede de professores (exemplo...)

- - 2801:86:9004:2::/64 --->> rede de alunos (exemplo..)

- - ...

- - 2801:86:9004:ffff::/64 ->> Rede de infraestrutura (ponto a ponto)

Em especial, esse último prefixo será usado para conectar o PF Sense

ao roteador da RNP (Juniper), ficando assim:

- 2801:86:9004:ffff::1/126 --->> Juniper

- 2801:86:9004:ffff::2/126 --->> PF-Sense (interface de saída)

SUPORTE A IPV6

Suporte a partir do PFSense 2.1

SUPORTE A IPV6

Suporte a partir do PFSense 2.1

REGRAS

REGAS