Há algum tempo tenho visto amigos utilizando o PFSENSE que é um excelente LIVECD baseado no FreeBSD, o qual já vem preparado para ser um firewall e roteador, o PFSENSE possui um poderoso frontend web para administração de seus recursos.
Esta solução foi até utilizanda no último FISL pela equipe de infra-estrutura da ASL e parceiros.
Para aqueles que não abrem mão de usarem um ambiente 100% GNU/LINUX existem soluções que podem ser alternativas ao PFSENSE.
A seguir apresento algumas distros GNU/LINUX com foco em firewall/router e serviços.
1. Projeto Zeroshell
Opções de imagens:
- LiveCD
- VMare Image
- Compact Flash image
- ISO-CD image
http://www.zeroshell.net/
http://en.wikipedia.org/wiki/Zeroshell
Esta é uma distribuição que está disponível em LIVECD, COMPACT FLASH IMAGES e imagens do VMWARE.
Características principais:
- Radious Server;
- Captive Portal, para autenticação por navegador em hotspots;
- Modo Wireless Access Point, com suporte a 802.1X and WPA protocols, baseado em placas com chipset Atheros.
- Suporte a QOS com controle e garantia de banda por serviços;
- Traffic Shapping;
- VPN com suporte IPSEC/L2TP e OPENVPN;
- Roteamento dinâmico;
- Suporte a bridge 802.1D e protocolo spanning tree;
- Suporte a VLAN IEEE 802.1Q;
- Firewall (Packet Filter/Stateful Package Inspection);
- HTTP proxy com suporte Antivirus
- Bloqueio IPP2P para protocolos em Layer7 através de classificaço do QOS;
- DNS Server para multiplas zonas com suporte a reservo;
- DHCP Server para multiplas subnets com suporte a fixar IP através de MAC ADDR;
- Cliente PPPOE;
- NTP client e server;
- Syslog server para receber e catalogar logs de serviços remotos;
- Autenticaçào Keberos5, NIS e LDAP.
- Certificados X.509;
2. Endian Firewall
Opções de imagens:
- ISO-CD image
- Appliances
http://www.endian.com/en/community/about/
http://en.wikipedia.org/wiki/Endian_Firewall
Principais características:
- Firewall
- VPN
- Proxy HTTP transparente
- Filtro de conteúdo web
- Filtro web para antivirus
- Filtro web para spam
- Filtro de e-mail para antivirus
- Filtro de e-mail para spam
- Hotspot Wireless/Security
- Suporte SIP/VOIP
- IDS
- DHCP Server
- NTP Server
- Estatisticas detalhadas
A empresa Endian oferece appliances com sua solução opensource.
3. Projeto SmoothWall
Opções de imagens:
- ISO-CD image
- SVN Build em Hosts
- - Debian Etch 4 e Sarge 3.1
- - Ubuntu 7.04
- - Redhat 8.0 e 9.04
- - Fedora Core 1-3 e 6-7
- - Suse 9.0
http://smoothwall.org/
http://en.wikipedia.org/wiki/Smoothwall
Principais características:
- Stateful Firewall
- QOS
- SIP Proxy
- IM Proxy
- Estatisticas detalhadas
- DHCP-Server
- Suporte UPNP
4. Projeto IPcop
Opções de imagens:
- ISO-CD image
- USB-FDD image
- USB-HDD image
- ISO-CD image
- PXE image
http://www.ipcop.org/
http://en.wikipedia.org/wiki/IPCop
Inicialmente foi baseado no Smoothwall mas hoje os projetos tem desenvolvimento totalmente distintos e metas divergentes.
Tem tradução para o português do brasil ;)
Principais características:
- Stateful firewall
- - port forwarding
- Suporte VLAN
- HTTP/FTP proxy (squid)
- IDS
- Logs locais ou remotos
- NTP client
- SSH Server
- Traffic Shapping
- VPN
5. Ebox Plataform
Opções de imagens:
- ISO-CD image
- LIVECD image
- Ubuntu 8.04 Packages
- SVN Builds Debian/Ubuntuu
http://www.ebox-platform.com/
http://en.wikipedia.org/wiki/EBox
Esta é uma solução baseada em Debian e mais recentemente Ubuntu.
O projeto EBOX é um framework completo para serviços de rede!
Principais características:
- Balanceamento de carga
- Firewall (netfilter/iptables)
- Proxy transparente com filtro de conteúdo (squid)
- Usuários e Grupos em árvore LDAP compatível com outros módulos (openldap)
- Controle de domínio para rede Windows (samba)
- Servidor de impressão para redes Unix e Windows (samba +cups)
- Servidor de e-mail (posfix + clamav + spamassassin)
- Servidor Jabber (jabberd)
- Servidor DHCP
- Servidor NTP
- Servidor DNS e DNS-CACHE (bind)
- Suporte a VLANS
- Sistema de backup integrado
Infelizmente ela não tem suporte a QOS ou filtros Layer 7 na firewall, mas quem sabe nas próximas versões ;)
Vou tentar avaliar cada distro em máquinas virtuais para fornecer melhores parâmetros, o problema é que estou com uma conexão 3G o que dificulta fazer o download das ISOS, mas vou falando conforme for testando, quem já usa por favor deixe seu depoimento :)
Bom até agora falei bastante de GNU/LINUX mas nossos irmãos *BSB também tem excelentes projetos na área, vou apresentar 2 projetos para vocês, um deles já foi mencionado no começo do artigo
1. Projeto Monowall
Opções de imagens:
- ISO-CD image
- Raw CF Image para Net45xxx, Net48xxx, Wrap e Generic PC
- Root Tarball
http://m0n0.ch/wall/
http://en.wikipedia.org/wiki/M0n0wall
Principais características
- Stateful packet filter firewall
- IPsec e PPTP VPNs
- Inbound and Outbound Network Address Translation
- Captive portal
- Traffic shaper
- Inbound and Outbound port filtering.
- Support for 802.1q compatible VLANs.
- Multiple IP addresses on LAN and WAN ports.
- Replacement for commercial router
2. Projeto PFSENSE
Opções de imagens:
- LiveCD & Install image
- Embeeded image
http://www.pfsense.com/
http://en.wikipedia.org/wiki/Pfsense
Inicialmente baseado no Monowall.
Principais características:
- Firewall
- State Table
- NAT
- Redundância
- - CARP - CARP do OpenBSD habilitar hardware failover. Duas ou mais firewalls podem ser configuradas com um grupo failover. Se um dos nós para de responder o segundo assume automaticamente. O Pfsese também inclui sincronização de configurações, então se configurar o primeiro nó, os próximos nós também serão configurados automaticamente.
- - pfsync - pfsync consiste em uma tabela com informações da firewall, a qual é replicada para os demais nós. Isso significa que se um dos nós falhar, fazendo com que outro nó tenha que assumir, as conexões existentes serão mantidas, pois isto é importante para prevenindo problemas com serviços oferecidos.
- Balanceamento de carga de entrada ou saída
- VPN - Ipsec, OpenVPN, PPTP
- PPPoE Server
- RRD Graphs Reporting
- Estatísticas em tempo real usando AJAX
- DNS Dinâmico
- Captive Portal
- Servidor DHCP e relay
- QoS
- Traffig Shapper
O PFSense é uma das soluções mais usadas para firewall e roteamento por especialistas.
[]’s
Guto