Estoy tratando de construir un firewall de filtrado de paquetes, que se supone que sirve en una red que consta de casi 100 hosts.
¿Puede un firewall compilar con iptables realizar esta tarea?
¿Cuáles son las mejores distribuciones de Linux para construir un firewall de este tipo?
Muchas empresas utilizan IPTables como el cortafuegos principal para redes con miles de hosts. Del mismo modo, muchos productos de cortafuegos comerciales se basan en IPTables , así que sí, esto no solo es aceptable sino también bastante común.
Es posible que deba considerar el ancho de banda involucrado y la cantidad de paquetes por segundo en comparación con el hardware que está utilizando en situaciones extremas o tener una conexión de alta velocidad a Internet, pero si su el ancho de banda saliente es un 20% menor que el ancho de banda de la tarjeta Ethernet que probablemente esté usando, es poco probable que sea un problema para la mayoría de los visitantes modernos de la web o la oficina.
El uso de una distro moderna con la que se sienta cómodo administrando es probablemente el problema más importante para la fuente de distribución. IPTables no está muy inclinado hacia ninguna distribución dada . Una mejor pregunta que hacer aquí puede ser qué distro será más fácil de proteger, especialmente porque lo está utilizando como un cortafuegos.
Considere si necesita crear segmentos seguros separados al diseñar su solución de firewall. Es fácil tener múltiples interfaces en un firewall basado en IPTables y un mayor aislamiento entre los escritorios y servidores infectados puede ser realmente útil.
Finalmente, considere usar IPTables en todos sus hosts de Linux. El concepto de Cortafuegos de confianza de Zero , en el que cada sistema está reforzado y tiene sus propias reglas de cortafuegos configuradas herméticamente, es mucho más seguro que el diseño de red plana tradicional.
No descarte proyectos como PfSense enlace
Me gusta compilar el mío desde cero, pero es posible que encuentre útiles muchas características en un paquete como este.
También puede consultar proyectos como fail2ban y posiblemente mod_security . Podría entrar en cientos de otros proyectos de seguridad, pero estos podrían ser un buen punto de partida.