Sto cercando di creare un firewall per il filtraggio dei pacchetti, che dovrebbe servire in una rete composta da quasi 100 host.
Un firewall creato con iptables può svolgere tale compito?
Quali sono le migliori distribuzioni di Linux per costruire un firewall simile?
Molte aziende utilizzano IPTables come firewall primario per reti con migliaia di host. Allo stesso modo molti prodotti firewall commerciali si basano su IPTables quindi sì, questo non è solo accettabile, ma piuttosto comune.
Potrebbe essere necessario considerare la larghezza di banda coinvolta e il numero di pacchetti al secondo rispetto all'hardware che si sta utilizzando in situazioni estreme o avere una connessione a Internet ad altissima velocità, ma se il proprio la larghezza di banda in uscita è inferiore del 20% rispetto all'ampiezza di banda della scheda Ethernet che probabilmente stai usando, è improbabile che sia un problema per la maggior parte del traffico Web o di ufficio moderno.
Utilizzare una distribuzione moderna che ti senti a tuo agio nell'amministrare è probabilmente il problema più importante per la fonte di distribuzione. IPTables non è distorto pesantemente verso una data distro . Una domanda migliore da porre qui potrebbe essere quale distro sarà più facile da proteggere, specialmente dal momento che la stai usando come firewall.
Considerare se è necessario creare segmenti separati separati quando si progetta la soluzione firewall. È facile avere più interfacce su un firewall basato su IPTables e un maggiore isolamento tra desktop e server infetti può essere davvero utile.
Infine, considera l'utilizzo di IPTables su tutti i tuoi host Linux. Il concetto di Zero Trust Firewalling , in cui ogni sistema è rinforzato e ha le proprie regole firewall strettamente configurate è molto più sicuro rispetto al tradizionale design di rete piatta.
Non escludere progetti come PfSense link
Mi piace costruire il mio da zero ma potresti trovare molte funzionalità in un pacchetto come questo utile.
Potresti anche voler esaminare progetti come fail2ban e possibilmente mod_security . Potrei entrare in centinaia di altri progetti di sicurezza, ma questi potrebbero essere un buon punto di partenza.