I’m having fun

Note to self:

OpenBSD’s pf.conf(5)

1. When parsing firewall rules, the last matchng rules wins.
2. When parsing nat rules, the first matching rule wins.

Deze internationale KMO heeft een al wat minder alledaagse topologie voor hun netwerk die meer eisen stelt dan wat een gemiddelde KMO nodig heeft, en waardoor een implementatie op maat verantwoord is.

Om de informatica infrastructuur te laten functioneren in functie van de bijna dagelijkse evoluerende noden, bleek de keuze voor de functionaliteit van een pure firewall op basis van open technologieën, dan ook een goede keuze.

Tezelfdertijd vormt deze firewall een centraal, kritisch punt in de infrastructuur, waardoor een een hoge beschikbaarheid ten zeerste gewenst is. De gekozen technologie geeft dan ook een ideale oplossing, om deze firewall redundant uit te bouwen: volledig ontdubbelde hardware, voorzien van software die standaard kan geprogrammeerd worden om een transparante fail-over mogelijk te maken, en dit zowel op het niveau van de pure statefull firewall functie (pakket filter) als voor het bedienen van de diverse VPN-tunnels.

Bij de uitval van een firewall, blijft dit alles, transparant voor de gebruiker, verder functioneren. De tweede firewall neemt dan gewoon alle functies over van de eerste.

Deze oplossing bestaat uit twee autonome hardware firewalls, voor een aankoopprijs die slechts het niveau van een klassieke, niet redundante, propriëtaire zwarte (of rode) doos evenaart. Hier komen geen extra licentie kosten voor extra functionaliteiten, noch voor uitbreiding van aantal gebruikers. De implementatiekost blijft, net zoals voor iedere installatie, in functie van de complexiteit.

Deze internationale KMO heeft een al wat minder alledaagse topologie voor hun netwerk die meer eisen stelt dan wat een gemiddelde KMO nodig heeft, en waardoor een implementatie op maat verantwoord is.

Om de informatica infrastructuur te laten functioneren in functie van de bijna dagelijkse evoluerende noden, bleek de keuze voor de functionaliteit van een pure firewall op basis van open technologieën, dan ook een goede keuze.

Tezelfdertijd vormt deze firewall een centraal, kritisch punt in de infrastructuur, waardoor een een hoge beschikbaarheid ten zeerste gewenst is. De gekozen technologie geeft dan ook een ideale oplossing, om deze firewall redundant uit te bouwen: volledig ontdubbelde hardware, voorzien van software die standaard kan geprogrammeerd worden om een transparante fail-over mogelijk te maken, en dit zowel op het niveau van de pure statefull firewall functie (pakket filter) als voor het bedienen van de diverse VPN-tunnels.

Bij de uitval van een firewall, blijft dit alles, transparant voor de gebruiker, verder functioneren. De tweede firewall neemt dan gewoon alle functies over van de eerste.

Deze oplossing bestaat uit twee autonome hardware firewalls, voor een aankoopprijs die slechts het niveau van een klassieke, niet redundante, propriëtaire zwarte (of rode) doos evenaart. Hier komen geen extra licentie kosten voor extra functionaliteiten, noch voor uitbreiding van aantal gebruikers. De implementatiekost blijft, net zoals voor iedere installatie, in functie van de complexiteit.