Tengo un proyecto en mente y me encantaría escuchar algunas ideas sobre algunas soluciones de código abierto con hardware COTS.
Tengo algunos conmutadores de capa 2 administrados de 24 y/o 48 puertos con clientes potencialmente en cada puerto (aunque generalmente son entre 20 y 30). En este momento, el conmutador tiene una red puenteada y redirige el tráfico a nuestro núcleo a un servidor DHCP centralizado. Necesito moverlos a una solución NAT y, mientras lo hago, me gustaría proteger a los clientes en cada puerto del tráfico de clientes en los otros puertos. También necesito poder reenviar el puerto desde el lado público del firewall/caja nat a un hardware específico en el interior de la máquina nat (bastante fácil, lo sé).
Lo primero que pienso es construir una caja similar a un dispositivo (cuantas menos partes móviles, mejor) que pueda realizar filtrado y NAT con rfc1918, un rango de direcciones distribuido a través de un servidor DHCP en el dispositivo. Un servidor DNS de almacenamiento en caché en el dispositivo sería una ventaja, ya que llevamos todo al núcleo. Me gustaría ejecutar FreeBSD pero estoy abierto.
Ahora, para tratar de limitar el tráfico de transmisión que es visible, estaba pensando en hacer que cada puerto en el conmutador sea una VLAN diferente y hacer que el conmutador se conecte a la NIC privada en FreeBSD/dispositivo. Probablemente necesitaría hacer algo de magia en la NIC de freebsd para que esto funcione, pero debería hacerlo.
Tenemos las piezas para construir estos sistemas. Entonces, ¿tiene esto sentido? ¿Existen otras soluciones en las que no tengamos que gastar dinero pero que podamos usar nuestras partes para crear algo? ¿Hay alguna buena distribución que ya pueda hacer esto (monowall)? Puedo administrar o no esta solución, por lo que una herramienta de administración y configuración web segura sería una ventaja en la mente de los demás administradores.
¿Pensamientos?