Tenho um projeto em mente e adoraria ouvir algumas ideias sobre algumas soluções de código aberto com hardware COTS.
Eu tenho alguns switches de camada 2 gerenciados de 24 e/ou 48 portas com clientes potencialmente em cada porta (embora geralmente sejam cerca de 20-30). No momento, o switch tem uma rede em ponte e faz o backhaul do tráfego do nosso núcleo para um servidor DHCP centralizado. Preciso movê-los para uma solução NAT e, ao fazer isso, gostaria de proteger os clientes de cada porta do tráfego de clientes nas outras portas. Eu também preciso ser capaz de encaminhar a porta do lado público da caixa firewall/nat para hardware específico no interior da máquina nat (fácil, eu sei).
Meu primeiro pensamento é construir uma caixa semelhante a um dispositivo (quanto menos peças móveis, melhor) que possa fazer filtragem e NAT com rfc1918, um intervalo de endereços sendo distribuído por meio de um servidor DHCP no dispositivo. Um servidor DNS de cache no dispositivo seria uma vantagem, já que transferimos tudo para o núcleo. Eu gostaria de rodar o FreeBSD, mas estou aberto.
Agora, para tentar limitar o tráfego de broadcast visível, eu estava pensando em fazer cada porta do switch como uma vlan diferente e fazer com que o switch fizesse trunking para a NIC privada no FreeBSD/appliance. Eu provavelmente precisaria fazer alguma mágica na NIC do freebsd para que isso funcionasse, mas deveria.
Temos as peças para construir esses sistemas. Então, isso faz sentido? Existem outras soluções nas quais não precisamos gastar dinheiro, mas que podemos usar nossas peças para criar algo? Existe alguma boa distro que já possa fazer isso (monowall)? Posso ou não administrar esta solução, portanto, uma ferramenta segura de configuração e gerenciamento da Web seria uma vantagem na mente dos outros administradores.
Pensamentos?