У меня есть идея проекта, и я бы с удовольствием выслушал идеи относительно решений с открытым исходным кодом и COTS-оборудованием.
У меня есть несколько управляемых коммутаторов уровня 2 с 24 и/или 48 портами, на каждом порту которых потенциально могут быть клиенты (хотя обычно их около 20-30). Сейчас коммутатор имеет мостовую сеть и перенаправляет трафик в наше ядро на централизованный DHCP-сервер. Мне нужно переместить их на решение NAT и, делая это, я хотел бы защитить клиентов на каждом порту от клиентского трафика на других портах. Мне также нужно иметь возможность переадресации портов с публичной стороны брандмауэра/блока NAT на определенное оборудование внутри машины NAT (достаточно просто, я знаю).
Мои первые мысли — построить коробку, похожую на устройство (чем меньше движущихся частей, тем лучше), которая может фильтровать и NAT с rfc1918, диапазон адресов выдается через DHCP-сервер на устройстве. Кэширующий DNS-сервер на устройстве был бы плюсом, поскольку мы все отправляем обратно в ядро. Я бы хотел запустить FreeBSD, но я открыт.
Теперь, чтобы попытаться ограничить видимый широковещательный трафик, я думал сделать каждый порт на коммутаторе как отдельный vlan и заставить коммутатор выполнять транкинг к частному NIC на FreeBSD/appliance. Мне, вероятно, нужно будет сделать немного магии на NIC freebsd, чтобы это заработало, но это должно.
У нас есть детали для создания этих систем. Так имеет ли это смысл? Есть ли другие решения, на которые нам не нужно тратить деньги, но которые можно использовать для создания чего-то? Есть ли хорошие дистрибутивы, которые уже могут это делать (monowall)?? Я могу быть или не быть администратором этого решения, поэтому безопасный инструмент веб-конфигурации и управления был бы плюсом в глазах других администраторов.
Мысли?