Åhååå, säger snubbe som inte jobbat så mycket som devops? =)

du menar iptables på resp. maskin är bättre?

vad säger du om rate-limit på ssh-anslutning -> svartlistning gentemot hela miljö som router hanterar? Fortfarande inte bra med rena FW burkar?

Det är väldigt simpla standard saker du klarar utan separat FW, standard Cisco saker med ACL och QoS klarar dom simpla standard saker.

Du kan även ha en separat analyser som får all trafik via SPAN eller Netflow som kan hantera separata svartlist eller bygga regler.

Eller ja iptables klarar även dom sakerna om man nu vill använda det istället.

Sedan låter det lita udda om du använder en FW för bara rate-limit SSH istället för använda det för blockera SSH från hela världen.

Då skulle jag nog föredrar fail2ban istället.

Bara så du är glad med din lösning, inget fel med centraliserad lösning som orkar skyffla paket, när man ändå har några CPU:er över som står och idlar. Separat låda är den ju inte, den är ju router filtrerande, så jag snarare centraliserat allt i ett. Netflow är intressant projekt, har inte lekt finns fria möjligheter köra vad som helst. Burkar är ju anpassningsbara både för att köra VPN, både klient site-to-site/hur du vill, enkelt att uppdatera och hålla vid liv när det gäller senate IPv6 implementation, OpenBSD är snabba få in nya RFC-ändringar i sitt os och har dessutom bättre styrning när det gäller prestanda/säkerhetsparametrar för IPv6-trafik.

Visst det är inte så där högpresterande hårdvara vad gäller hastigheter över 2-3 Gbit/s men det är tillräckligt vänligt, flexibelt, enkelt och snyggt för att slippa brottas med dumma FW, gamla urusla gräsnitt, IOS allt vad-som-nu-populärt-den-här-veckan.

ACL är sånt skoj är ju bra, men du ska ju kunna ha möjlighet skripta och integrera.
Bash/python/perl whatever, som sagt friheten och enkelheten, dessutom kan jag versions/konfigurationshantera hela brandväggen via ansible/git, hurra liksom, standardverktyg för all, =)