NetFilter et IpFilter - Haute disponibilité?

NetFilter et IpFilter - Haute disponibilité? - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 24-02-2010 à 18:57:42    

Bonjour,
 
Je me pose la question suivante: peut-on paramètrer NetFilter et IpFilter pour faire de la haute disponibilité?
 
Je connais Packet Filter qui assure cette fonctionnalité via CARP...
 
Merci!

Reply

Marsh Posté le 24-02-2010 à 18:57:42   

Reply

Marsh Posté le 24-02-2010 à 19:25:51    

CARP ou VRRP


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 24-02-2010 à 19:37:42    

OK je connais CARP et VRRP.
Mais dans le cadre de la mise en oeuvre d'une architecture de haute disponibilité de pare-feu?

Reply

Marsh Posté le 24-02-2010 à 21:08:45    

carp avec pf sur OpenBSD
 
CARP c'est bien, VRRP je connais pas (une lacune que je devrais combler), toujours est-il qu'avec ce lien tu aura une idee du bazar a toi d'adapter pour netfilter (d'ailleurs il y a certainement une doc sur google pour ca)

Reply

Marsh Posté le 25-02-2010 à 13:13:30    

Merci ducon3d. J'ai déjà configuré PF avec de la haute-disponibilité (CARP et pfsync).
Ma demande concerne en fait NetFilter et IpFilter...
Quelqu'un peut-il m'aider?

Reply

Marsh Posté le 25-02-2010 à 13:17:59    

le module de filtrage et le protocole de haute dispo sont totalement indépendants non ?


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 25-02-2010 à 13:39:15    

Pour NetFilter et IpFilter je ne sais pas.
Pour Packet Filter que je connais la haute disponibilité (CARP et pfsync)  est activée à la demande.

Reply

Marsh Posté le 25-02-2010 à 15:39:29    

j'ai demande a google pour voir si il y a un equivalent a pfsync, ta question m'a intrigue, et je suis tombe sur ceci:
 
http://free-electrons.com/pub/vide [...] alling.ogg
bon monte le son a fond parceque c'est limite audible.
 
et la reponse:
http://conntrack-tools.netfilter.org

Reply

Marsh Posté le 25-02-2010 à 16:22:30    

Merci pour tes deux réponses.
 
J'ai trouvé "Fault tolerant stateful firewalling with GNU/Linux" (http://2008.rmll.info/Interview-Pablo-Neira-Ayuso.html) qui répond à ma question sur NetFilter avce les référnces à ta conférence.
 
On peut donc faire de la haut disponibilité avec NetFilter (j'ai cependant lu des critiques mitigées (pas de maintien des sessions TCP après la bascule de FW par exemple mais peut-être qu'il y a eu des améliorations).
 
Merci ducon3d!

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed