Pierre Gaxatte a écrit : > Bonjour, Bonjour,
> > Voilà donc mon problème, je cherche depuis quelques temps une solution > pour mettre deux firewalls avec Netfilter en actif/actif et j'avoue > que je m'y perd un peu (VRRP avec conntrack, CARP avec ucarp, > keepalived, heartbeat,...). A part pour heartbeat que je connais déjà > pas mal, j'ai du mal à réunir de la documentation et à peser le pour > et le contre de tout ce qui peut se faire. > > A vrai dire les documentations n'ont pas l'air de faire légion dans le > domaine (ou alors il va me falloir une formation Google...). > > De plus n'étant pas du tout familier avec les *BSD, je ne compte pas > me diriger sur cette voie : je préfère pour l'instant rester sur un > système que je connais bien, surtout pour des firewalls ! > > Donc voilà, si quelqu'un avait une petite piste/un avis là dessus, je > serais très content de l'entendre :) > > Le problème avec netfilter, ça va être la synchronisation de l'état. Il existe bien libnfconntrack qui permet un accès aux suivi de connexion en user-space, mais il faut encore le transporter jusqu'à l'autre firewall. Sinon, on peut dire adieu à sa session quand on change de firewall... Après, l'autre souci, avec carp, vrrp etc ça va être de faire de l'actif / actif. Même avec du BSD à ma connaissance ce n'est pas vraiment possible : ce qu'on peut éventuellement faire c'est faire plusieurs pool carp et jouer sur le routage pour que les machines passe de préférence par tel ou tel firewall. Ce qu'il faudrait, ce serait un vrai équilibreur de charge, et donc faire passer le trafic équitablement sur les deux firewall, mais ça nécessite un équipement supplémentaire, il en faut un de chaque côté pour bien faire (wan + lan) et il faut en plus le redonder en actif passif :) Peut-être qu'il est possible de faire quelque chose avec un bridge et lacp (802.3ad, on parle souvent de "bonding" ou "trunking"), mais en ce qui me concerne je n'ai mis en oeuvre que la simple solution à base de Spanning Tree Protocol, donc en actif / passif. La aussi, il faut un mécanisme de synchronisation des états. Si quelqu'un a des éléments là dessus je suis preneur... :) Dans ma boîte, on passe de Linux/Netfilter à Freebsd/pf justement pour cette raison : l'absence d'un équivalent à pfsync pour netfilter (et aussi pour le nombre de pps traités mais c'est une autre histoire). Ce n'est pas du tout cuit quand on a un usage avancé de netfilter, quoi qu'on en dise (certaines choses sont très compliqées à faire avec pf, je trouve), mais ça se fait, et il y a certains avantages annexes, comme la facilité pour recharger des règles à la volée déjà évoquée dans ce thread. Avec netfilter il fallait faire des scripts assez compliqués pour parvenir au même résultat... Quoi qu'il en soit, bonne chance dans tes recherches :) Cordialement, -- Clément Hermann (nodens) --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
