Forum général.général Firewall + redondance (cluster)

Posté par  .
Étiquettes : aucune
0
1
fév.
2006
Bonjour à tous,

Je suis nouveau sur ce forum, mais je viens souvent
rechercher des idées... Je fais donc le pas, allez je m'inscris...

Je demande votre avis, je vais
devoir monter un cluster (fail-over) de firewall, j'ai déjà monter
un drbd-heartbeat (en formation sur une Mandriva),
mais je me pose la question suivante :

DRBD-Heartbeat (donc raid1) pour un cluster de firewall, est-ce que c'est ce qu'il y a de mieux, en open-source ?

voilà,
cordialement
@+

  • # UCARP

    Posté par  (site web personnel) . Évalué à 4.

    Le mieux c'est sans conteste le couple PF (Packet Filter d'OpenBSD)/CARP (sorte d'implémentation libre de VRRP).

    Au niveau fonctionnalité. Car le problèmes d'un cluster Firewall ça va être de conservé les différents états en cas de bascule (par trop grave car si cest un Failover, c'est pas fréquent) surtout de la répartition de charge.

    Dans le cadre de pf ce boulot est fait par pfsync. PF est disponible sur FreeBSD et OpenBSD (peut être d'autres mais je n'ai pas pu vérifier).

    Une manière simple de pouvoir jouer avec PF en cluster c'est d'essayer PFSense http://www.pfsense.org/. Facil d'utilisation, bien conçu, complet, bref du bonheur.

    Sinon pour ta demande, regarde du côté de ucarp ( http://www.ucarp.org ) site down pour le moment : problème de disque.

    Mais à ma connaissance netfilter ne dispose toujours pas d'équivalent à pfsync, ce qui le rend pour moi inutilisable de manière sérieuse sur un cluster FW.

    PS : doc d'un Failover avec UCARP sous Linux : http://gentoo-wiki.com/HOWTO_Setup_IP_failover_with_UCARP

  • # Vrrpd

    Posté par  (site web personnel) . Évalué à 0.

    Pour ma part, je peux te conseiller vrrp, mais en cas de panne d'une interface réseau, le routage continue d'être assuré grâce au protocole VRRP, mais de manière asymétrique. J'ai commencé un script en python qui corrige tout ça (il faut juste que le retrouve ...) si tu en as besoin mail moi.

    Sinon http://traceroute.free.fr/Vrrpd/

  • # Heartbeat + firewall

    Posté par  . Évalué à 1.

    Merci pour les pistes, je vais chercher les informations sur les liens que vous m'avez donné.
    Je vais ensuite tester, hier j'ai chercher sur le web et une solution avec CARP et OpenBSD reviens régulièrement, je vais voir tous ça...
    Merci encore, je vous tiens au courant...

    A+

  • # Heartbeat + firewall

    Posté par  . Évalué à 1.

    Je viens de surfer sur les liens que vous m'avez envoyés.

    J'en discute autour de moi, et au final je DOIS rester avec fwbuilder + iptables + mon-"cluster" de firewall, sauf que avec les solutions que vous m'avez donné ça n'ira pas (je me trompe peut-être)...

    Je me demande si je ne vais pas partir quand même sur une solution Heartbeat avec un script rsync.....

    Mais quand même OpenBSd+pfsync+CARP, ça n'a pas l'air mal, a suivre donc....

  • # Heratbeat + firewall

    Posté par  . Évalué à 1.

    Ok, je vous remercie, et je vais faire mon choix
    grace à tous vos liens merci
    Je vous tiendrais au courant de l'évolution du projet.

    désolé pour le retard dans mes réponses mais j'avais égaré, mon
    passwd....
    A+

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.