[FUG-BR] Firewall Failover with pfsync and CARP
Rodrigo Mosconi
freebsd em mosconi.mat.br
Sexta Maio 13 14:56:06 BRT 2011
não, a filtragem deve ser feita na interface real
Em 13 de maio de 2011 10:36, Christiano Liberato
<christianoliberato em gmail.com> escreveu:
> Opa Rodrigo,
>
> valeu pela ajuda (e desculpe a demora na resposta).
> Vou implementar aqui e ver no que dá.
> Como na carp0 serao criados alias para os ips validos, terei q mudar minhas
> regras para atender por ela, certo?
>
>
> Em 5 de maio de 2011 11:51, Rodrigo Mosconi <freebsd em mosconi.mat.br>escreveu:
>
>> Em 3 de maio de 2011 17:32, Christiano Liberato
>> <christianoliberato em gmail.com> escreveu:
>> > Caros,
>> >
>> > ja perguntei isso anteriormente mas vou perturbar de novo pois ainda nao
>> > resolvi.
>> > Preciso de uma redundância de firewall e ja tenho o ambiente todo pronto:
>> > placa de rede disponivel nos dois firewalls, regras com carp e pfsync
>> etc.
>> > Mas estou esbarrando numa questao: meu fw esta configurado com todos ips
>> em
>> > uma interface. Com isso nao consigo que o pfsync mantenha o estado pois
>> ele
>> > faz de 1 ip para outro ip.
>> > Como posso configurar o firewall para que tenha apenas um ip na interface
>> > atendendo tambem os outros ips?
>> > A mesma interface atende email, dns, web etc. Com apenas 1 ip como
>> atenderei
>> > todos serviços?
>>
>> Vamos supor que seus fws tenham 3 interfaces: wan0, lan0 e inter0
>> (sendo esta ultima um cabo cross com o outro fw).
>>
>> Configure nas wan um "dumy" ip, ie, configure com um ip invalido:
>> 10.0.0.1/29 no fw1 e 10.0.0.2/29 no fw2
>> analogo para as interfaces lans (10.0.1.1/29 no fw1 e 10.0.1.2/29 no fw2)
>> idem para as inters (10.1.1.1/30 fw1 e 10.1.1.2/30 no fw2)
>>
>> Definiremos os ips 10.0.0.3 e 10.0.1.3 como ips virtuais do cluster (Wan e
>> lan)
>>
>> Configure as interface carps no fw1:
>> FreeBSD:
>> ifconfig carp0 create
>> ifconfig carp0 vhid1 pass senha inet 10.0.0.3/29
>> ifconfig carp0 inet 200.x.y.z/n alias
>> (...)
>> analogo para a wan
>>
>> No OpenBSD:
>> ifconfig carp0 create
>> ifconfig carp0 vhid 1 pass senha carpdev wan0
>> ifconfig carp0 inet 10.0.0.3/29
>> ifconfig carp0 inet 200.x.y.z/n alias
>> (...)
>>
>> Repare que no freebsd não existe o carpdev
>>
>> No fw1 analogo, mas adicionando advskew na definicao do vhid
>>
>> http://www.freebsd.org/cgi/man.cgi?query=carp&sektion=4
>>
>> http://www.openbsd.org/cgi-bin/man.cgi?query=carp&sektion=4&manpath=OpenBSD+4.9
>>
>> >
>> > Obrigado a todos!
>> > -------------------------
>> > Histórico: http://www.fug.com.br/historico/html/freebsd/
>> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> >
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
Mais detalhes sobre a lista de discussão freebsd