[FUG-BR] Firewall Failover with pfsync and CARP
Christiano Liberato
christianoliberato em gmail.com
Sexta Maio 20 15:58:21 BRT 2011
Obrigado Rodrigo. To tentando arrumar um tempinho aqui para implementar.
Em 13 de maio de 2011 14:56, Rodrigo Mosconi <freebsd em mosconi.mat.br>escreveu:
> não, a filtragem deve ser feita na interface real
>
> Em 13 de maio de 2011 10:36, Christiano Liberato
> <christianoliberato em gmail.com> escreveu:
> > Opa Rodrigo,
> >
> > valeu pela ajuda (e desculpe a demora na resposta).
> > Vou implementar aqui e ver no que dá.
> > Como na carp0 serao criados alias para os ips validos, terei q mudar
> minhas
> > regras para atender por ela, certo?
> >
> >
> > Em 5 de maio de 2011 11:51, Rodrigo Mosconi <freebsd em mosconi.mat.br
> >escreveu:
> >
> >> Em 3 de maio de 2011 17:32, Christiano Liberato
> >> <christianoliberato em gmail.com> escreveu:
> >> > Caros,
> >> >
> >> > ja perguntei isso anteriormente mas vou perturbar de novo pois ainda
> nao
> >> > resolvi.
> >> > Preciso de uma redundância de firewall e ja tenho o ambiente todo
> pronto:
> >> > placa de rede disponivel nos dois firewalls, regras com carp e pfsync
> >> etc.
> >> > Mas estou esbarrando numa questao: meu fw esta configurado com todos
> ips
> >> em
> >> > uma interface. Com isso nao consigo que o pfsync mantenha o estado
> pois
> >> ele
> >> > faz de 1 ip para outro ip.
> >> > Como posso configurar o firewall para que tenha apenas um ip na
> interface
> >> > atendendo tambem os outros ips?
> >> > A mesma interface atende email, dns, web etc. Com apenas 1 ip como
> >> atenderei
> >> > todos serviços?
> >>
> >> Vamos supor que seus fws tenham 3 interfaces: wan0, lan0 e inter0
> >> (sendo esta ultima um cabo cross com o outro fw).
> >>
> >> Configure nas wan um "dumy" ip, ie, configure com um ip invalido:
> >> 10.0.0.1/29 no fw1 e 10.0.0.2/29 no fw2
> >> analogo para as interfaces lans (10.0.1.1/29 no fw1 e 10.0.1.2/29 no
> fw2)
> >> idem para as inters (10.1.1.1/30 fw1 e 10.1.1.2/30 no fw2)
> >>
> >> Definiremos os ips 10.0.0.3 e 10.0.1.3 como ips virtuais do cluster (Wan
> e
> >> lan)
> >>
> >> Configure as interface carps no fw1:
> >> FreeBSD:
> >> ifconfig carp0 create
> >> ifconfig carp0 vhid1 pass senha inet 10.0.0.3/29
> >> ifconfig carp0 inet 200.x.y.z/n alias
> >> (...)
> >> analogo para a wan
> >>
> >> No OpenBSD:
> >> ifconfig carp0 create
> >> ifconfig carp0 vhid 1 pass senha carpdev wan0
> >> ifconfig carp0 inet 10.0.0.3/29
> >> ifconfig carp0 inet 200.x.y.z/n alias
> >> (...)
> >>
> >> Repare que no freebsd não existe o carpdev
> >>
> >> No fw1 analogo, mas adicionando advskew na definicao do vhid
> >>
> >> http://www.freebsd.org/cgi/man.cgi?query=carp&sektion=4
> >>
> >>
> http://www.openbsd.org/cgi-bin/man.cgi?query=carp&sektion=4&manpath=OpenBSD+4.9
> >>
> >> >
> >> > Obrigado a todos!
> >> > -------------------------
> >> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >> >
> >> -------------------------
> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
Mais detalhes sobre a lista de discussão freebsd