[FUG-BR] Firewall Failover with pfsync and CARP

Christiano Liberato christianoliberato em gmail.com
Quinta Maio 5 10:25:12 BRT 2011


Renato,

acho q no meu caso nao vai ser possivel implementar o carp pois tenho 5
interfaces no firewall.

Em 3 de maio de 2011 17:41, Renato Frederick <renato em frederick.eti.br>escreveu:

> Não entendi...
>
> se você usa carp, você vai publicar o ip que precisa ter redundância na
> carpX. Na interface física vai colocar outro ip na mesma subnet apenas
> para que o carp saiba a qual interface física associar(limitação da
> implementação carp do free, no openbsd você pude usar a flag 'carpdev'[1]).
>
> algo do tipo:
>
> Email publicado no IP - 200.1.1.1/24
>
> bce0 na maquina master ficaria com o IP 200.1.1.254/24
> bce0 na maquina slave ficaria com o IP 200.1.1.253/24
> carp0 <http://200.1.1.253/24%0Acarp0> ficaria com o IP 200.1.1.1/24, em
> ambas, cada uma com o advskew
> diferente.
>
> E seus apontamentos de firewall e afins vao pra 200.1.1.1. Quando a
> master cair, o IP 200.1.1.254 fica parado, mas o 200.1.1.1 assume na
> slave devido ao advskew diferente.
>
> [1] http://www.mail-archive.com/freebsd-pf@freebsd.org/msg02640.html
>
> Em 03/05/2011 17:32, Christiano Liberato escreveu:
> > Caros,
> >
> > ja perguntei isso anteriormente mas vou perturbar de novo pois ainda nao
> > resolvi.
> > Preciso de uma redundância de firewall e ja tenho o ambiente todo pronto:
> > placa de rede disponivel nos dois firewalls, regras com carp e pfsync
> etc.
> > Mas estou esbarrando numa questao: meu fw esta configurado com todos ips
> em
> > uma interface. Com isso nao consigo que o pfsync mantenha o estado pois
> ele
> > faz de 1 ip para outro ip.
> > Como posso configurar o firewall para que tenha apenas um ip na interface
> > atendendo tambem os outros ips?
> > A mesma interface atende email, dns, web etc. Com apenas 1 ip como
> atenderei
> > todos serviços?
> >
> > Obrigado a todos!
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>


Mais detalhes sobre a lista de discussão freebsd