[FUG-BR] Firewall Failover with pfsync and CARP
Christiano Liberato
christianoliberato em gmail.com
Sexta Maio 13 10:36:44 BRT 2011
Opa Rodrigo,
valeu pela ajuda (e desculpe a demora na resposta).
Vou implementar aqui e ver no que dá.
Como na carp0 serao criados alias para os ips validos, terei q mudar minhas
regras para atender por ela, certo?
Em 5 de maio de 2011 11:51, Rodrigo Mosconi <freebsd em mosconi.mat.br>escreveu:
> Em 3 de maio de 2011 17:32, Christiano Liberato
> <christianoliberato em gmail.com> escreveu:
> > Caros,
> >
> > ja perguntei isso anteriormente mas vou perturbar de novo pois ainda nao
> > resolvi.
> > Preciso de uma redundância de firewall e ja tenho o ambiente todo pronto:
> > placa de rede disponivel nos dois firewalls, regras com carp e pfsync
> etc.
> > Mas estou esbarrando numa questao: meu fw esta configurado com todos ips
> em
> > uma interface. Com isso nao consigo que o pfsync mantenha o estado pois
> ele
> > faz de 1 ip para outro ip.
> > Como posso configurar o firewall para que tenha apenas um ip na interface
> > atendendo tambem os outros ips?
> > A mesma interface atende email, dns, web etc. Com apenas 1 ip como
> atenderei
> > todos serviços?
>
> Vamos supor que seus fws tenham 3 interfaces: wan0, lan0 e inter0
> (sendo esta ultima um cabo cross com o outro fw).
>
> Configure nas wan um "dumy" ip, ie, configure com um ip invalido:
> 10.0.0.1/29 no fw1 e 10.0.0.2/29 no fw2
> analogo para as interfaces lans (10.0.1.1/29 no fw1 e 10.0.1.2/29 no fw2)
> idem para as inters (10.1.1.1/30 fw1 e 10.1.1.2/30 no fw2)
>
> Definiremos os ips 10.0.0.3 e 10.0.1.3 como ips virtuais do cluster (Wan e
> lan)
>
> Configure as interface carps no fw1:
> FreeBSD:
> ifconfig carp0 create
> ifconfig carp0 vhid1 pass senha inet 10.0.0.3/29
> ifconfig carp0 inet 200.x.y.z/n alias
> (...)
> analogo para a wan
>
> No OpenBSD:
> ifconfig carp0 create
> ifconfig carp0 vhid 1 pass senha carpdev wan0
> ifconfig carp0 inet 10.0.0.3/29
> ifconfig carp0 inet 200.x.y.z/n alias
> (...)
>
> Repare que no freebsd não existe o carpdev
>
> No fw1 analogo, mas adicionando advskew na definicao do vhid
>
> http://www.freebsd.org/cgi/man.cgi?query=carp&sektion=4
>
> http://www.openbsd.org/cgi-bin/man.cgi?query=carp&sektion=4&manpath=OpenBSD+4.9
>
> >
> > Obrigado a todos!
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
Mais detalhes sobre a lista de discussão freebsd