firewall_heartbeat
Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédenteProchaine révisionLes deux révisions suivantes | ||
firewall_heartbeat [2011/09/15 22:54] – thierry | firewall_heartbeat [2011/10/21 18:27] – thierry | ||
---|---|---|---|
Ligne 60: | Ligne 60: | ||
# zcat / | # zcat / | ||
- | FIXME | + | |
+ | logfacility | ||
+ | keepalive 2 | ||
+ | deadtime 15 | ||
+ | ucast eth0 < | ||
+ | ucast eth0 < | ||
+ | auto_failback on | ||
+ | node < | ||
+ | node < | ||
+ | respawn | ||
+ | apiauth ipfail gid=haclient uid=hacluster | ||
+ | |||
+ | Où: | ||
+ | |||
+ | | < | ||
+ | | < | ||
+ | |||
+ | " | ||
+ | |||
+ | " | ||
+ | |||
+ | Eventuellement, | ||
+ | ping <IP_d_un hôte toujours Up> | ||
# zcat / | # zcat / | ||
- | FIXME | ||
+ | < | ||
+ | |||
+ | Il est voulu que les fichiers de configuration soient identique sur chaque " | ||
Lorsque ça marche, forcer le " | Lorsque ça marche, forcer le " | ||
# / | # / | ||
+ | ===== Installation ===== | ||
+ | |||
+ | ==== Interfaces ==== | ||
+ | |||
+ | eth0 : LAN : IP fixe locale | ||
+ | |||
+ | eth1 : WAN : IP fixe publique | ||
+ | |||
+ | ==== sysctl.d ==== | ||
+ | |||
+ | *Désactiver l'ipv6 | ||
+ | *(ne pas) activer le forward entre interface | ||
+ | *kernel panic pour le fun | ||
+ | *les interfaces ne repondent pas aux requetes ARP qui ne leur sont pas destiné. | ||
+ | |||
+ | Dans **''/ | ||
+ | # TJ --------------------- | ||
+ | # Desactiver Ipv6 (sous Squeeze) | ||
+ | net.ipv6.conf.all.disable_ipv6=1 | ||
+ | net.ipv6.conf.all.autoconf=0 | ||
+ | net.ipv6.conf.default.disable_ipv6=1 | ||
+ | net.ipv6.conf.default.autoconf=0 | ||
+ | # Activer forward | ||
+ | # | ||
+ | # En cas de crash noyau | ||
+ | kernel.panic=300 | ||
+ | # Les requetes ARP ne traversent pas | ||
+ | net.ipv4.conf.all.arp_ignore=1 | ||
+ | # ------------------------ | ||
+ | # pour les *gros* firewall | ||
+ | # Par defaut: 65536 | ||
+ | # => 65536*2 | ||
+ | net.ipv4.netfilter.ip_conntrack_max=131072 | ||
+ | net.netfilter.nf_conntrack_max=131072 | ||
+ | # ---------- | ||
+ | # default ---- | ||
+ | ## cat / | ||
+ | #128 | ||
+ | #512 | ||
+ | #1024 | ||
+ | net.ipv4.neigh.default.gc_thresh1=512 | ||
+ | net.ipv4.neigh.default.gc_thresh2=1024 | ||
+ | net.ipv4.neigh.default.gc_thresh3=2048 | ||
+ | # ------------------------ | ||
+ | |||
+ | | :!: ne pas activer le " | ||
+ | |||
+ | Appliquer: | ||
+ | # sysctl -p / | ||
+ | |||
+ | ==== ferm ==== | ||
+ | |||
+ | Liens: | ||
+ | *https:// | ||
+ | |||
+ | Dans **''/ | ||
+ | # TJ ------------------ | ||
+ | ip_tables | ||
+ | ip_conntrack_ftp | ||
+ | ip_nat_ftp | ||
+ | # | ||
+ | ip_nat_pptp | ||
+ | ip_conntrack_pptp | ||
+ | # --------------------- | ||
+ | |||
+ | Installer ferm. | ||
+ | |||
+ | # aptitude install ferm | ||
+ | |||
+ | |||
+ | ==== QoS ==== | ||
+ | |||
+ | FIXME: Scripte **'' | ||
+ | |||
+ | # update-rc.d qoshtb defaults | ||
+ | update-rc.d: | ||
+ | |||
+ | ===== Tunning ===== | ||
+ | |||
+ | Liens: | ||
+ | *http:// | ||
+ | *http:// | ||
+ | |||
+ | Pour un firewall trés solicité, il faut modifier deux ou trois bricoles : | ||
+ | |||
+ | Par exemple, par defaut on a: | ||
+ | / | ||
+ | / | ||
+ | / | ||
+ | / | ||
+ | / | ||
+ | |||
+ | On peut changé ça en: | ||
+ | / | ||
+ | / | ||
+ | |||
+ | Le reste... booooof.... |
firewall_heartbeat.txt · Dernière modification : 2011/11/13 01:03 de thierry