Ceci est une ancienne révision du document !
Table des matières
Firewall Haute-Disponibilité
Liens:
Introduction
But: mettre en place un firewall Haute-Disponibilité en utilisant: heartbeat et des scripts a ma façon.
Iproute2
Comment on va surement utiliser “iproute” au lieu de “ifconfig”, on va étudier les bases:
Soit eth1
une interface sans aucune configuration, et même pas “up”.
Voir les adresses:
# ip addr show
Associer une IP:
# ip addr add dev eth1 local <IP>/24
Monter l'interface:
# ip link set eth1 up
Et voila. Par exemple:
# route -n ... Destination Passerelle Genmask Indic Metric Ref Use Iface <IP.0> 0.0.0.0 255.255.255.0 U 0 0 0 eth1 ...
Mais pas encore de gateway.
Donc, on peut faire simplement:
# ip route add default via <IP_GATEWAY>
Aprés la création de l'interface initiale, ce sont des alias. Donc:
# ip addr add dev eth1 local <IP_A>/24 # ip addr add dev eth1 local <IP_B>/24 ...
Pour supprimer:
... # ip addr del dev eth1 local <IP_B>/24 # ip addr del dev eth1 local <IP_A>/24
Voila.
HeartBeat
# aptitude install heartbeat
# cd /etc/heartbeat # cp /usr/share/doc/heartbeat/authkeys . # chmod 0600 authkeys
Faire en sorte d'avoir, par exemple:
auth 1 1 sha1 <CODE_SECRET_PARTAGE>
# zcat /usr/share/doc/heartbeat/ha.cf.gz > ha.cf
# zcat /usr/share/doc/heartbeat/haresources.gz > haresources
Lorsque ça marche, forcer le “standby” de la machine courante:
# /usr/share/heartbeat/hb_standby
Installation
Interfaces
eth0 : LAN : IP fixe locale
eth1 : WAN : IP fixe publique
sysctl.d
- Désactiver l'ipv6
- (ne pas) activer le forward entre interface
- kernel panic pour le fun
- les interfaces ne repondent pas aux requetes ARP qui ne leur sont pas destiné.
Dans /etc/sysctl.d/local.conf
:
# TJ --------------------- # Desactiver Ipv6 (sous Squeeze) net.ipv6.conf.all.disable_ipv6=1 net.ipv6.conf.all.autoconf=0 net.ipv6.conf.default.disable_ipv6=1 net.ipv6.conf.default.autoconf=0 # Activer forward #net.ipv4.ip_forward=1 # En cas de crash noyau kernel.panic=300 # Les requetes ARP ne traversent pas net.ipv4.conf.all.arp_ignore=1 # ------------------------
ne pas activer le “forward” : Donc, laisser le commentaire devant: net.ipv4.ip_forward=1 |
Appliquer:
# sysctl -p /etc/sysctl.d/local.conf
ferm
Installer ferm.