Outils pour utilisateurs

Outils du site


firewall_heartbeat

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision
Révision précédente
firewall_heartbeat [2011/09/18 21:04]
thierry
firewall_heartbeat [2011/11/13 02:03] (Version actuelle)
thierry
Ligne 1: Ligne 1:
 +FIXME
 +
 +FIXME
 +FIXME
 +FIXME
 +
 ====== Firewall Haute-Disponibilité ====== ====== Firewall Haute-Disponibilité ======
  
Ligne 80: Ligne 86:
  
 "​NODE_2"​ est le **slave** "​NODE_2"​ est le **slave**
 +
 +Eventuellement,​ ajouter:
 +  ping <IP_d_un hôte toujours Up>
  
   # zcat /​usr/​share/​doc/​heartbeat/​haresources.gz > haresources   # zcat /​usr/​share/​doc/​heartbeat/​haresources.gz > haresources
Ligne 118: Ligne 127:
   # Les requetes ARP ne traversent pas   # Les requetes ARP ne traversent pas
   net.ipv4.conf.all.arp_ignore=1   net.ipv4.conf.all.arp_ignore=1
 +  # ------------------------
 +  # pour les *gros* firewall
 +  # Par defaut: 65536
 +  # => 65536*2
 +  net.ipv4.netfilter.ip_conntrack_max=131072
 +  net.netfilter.nf_conntrack_max=131072
 +  # ----------
 +  # default ----
 +  ## cat /​proc/​sys/​net/​ipv4/​neigh/​default/​gc_thresh{1,​2,​3}
 +  #128
 +  #512
 +  #1024
 +  net.ipv4.neigh.default.gc_thresh1=512
 +  net.ipv4.neigh.default.gc_thresh2=1024
 +  net.ipv4.neigh.default.gc_thresh3=2048
   # ------------------------   # ------------------------
  
Ligne 126: Ligne 150:
  
 ==== ferm ==== ==== ferm ====
 +
 +Liens:
 +  *https://​wiki.archlinux.org/​index.php/​High_Performance_Firewall
  
 Dans **''/​etc/​modules''​** : Dans **''/​etc/​modules''​** :
   # TJ ------------------   # TJ ------------------
   ip_tables   ip_tables
 +  ip_conntrack_ftp
 +  ip_nat_ftp
 +  #​ip_conntrack_irc
 +  ip_nat_pptp
 +  ip_conntrack_pptp
   # ---------------------   # ---------------------
  
Ligne 136: Ligne 168:
   # aptitude install ferm   # aptitude install ferm
  
 +
 +==== QoS ====
 +
 +FIXME: Scripte **''​qoshtb''​**
 +
 +  # update-rc.d qoshtb defaults
 +  update-rc.d:​ using dependency based boot sequencing
 +
 +===== Tunning =====
 +
 +Liens:
 +  *http://​www.faqs.org/​docs/​securing/​chap6sec75.html
 +  *http://​www.frozentux.net/​ipsysctl-tutorial/​chunkyhtml/​tcpvariables.html
 +
 +Pour un firewall trés solicité, il faut modifier deux ou trois bricoles :
 +
 +Par exemple, par defaut on a:
 +  /​proc/​sys/​net/​ipv4/​tcp_fin_timeout = 60
 +  /​proc/​sys/​net/​ipv4/​tcp_keepalive_time = 7200
 +  /​proc/​sys/​net/​ipv4/​tcp_window_scaling = 1
 +  /​proc/​sys/​net/​ipv4/​tcp_sack = 1
 +  /​proc/​sys/​net/​ipv4/​tcp_timestamps = 1
 +
 +On peut changé ça en:
 +  /​proc/​sys/​net/​ipv4/​tcp_fin_timeout = 30
 +  /​proc/​sys/​net/​ipv4/​tcp_keepalive_time = 1800
 +
 +Le reste... booooof....
firewall_heartbeat.1316372643.txt.gz · Dernière modification: 2011/09/18 21:04 par thierry