Инструменты пользователя
pfsync
Различия
Здесь показаны различия между двумя версиями данной страницы.
| — |
pfsync [2010/12/09 04:35] (текущий) |
||
|---|---|---|---|
| Строка 1: | Строка 1: | ||
| + | Источник: [[http://www.opennet.ru/base/sec/openbsd_carp_pf.txt.html|Создание отказоустойчивого брандмауэра на OpenBSD с использованием]] [[CARP]] и [[pfsync]] | ||
| + | |||
| + | Протокол pfsync | ||
| + | **Pfsync** - это протокол, используемый пакетным фильтром для | ||
| + | управления и обновления таблиц состояния для stateful inspection и NAT. | ||
| + | По умолчанию, сообщения о смене состояния рассылаются через | ||
| + | синхронизационный интерфейс с помощью IP multicast пакетов. При этом | ||
| + | используется IP protocol 240 и multicast-группа 224.0.0.240. Мы | ||
| + | реализуем данную схему синхронизации таблиц состояний для получения | ||
| + | отказоустойчивого решения, когда переход на новый master происходит без | ||
| + | разрыва сессий клиентов. | ||
| + | |||
| + | pfsync(4) является также названием псевдоустройства, через которое | ||
| + | происходит синхронизация таблиц (кроме состояний, созданных правилами, | ||
| + | помеченных флагом no-sync или пакетов pfsync(4)) pfsync(4) может | ||
| + | быть сконфигурирован на физическом интерфейсе, чтобы синхронизировать | ||
| + | таблицы нескольких брандмауэров. | ||
| + | |||
| + | |||
| + | Физический синхронизационный интерфейс может быть настроен с помощью | ||
| + | команды ifconfig(8), используя параметр syncdev. Для примера, на | ||
| + | вашем брандмауэре вы можете выполнить команду: | ||
| + | |||
| + | # ifconfig pfsync0 syncdev rl2 | ||
| + | |||
| + | |||
| + | Предполагаем, что интерфейс rl2 на обоих хостах находится в сети | ||
| + | 192.168.1.0/24 (для Mickey и Minnie) или 192.168.2.0/24 (для Donald и | ||
| + | Daisy) и брандмауэры соединены между собой "кривым(обратным)" | ||
| + | патчкордом. | ||
| + | |||
| + | Использование "обратного" патчкорда рекомендуется потому, что pfsync | ||
| + | не поддерживает механизмы шифрации или авторизации, поэтому при работе | ||
| + | через коммутатор эти пакеты могут быть перехвачены злоумышленником. | ||
| + | |||
| + | В качестве альтернативы, вы можете использовать ключевое слово | ||
| + | syncpeer для указания адреса брандмауэра, с которым осуществляется | ||
| + | синхронизация. Система будет использовать этот адрес вместо рассылки | ||
| + | широковещательных пакетов и вы можете использовать IPsec для защиты | ||
| + | трафика. В случае использования syncdev вы должны иметь поддержку | ||
| + | псевдоустройства enc(4) для инкапсуляции/деинкапсуляции трафика | ||
| + | ipsec(4). | ||
| + | |||
| + | # ifconfig pfsync0 syncpeer 192.168.1.101 syncdev enc0 | ||
| + | |||
| + | |||
| + | Для того, чтобы изменения не пропали после перезагрузки, внесите данные в файл /etc/hostname.pfsync0: | ||
| + | |||
| + | up syncdev rl2 | ||
pfsync.txt · Последние изменения: 2010/12/09 04:35 (внешнее изменение)
Инструменты страницы
Если не указано иное, содержимое этой вики предоставляется на условиях следующей лицензии: GNU Free Documentation License 1.3
