não, a filtragem deve ser feita na interface real
Em 13 de maio de 2011 10:36, Christiano Liberato <christianoliber...@gmail.com> escreveu: > Opa Rodrigo, > > valeu pela ajuda (e desculpe a demora na resposta). > Vou implementar aqui e ver no que dá. > Como na carp0 serao criados alias para os ips validos, terei q mudar minhas > regras para atender por ela, certo? > > > Em 5 de maio de 2011 11:51, Rodrigo Mosconi <free...@mosconi.mat.br>escreveu: > >> Em 3 de maio de 2011 17:32, Christiano Liberato >> <christianoliber...@gmail.com> escreveu: >> > Caros, >> > >> > ja perguntei isso anteriormente mas vou perturbar de novo pois ainda nao >> > resolvi. >> > Preciso de uma redundância de firewall e ja tenho o ambiente todo pronto: >> > placa de rede disponivel nos dois firewalls, regras com carp e pfsync >> etc. >> > Mas estou esbarrando numa questao: meu fw esta configurado com todos ips >> em >> > uma interface. Com isso nao consigo que o pfsync mantenha o estado pois >> ele >> > faz de 1 ip para outro ip. >> > Como posso configurar o firewall para que tenha apenas um ip na interface >> > atendendo tambem os outros ips? >> > A mesma interface atende email, dns, web etc. Com apenas 1 ip como >> atenderei >> > todos serviços? >> >> Vamos supor que seus fws tenham 3 interfaces: wan0, lan0 e inter0 >> (sendo esta ultima um cabo cross com o outro fw). >> >> Configure nas wan um "dumy" ip, ie, configure com um ip invalido: >> 10.0.0.1/29 no fw1 e 10.0.0.2/29 no fw2 >> analogo para as interfaces lans (10.0.1.1/29 no fw1 e 10.0.1.2/29 no fw2) >> idem para as inters (10.1.1.1/30 fw1 e 10.1.1.2/30 no fw2) >> >> Definiremos os ips 10.0.0.3 e 10.0.1.3 como ips virtuais do cluster (Wan e >> lan) >> >> Configure as interface carps no fw1: >> FreeBSD: >> ifconfig carp0 create >> ifconfig carp0 vhid1 pass senha inet 10.0.0.3/29 >> ifconfig carp0 inet 200.x.y.z/n alias >> (...) >> analogo para a wan >> >> No OpenBSD: >> ifconfig carp0 create >> ifconfig carp0 vhid 1 pass senha carpdev wan0 >> ifconfig carp0 inet 10.0.0.3/29 >> ifconfig carp0 inet 200.x.y.z/n alias >> (...) >> >> Repare que no freebsd não existe o carpdev >> >> No fw1 analogo, mas adicionando advskew na definicao do vhid >> >> http://www.freebsd.org/cgi/man.cgi?query=carp&sektion=4 >> >> http://www.openbsd.org/cgi-bin/man.cgi?query=carp&sektion=4&manpath=OpenBSD+4.9 >> >> > >> > Obrigado a todos! >> > ------------------------- >> > Histórico: http://www.fug.com.br/historico/html/freebsd/ >> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> > >> ------------------------- >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
