Yacine Kheddache a écrit :
Pas moyen de poster sur la list ! alors voici mon message :
Je transmets en même temps donc !
Bonjour,
A ma connaissance ce type de solution n'existe pas sur Linux
actuellement (pfsync pas dispo...), mais tu peux utiliser le projet
pfsense (http://www.pfsense.com/) et te faire un/deux/... appliances
(boot sur une compactFlash) histoire de ne pas avoir a te pencher sur
l'install et l'admin *BSD.
"Redundancy
CARP from OpenBSD allows for hardware failover. Two or more firewalls
can be configured as a failover group. If one interface fails on the
primary or the primary goes offline entirely, the secondary becomes
active. pfSense also includes configuration synchronization
capabilities, so you make your configuration changes on the primary and
they automatically synchronize to the secondary firewall.
pfsync ensures the firewall's state table is replicated to all failover
configured firewalls. This means your existing connections will be
maintained in the case of failure, which is important to prevent network
disruptions.
Limitations
* Only works with static public IPs, does not work with DHCP,
PPPoE, PPTP, or BigPond type WANs (will be resolved in a future
release)
* Requires a minimum of three public IP addresses (will be
resolved in a future release)
* Backup firewalls are idle (active-passive failover), no
active-active clustering is possible at this time.
* Failover is not instantaneous, it takes about 5 seconds to
switch a backup host to master. During this time no traffic will
be passed, but existing states will maintain connectivity after
failover is completed. This 5 second outage during a failure
isn't even noticeable in most environments."
Sinon après et en fonction de ton budget, tu peux voir les produits
commerciaux. Ex de solution en cluster actif/actif :
http://www.stonesoft.com/en/products_and_solutions/products/fw/features/gateway_clustering/
Cordialement,
Yacine.
Donc si je comprend bien, les doc parlant d'actif/actif ne font pas du
vrai actif/actif quoi ....
Enfin d'un autre côté les ASA non plus, ils sont juste maîtres de
groupes de VLAN différents sur chaque noeud. Chose qui est largement
faisable avec du netfilter (certainement avec pf aussi) à mon avis.
Je pense que je ne vais pas passer beaucoup plus de temps à galérer sur
le sujet et faire un test avec OpenBSD. Mais je trouve ça quand même
très frustrant que sous Linux il ne semble pas y avoir grand chose de
solide en la matière !
Jusque là, la seule chose qui me freinait vraiment c'était qu'une part
personne ne maitrise BSD ici et qu'autre part, OpenBSD en domU sur Xen3
apparemment c'est pas génial. Mais bon je vais me lancer on verra :)
En tout cas merci pour toutes ces réponses !
PS: Merci Chichi (enfin plus pour m'avoir montré la liste que pour le
message... :P)
--
Pierre "LiLo" Gaxatte
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
