Benoit Plessis a écrit :
Joel Ramat a écrit :
Bonjour,
Pour ma pars nous n'utilisons que du firewall applicatif ( netfilter
pour être exact ). Cela couvre l'ensemble de nos besoins actuels avec
une souplesse que l'on ne peut pas trouver sur des appliance
propriétaire.
Il est clairement pas possible aujourd'hui de disposer d'un modèle
actif/actif avec les solutions netfiter ( on parle de synchronisation
des états dans le cadre d'une bascule vers le fw slave ).
Je pense que la conférence suivante, datant des RMLL de cet été
peut-être intéressante,
car semblant invalider votre affirmation:
*
Titre :* Haute disponibilité de pare-feux statefull sous GNU/Linux
http://2008.rmll.info/Conference-Haute-disponibilite-de.html
Bonjour,
J'ai pris le temps de bien lire la présentation (pas encore eu le temps
de regarder la vidéo par contre).
C'est vrai qu'expliqué comme ça, ça parait tout simple :)
Slide 15 "Supported scenarios" : Je me demande comment ça se passe en
Multiprimary symétrique (en Dynamic comme il dit dans le PDF, si on doit
se taper la moitié de son réseau à configurer sur un nœuds comme
passerelle et l'autre moitié sur l'autre, ça perd un peu son intérêt...).
Un seul des deux nœuds possède l'IP virtuelle et elle bascule quand le
nœud tombe, non ?
Du coup, si c'est le cas, ça veut dire que si on veut que le deuxième
nœud s'occupe d'une partie du trafic, il faut faire une sorte de pivot
(comme sur les Checkpoint) : le nœud qui a l'adresse virtuelle (et qui
est donc la passerelle par défaut) renvoie une partie de son trafic à
l'autre nœud pour qu'il s'occupe de filtrer ?
Enfin bon, comme il dit slide 20, tout ça, ça demande encore pas mal de
doc donc il faut p'tet que je le contacte directement pour le savoir :)
--
Pierre "LiLo" Gaxatte
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
