2008/8/28 Pierre Gaxatte <[EMAIL PROTECTED]> > Bonjour, > > Etant nouveau sur la liste, je vais (très brièvement) me présenter : > Pierre, ingénieur réseaux et systèmes. > > Je me tourne vers vous pour une petite (enfin grosse) question :) > > Nous prévoyons en ce moment de changer nos vieux PIX en Failover pour une > solutoin de firewalls en actif/actif. On était parti à la base sur des ASA > et finalement j'ai réussi à convaincre mes collègues de tenter l'expérience > Netfilter avant de se décider (rapport qualité prix incomparable, surtout > niveau prix :)). > > Voilà donc mon problème, je cherche depuis quelques temps une solution pour > mettre deux firewalls avec Netfilter en actif/actif et j'avoue que je m'y > perd un peu (VRRP avec conntrack, CARP avec ucarp, keepalived, > heartbeat,...). A part pour heartbeat que je connais déjà pas mal, j'ai du > mal à réunir de la documentation et à peser le pour et le contre de tout ce > qui peut se faire.
Il ne me semble pas que VRRP supporte IPv6 contrairement à carp, donc selon ton besoin, ça peut être décisif. > > > A vrai dire les documentations n'ont pas l'air de faire légion dans le > domaine (ou alors il va me falloir une formation Google...). > > De plus n'étant pas du tout familier avec les *BSD, je ne compte pas me > diriger sur cette voie : je préfère pour l'instant rester sur un système que > je connais bien, surtout pour des firewalls ! C'est un choix, mais j'ai sauté le pas car c'est assez facile de monter un openBSD pour ça. Je viens juste de maqueter deux openbsd qui font du 802.1q, tu utilises carp sur tes interfaces vlan, puis pfsync pour le maintiens des sessions quand l'un ou l'autre tombe (et ça c'est top car totalement transparent même au niveau des sessions utilisateurs lorsqu'un équipement tombe) Pour ce que j'ai testé CARP, je trouve ça vraiment très performant, (aucune perte de paquet, presque pas de latence de convergence (bcp moins d'une seconde) Ajouté à celà, ceux qui utiliseront la solution ne sont pas plus familier avec netfilter qu'avec packetfilter, donc l'apprentissage de pf me semble bien plus simple et lisible que netfilter. > > > Donc voilà, si quelqu'un avait une petite piste/un avis là dessus, je > serais très content de l'entendre :) Sache d'abord que tu as tout à fait raison de te tourner vers une solution de ce genre :) Après il y a des surcouches graphiques pour gérer ça si tes collegues sont hermétiques à l'édition de fichier de conf. L'avantage aussi c'est que tu peux faire des tables et ne recharger qu'une table, ainsi tu peux recharger en journée sans perturber de la prod ou des partenaires non incriminés par ta manip. > > -- > Pierre "LiLo" Gaxatte > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > -- Steven Le Roux Jabber-ID : [EMAIL PROTECTED] 0x39494CCB <[EMAIL PROTECTED]> 2FF7 226B 552E 4709 03F0 6281 72D7 A010 3949 4CCB
