Discussion :

[el_gecko]

Bonjour à tous !

Mon projet est de mettre en place un Firewall matériel (tournant sous OpenBSD 4.0 et opérant avec Packet filter) à l'entrée d'un réseau d'entreprise, qui devra faire de la répartition de flux (ou load balancing) entre les deux fournisseurs d'accès :
- Free pour tout ce qui concerne le VPN
- Wanadoo pour le reste (ssh, www, smtp, pop imap)
Si la connexion Wanadoo tombe, il faut que tout bascule vers la connexion Free (mais pas l'inverse).

La partie Firewall est déjà en place et fonctionnelle.

En ce qui concerne la répartition de flux, il me faudra sans doute :
- un script évaluant l'état du réseau
- deux fichiers de configuration pour Packet Filter (pf.conf), un pour chaque situation (le cas où tout va bien et le cas où tout bascule sur Free).

Pourriez-vous m'aiguiller quant à la marche à suivre et aux règles à appliquer dans chaque cas ? J'ai du mal à trouver des informations sur le net car on parle plus souvent de load balancing entre plusieurs serveurs...

Merci d'avance !

Edit: je rajoute que je ne suis pas un expert en Linux, je me débrouille juste ! Tenez-en compte dans vos réponses

[julp]

Bien que vous cherchiez à faire quelque chose d'avancé, la documentation de Packet Filter aborde succintement ce point. Mais vous aviez peut être déjà trouvé de vous-mêmes cette documentation. Une recherche avec route-to et round-robin vous en apprendra peut être plus.


Julp.

[gorgonite]

Ce lien...
http://www.inetdaemon.com/columns/as...alancing.shtml

[el_gecko]

Ok, merci pour votre aide, dans le lot il y a un document qui traite de la gestion des flux sortants. J'aurai sans doute à revenir vers vous rapidement, j'espère que vous ne m'en voudrez pas !

@++

[el_gecko]

Hello !
Comme prévu, voici la suite de mes aventures

J'ai donc désormais deux fichiers de configuration, pf1.conf et pf2.conf

Ils ont tous les deux le même contenu, mis à part les règles de load balancing.


Code commun au deux fichiers de conf :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
 
##########################
# Adresses et interfaces #
##########################
#
#
# local area network
lan_if = "xl0"
lan_net = "x.x.x.x/24"
#
#
# public network 1 : Free
ext_if1 = "vr0"
ext_gw1 = "y.y.y.y"
#
#
# public network 2 : Wanadoo
ext_if2 = "dc0"
ext_gw2 = "z.z.z.z"
#
#
# Internet port list
web_ports = "{ pop3, imap, imaps, pop3s, www, ssh, ftp, sftp }"
#
#
# VPN port list (OpenVPN : udp port 5000) (Isakmpd : udp port 500)
vpn = "{ 5000, 500 }"
#
#
#################
# Regles de NAT #
#################
#
#
# nat outgoing connections on each internet interface
nat on $ext_if1 from $lan_net to any -> $ext_if1
nat on $ext_if2 from $lan_net to any -> $ext_if2
#
#
##################
# Regles d'acces #
##################
#
#
# default deny
block in  from any to any
block out from any to any
#
#
# pass all outgoing packets on internal interface
pass out on $lan_if from any to $lan_net
#
#
# pass in quick on $lan_if any packets destined for the gateway itself
pass in quick on $lan_if from $lan_net to $lan_if
#
#
# general pass out rules for external interfaces
pass out on $ext_if1 proto tcp from any to any flags S/SA modulate state
pass out on $ext_if1 proto { udp, icmp } from any to any keep state
pass out on $ext_if2 proto tcp from any to any flags S/SA modulate state
pass out on $ext_if2 proto { udp, icmp } from any to any keep state

Code spécifique à pf1.conf :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
 
############################################
# Regles de routage AVEC partage de charge #
############################################
#
#
# route packets from any IPs on $ext_if1 to $ext_gw1 and the same for $ext_if2 and $ext_gw2
pass out on $ext_if1 route-to ($ext_if2 $ext_gw2) from $ext_if2 to any
pass out on $ext_if2 route-to ($ext_if1 $ext_gw1) from $ext_if1 to any
#
#
# routage des connexions VPN sur $ext_if1
pass in on $lan_if route-to ($ext_if1 $ext_gw1) proto udp from $lan_net to any port $vpn keep state
#
#
# routage des connexions Internet sur $ext_if2
pass in on $lan_if route-to ($ext_if2 $ext_gw2) proto { tcp, udp } from $lan_net to any port $web_ports keep state

Code spécifique à pf2.conf :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
 
############################################
# Regles de routage SANS partage de charge #
############################################
#
#
# routage des connexions VPN et Internet sur $ext_if1
pass in on $lan_if route-to ($ext_if1 $ext_gw1) proto udp from $lan_net to any port $vpn keep state
pass in on $lan_if route-to ($ext_if1 $ext_gw1) proto { tcp, udp } from $lan_net to any port $web_ports keep state

Mes questions sont les suivantes :

1. Pensez-vous que ces deux fichiers de conf sont corrects ?

2. Je souhaiterais avoir un script qui me permette de switcher entre les deux fichiers de conf suivant l'état des deux connexions. Comment pourrais-je procéder ? A quoi ressemblerait-il ?

Merci d'avance pour votre aide,

[el_gecko]

Si vous avez besoin de plus de précisions pour pouvoir vous pencher sur mon problème... je dois pouvoir vous aider