OpenBSD Failover firewall
Добавлено: 2011-12-26 10:14:36
Здрасте.
Есть два OpenBSD 4.9 в отказоустойчивом кластере. CARP + PF + pfsync. По бедности решил не пихать кучу сетевок для всех подсетей, а перевести интерфейс в режим транка и навешать кучу вланов (да и масштабируемость в этом случае лучше). Все работает, но! - если указывать в правилах интерфейс - блокируется весь трафик.
Т.е.
pass proto tcp from $lan_net to ! <rfc1918> port 80 - работает.
pass in on vlan25 from $lan_net to ! <rfc1918> port 80 - не работает.
pass in on carp25 from $lan_net to ! <rfc1918> port 80 - то же не работает (хотя и не должно).
Многие могут посоветовать забить, ведь антиспуфинг включен, но в такое случае нельзя заюзать ftp-proxy, т.к. правила трансляции обязательно требуют указать интерфейс.
Конфиги:
hostname.vlan25
hostname.carp25
ifconfig vlan25
ifconfig carp25
Кто нибудь сталкивался с такой бедой?
Есть два OpenBSD 4.9 в отказоустойчивом кластере. CARP + PF + pfsync. По бедности решил не пихать кучу сетевок для всех подсетей, а перевести интерфейс в режим транка и навешать кучу вланов (да и масштабируемость в этом случае лучше). Все работает, но! - если указывать в правилах интерфейс - блокируется весь трафик.
Т.е.
pass proto tcp from $lan_net to ! <rfc1918> port 80 - работает.
pass in on vlan25 from $lan_net to ! <rfc1918> port 80 - не работает.
pass in on carp25 from $lan_net to ! <rfc1918> port 80 - то же не работает (хотя и не должно).
Многие могут посоветовать забить, ведь антиспуфинг включен, но в такое случае нельзя заюзать ftp-proxy, т.к. правила трансляции обязательно требуют указать интерфейс.
Конфиги:
hostname.vlan25
Код: Выделить всё
192.168.25.253 vlan 25 vlandev re1
!/usr/sbin/dhcrelay -i vlan25 192.168.24.1
Код: Выделить всё
inet 192.168.25.1 255.255.255.0 NONE vhid 25 pass SECRET carpdev vlan25
Код: Выделить всё
vlan25: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
lladdr 0c:09:08:05:0f:09
priority: 0
vlan: 25 priority: 0 parent interface: re1
groups: vlan
status: active
inet6 fe80::5ed9:98ff:fef5:5fc9%vlan25 prefixlen 64 scopeid 0x6
inet 192.168.25.253 netmask 0xffffff00 broadcast 192.168.25.255
Код: Выделить всё
carp25: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
lladdr 00:00:0e:00:01:0f
priority: 0
carp: MASTER carpdev vlan25 vhid 25 advbase 1 advskew 0
groups: carp
status: master
inet6 fe80::200:5eff:fe00:10f%carp25 prefixlen 64 scopeid 0xc
inet 192.168.25.1 netmask 0xffffff00 broadcast 192.168.25.255
Кто нибудь сталкивался с такой бедой?