1 / 17

Conntrackd

Conntrackd. Déploiement d’un pare-feu haute disponibilité. Notions préliminaires (rappel). Netfilter framework (part feu noyau linux) Souvent confondu avec iptables Intégré en mars 2000 (2.3) Bien documenté Bien structuré et pensé ! Système de «  hooks  »

randi
Download Presentation

Conntrackd

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Conntrackd Déploiement d’un pare-feu haute disponibilité

  2. Notions préliminaires (rappel) • Netfilterframework (part feu noyau linux) • Souvent confondu avec iptables • Intégré en mars 2000 (2.3) • Bien documenté • Bien structuré et pensé ! • Système de « hooks » • Fonctions de callback référençables sur les « hooks » • Permet le développement aisé de modules

  3. Notions préliminaires • Plus de précision sur les hooks

  4. Notions préliminaires • Stateful vs Stateless • Intérêt d’être Stateful • Granularité accrue • Performances accrues • Protocol helpers possible (L7) • Nombreuses possibilités offertes • Module de connectiontracking de netfilter

  5. Notions préliminaires • Module de connectiontracking de NF • Informations mémorisées • 4 Etats de connexion : • New • Established • Related • Invalid • Utilise des fonction de callback

  6. Conntrack-tools • Userspacetools • Conntrack • Conntrackd • HA • Statistiques • Repose sur libnetfilter_conntrack

  7. Architecture à 1 Firewall Single point of failure !

  8. 2 Firewall valent mieux qu’un ! Problème : Comment faire pour que le trafic utilise l’un ou l’autre des firewall ? Autre formulation : On souhaite que le trafic passe toujours par un firewall qui marche; la transition doit être rapide et sans intervention.

  9. Failover • Plusieurs Protocoles : • VRRP • RFC 3768 • IP et @MAC virtuelles (00-00-5E-00-01-XX) • Priorité de 0 à 254 • CARP (openBSD) • Pas de RFC • IP protocol 112 (choisit de force !) • …

  10. 2 Firewall avec VRRP! L’adresse IP virtuelle 10.0.0.254 est partagée par les deux firewall sur le lan A. L’adresse IP virtuelle 10.0.1.254 est partagée par les deux firewall sur le lan B.

  11. Ou en sommes nous ? • Failover mis en place • Si un firewall tombe, un second est là… • Et la table d’états dans tout ça ? • Perdue car pas de synchronisation • Qu’elle est le problème ? • Règles de part feu « stateful » • NAT • Helpers…

  12. 2 Firewall en HA (conntrackd + VRRP) Apparition d’un lien de synchronisation Possibilité d’avoir plus de 2 firewall Pour le moment Actif/Passif Implémentation d’un mode Actif/Actif avec équilibrage de charge prévu…

  13. Fonctionnement de conntrackd • Mises à jour envoyés en multicast • 3 protocoles de synchronisation (au choix) • No track (best effort) • Ft-fw • Alarm

  14. Autres solutions • Nombreuses solutions commerciales (checkpoint, juniper, arkoon, cisco, sonicwall…) • Dans le monde BSD : pfsync + CARP

  15. Démonstration

  16. Des questions ?

  17. Merci de votre attention

More Related