170 likes | 301 Views
Conntrackd. Déploiement d’un pare-feu haute disponibilité. Notions préliminaires (rappel). Netfilter framework (part feu noyau linux) Souvent confondu avec iptables Intégré en mars 2000 (2.3) Bien documenté Bien structuré et pensé ! Système de « hooks »
E N D
Conntrackd Déploiement d’un pare-feu haute disponibilité
Notions préliminaires (rappel) • Netfilterframework (part feu noyau linux) • Souvent confondu avec iptables • Intégré en mars 2000 (2.3) • Bien documenté • Bien structuré et pensé ! • Système de « hooks » • Fonctions de callback référençables sur les « hooks » • Permet le développement aisé de modules
Notions préliminaires • Plus de précision sur les hooks
Notions préliminaires • Stateful vs Stateless • Intérêt d’être Stateful • Granularité accrue • Performances accrues • Protocol helpers possible (L7) • Nombreuses possibilités offertes • Module de connectiontracking de netfilter
Notions préliminaires • Module de connectiontracking de NF • Informations mémorisées • 4 Etats de connexion : • New • Established • Related • Invalid • Utilise des fonction de callback
Conntrack-tools • Userspacetools • Conntrack • Conntrackd • HA • Statistiques • Repose sur libnetfilter_conntrack
Architecture à 1 Firewall Single point of failure !
2 Firewall valent mieux qu’un ! Problème : Comment faire pour que le trafic utilise l’un ou l’autre des firewall ? Autre formulation : On souhaite que le trafic passe toujours par un firewall qui marche; la transition doit être rapide et sans intervention.
Failover • Plusieurs Protocoles : • VRRP • RFC 3768 • IP et @MAC virtuelles (00-00-5E-00-01-XX) • Priorité de 0 à 254 • CARP (openBSD) • Pas de RFC • IP protocol 112 (choisit de force !) • …
2 Firewall avec VRRP! L’adresse IP virtuelle 10.0.0.254 est partagée par les deux firewall sur le lan A. L’adresse IP virtuelle 10.0.1.254 est partagée par les deux firewall sur le lan B.
Ou en sommes nous ? • Failover mis en place • Si un firewall tombe, un second est là… • Et la table d’états dans tout ça ? • Perdue car pas de synchronisation • Qu’elle est le problème ? • Règles de part feu « stateful » • NAT • Helpers…
2 Firewall en HA (conntrackd + VRRP) Apparition d’un lien de synchronisation Possibilité d’avoir plus de 2 firewall Pour le moment Actif/Passif Implémentation d’un mode Actif/Actif avec équilibrage de charge prévu…
Fonctionnement de conntrackd • Mises à jour envoyés en multicast • 3 protocoles de synchronisation (au choix) • No track (best effort) • Ft-fw • Alarm
Autres solutions • Nombreuses solutions commerciales (checkpoint, juniper, arkoon, cisco, sonicwall…) • Dans le monde BSD : pfsync + CARP