Redundancia entre dois Firewalls

leojb
(usa Ubuntu)

Enviado em 19/06/2024 - 12:05h

Tenho um servidor Firewall Linux com regras de Iptables / VLANs / Squid proxy

Gostaria de saber se é possivel e como fazer um redundancia com um outro servidor, ou se for possivel um load balance dessa mesma forma usando esse segundo servidor!!!

danniel-lara
(usa Fedora)

Enviado em 19/06/2024 - 13:38h

sim é possivel sim
usando as ferramentas keepalive , haproxy, ter as mesmas vlans configuradas , e sincronizar com rsync as regras de firewall

leojb
(usa Ubuntu)

Enviado em 19/06/2024 - 16:54h

Muito obrigado por responder Daniel!!!

Tem algum link ou exemplo pra mim tendo uma noção de onde começar?

Buckminster
(usa Debian)

Enviado em 09/09/2024 - 16:00h

https://sierti.com.br/ajuda/como-utilizar-o-rsync-ferramenta-para-sincronizacao-de-dados

https://www.ibm.com/docs/pt-br/sig-and-i/10.0.2?topic=tuning-configuring-tcp-keepalive-settings

https://www.haproxy.org/

https://upcloud.com/resources/tutorials/haproxy-load-balancer-ubuntu

Basicamente, pode usar o rsync para sincronizar os arquivos de configurações, daí quando altera em um altera no outro.
Lembrando que, para redundância, é aconselhável (senão exigido) que os hardwares das máquinas sejam iguais.
Sendo iguais os hardwares, pode clonar o sistema inteiro de um servidor e depois manter sincronizado com o rsync.
O balanceamento de carga pode fazer com haproxy.


_________________________________________________________
Always listen the Buck!
Enquanto o cursor estiver pulsando, há vida!

hunter2800aa
(usa Debian)

Enviado em 09/09/2024 - 16:44h

Boa tarde galera,

Fiz um teste apenas com o keepalived em dois servidores (sem usar o HAProxy) funcionou de boas quando eu paro um squid no servidor MASTER o squid do BACKUP assume...

O que eu tenho de duvida é:

1) O keepalived pode deixar mais lento em uma rede com mais de 100 usuarios?
2) Preciso msm usar o HAProxy?
3) Usando esses mesmos servidores com navegação por fora do proxy (em algumas maquinas) tambem da pra fazer assumir o de Backup incluindo o DHCP?

Agradeço desde já aos feras do forum!!!!

amarildosertorio
(usa Fedora)

Enviado em 09/09/2024 - 16:47h

Em um cenário de balanceamento onde pacotes de uma mesma conexão podem ser processados por diferentes firewalls, há o risco de interrupção da conexão ou descartes de pacotes. Isso acontece porque, quando um pacote de resposta é roteado para um firewall diferente daquele que iniciou o rastreamento da conexão, esse firewall não terá informações sobre o estado da conexão original, o que resulta na impossibilidade de encaminhar corretamente a resposta.

Para evitar esse tipo de problema, o ideal seria adotar um esquema de Alta Disponibilidade (HA) com Active/Passive, onde um firewall primário gerencia todo o tráfego e, em caso de falha, o firewall secundário assume automaticamente, mantendo a integridade das conexões.

amarildosertorio
(usa Fedora)

Enviado em 09/09/2024 - 16:55h

Para garantir alta disponibilidade (HA) em um firewall baseado em iptables, é possível configurar um ambiente utilizando Corosync e Pacemaker. Essa combinação permite criar um cluster de failover automático, onde, em caso de falha do nó principal, o nó secundário assume automaticamente as funções de firewall, garantindo a continuidade do serviço sem interrupções significativas.

Corosync: Responsável pela comunicação entre os nós do cluster e pelo gerenciamento de quorum, garantindo que os nós estejam cientes do status uns dos outros.

Pacemaker: Gerencia os recursos do cluster, como o IP Virtual (VIP) e as regras de firewall, orquestrando o failover de maneira automática.

amarildosertorio
(usa Fedora)

Enviado em 09/09/2024 - 17:16h

Estou pesquisando aqui sobre o estado de conexão, e como o iptables é um firewall stateful, a replicação do estado das conexões entre os nós pode ser crucial para evitar interrupções nas conexões ativas durante um failover. Sem essa replicação, quando ocorre a troca de um nó para outro, as sessões em andamento podem ser perdidas, resultando em falhas de comunicação.

Carlos_Cunha
(usa Linux Mint)

Enviado em 09/09/2024 - 17:27h

No caso teria que replicar a "conntrack", fazendo isso o Firewall B saberia sobre as conexões e haveria bem poucas perdas de conexões/pacotes quando houve troca entre A para B por exemplo.....


#-------------------------------------------------------------------------------------#
"Falar é fácil, me mostre o código." - Linus Torvalds
#-------------------------------------------------------------------------------------#

amarildosertorio
(usa Fedora)

Enviado em 09/09/2024 - 17:44h

Isso mesmo. A ferramenta conntrackd é amplamente discutida pela comunidade.

conntrackd provides a userspace daemon for the netfilter connection tracking system. This daemon synchronizes connection tracking states among several replica firewalls. Thus, conntrackd can be used to implement highly available stateful firewalls. The daemon fully supports Primary-Backup and Multiprimary setups for both symmetric and asymmetric paths. It can also be used as statistics collector. 

amarildosertorio
(usa Fedora)

Enviado em 09/09/2024 - 17:58h

Prova de Conceito com Keepalived e conntrackd

https://satishdotpatel.github.io/ha-with-keepalived-and-conntrackd/

hunter2800aa
(usa Debian)

Enviado em 10/09/2024 - 08:33h

Muito obrigado pela resposta amarildosertorio.....
seria exatamente dessa forma que quero proceder!!!!