{"id":66,"date":"2008-03-21T11:19:11","date_gmt":"2008-03-21T10:19:11","guid":{"rendered":"http:\/\/blog.guiguiabloc.fr\/?p=66"},"modified":"2008-03-21T11:19:11","modified_gmt":"2008-03-21T10:19:11","slug":"anatomie-dune-architecture-4","status":"publish","type":"post","link":"http:\/\/blog.guiguiabloc.fr\/index.php\/2008\/03\/21\/anatomie-dune-architecture-4\/","title":{"rendered":"Anatomie d’une architecture (4)"},"content":{"rendered":"

Conception d\u2019un Firewall Rouge en Haute-Disponiblit\u00e9 (2\u00e8me Partie)<\/strong><\/u><\/p>\n

Je consid\u00e8re que vos deux futures firewalls son pr\u00eat, sous OpenBSD et dispose au minimum de 3 cartes r\u00e9seaux.<\/p>\n

CARP est un protocole permettant \u00e0 un m\u00eame groupe d’h\u00f4tes de partager la m\u00eame adresse IP.<\/p>\n

Il supporte Ipv4 et Ipv6, mais personnellement, je bloque tout les flux ipv6 actuellement.<\/p>\n

NB : je vous invite si vous avez le temps \u00e0 lire l’Ipv6 Security Guide<\/a> de Juniper.<\/p>\n

Si vous avez activ\u00e9 PF (PacketFilter), n’oubliez pas d’autoriser le protocole CARP :<\/p>\n

pass out on $carp_dev proto carp keep state<\/tt><\/p>\n

Dans votre fichier \/etc\/sysctl.conf, ajouter les entr\u00e9es suivantes :<\/p>\n

net.inet.carp.preempt=1
\nnet.inet.carp.allow=1<\/p>\n

Pour les ins\u00e9rer \u00e0 chaud :<\/p>\n

# sysctl -w net.inet.carp.allow=1<\/p>\n

Maintenant sur chaque Firewall, nous allons cr\u00e9er l’interface CARP c\u00f4t\u00e9 rouge :<\/p>\n

# ifconfig carp0 create<\/tt><\/p>\n

Puis configurer l’interface (dans un fichier \u00e9galement hostname.carp0 pour qu’il soit effectif au reboot) :<\/p>\n

#ifconfig carp0 vhid 1 pass motdepasse carpdev sis0 <\/tt>advskew 1 192.168.0.1 netmask 255.255.255.0<\/tt><\/p>\n

Dans le fichier :<\/p>\n

inet 192.168.0.1 255.255.255.0 192.168.0.255 vhid 1 carpdev sis0 advskew 1 pass motdepasse<\/p>\n

Sur le deuxi\u00e8me Firewall, changer la valeur advskew de 1 \u00e0 100.<\/p>\n

Explications :<\/p>\n

VHID : C’est l’identifiant unique qui unit les deux interfaces du groupe de firewall.<\/p>\n

CARPDEV : l’interface sur laquelle monter le CARP<\/p>\n

ADVSKEW : Plus grand est ce nombre moins de chance cette interface \u00e0 d’\u00eatre le ma\u00eetre au d\u00e9marrage<\/p>\n

ADVBASE (optionnel): d\u00e9lai en seconde de v\u00e9rification de l’\u00e9tat des cartes (1 seconde par d\u00e9faut)<\/p>\n

Un petit ifconfig sur le ma\u00eetre (advskew = 1) :<\/p>\n

carp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
\nlladdr 00:00:5e:00:01:01
\ncarp: MASTER carpdev sis0 vhid 1 advbase 1 advskew 1
\ngroups: carp
\ninet6 fe80::200:5eff:fe00:101%carp0 prefixlen 64 scopeid 0x6
\ninet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255<\/p>\n

Sur l’esclave :<\/p>\n

carp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
\nlladdr 00:00:5e:00:01:01
\ncarp: BACKUP carpdev em0 vhid 1 advbase 1 advskew 100
\ngroups: carp
\ninet6 fe80::200:5eff:fe00:101%carp0 prefixlen 64 scopeid 0x6
\ninet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255<\/p>\n

Maintenant, d\u00e9brancher le cable r\u00e9seau , arreter le ou un ifconfig carp0 down sur le ma\u00eetre :<\/p>\n

# ifconfig carp0 down<\/p>\n

#ifconfig<\/p>\n

carp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
\nlladdr 00:00:5e:00:01:01
\ncarp: INIT carpdev sis0 vhid 1 advbase 1 advskew 1
\ngroups: carp
\ninet6 fe80::200:5eff:fe00:101%carp0 prefixlen 64 scopeid 0x6
\ninet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255<\/p>\n

Sur l’esclave, vous devriez voir l’interface CARP0 pass\u00e9e en MASTER en 1 seconde et si vous faites un test ping d’une autre machine sur le 192.168.0.1, vous ne devriez quasiment rien voir.<\/p>\n

Magique \ud83d\ude00<\/p>\n

Mais maintenant vous vous dites, \u00ab\u00a0oui mais si j’ai du trafic sur mon firewall-A ???\u00a0\u00bb et l\u00e0 je vous r\u00e9ponds \u00ab\u00a0pfsync\u00a0\u00bb.<\/p>\n

Pfsync permet de synchroniser les \u00e9tats firewalls entre les deux noeuds du cluster.<\/p>\n

Dans la cas d’un basculement, le trafic n’est pas interrompu.<\/p>\n

Comme pour CARP, nous autorisons PFSYNC dans nos r\u00e8gles PF :<\/p>\n

pass on $sync_if proto pfsync<\/tt><\/p>\n

Sur les deux firewalls, nous d\u00e9dions une interface r\u00e9seau \u00e0 pfsync (les deux FW reli\u00e9s par un cable crois\u00e9 par exemple) :<\/p>\n

# ifconfig pfsync0 syncdev sis2<\/pre>\n
# ifconfig pfsync0 up<\/pre>\n
PS: Cela marche aussi sur un lien s\u00e9rie \ud83d\ude09<\/p>\n
Par d\u00e9faut psync fait du multicast. Je vous conseille fortement d’utiliser l’attribut \u00ab\u00a0syncpeer x.x.x.x\u00a0\u00bb pour sp\u00e9cifier l’ip de l’autre Firewall :<\/p>\n
# ifconfig pfsync0 syncpeer 192.168.0.5 syncdev sis2<\/pre>\n
<\/pre>\n
Dans une politique de s\u00e9curit\u00e9 pouss\u00e9e, vous devriez utiliser IPsec<\/a> pour encapsuler les flux psync entre les deux firewalls.<\/p>\n
Et voila comment en quelques minutes, vous avez mont\u00e9e un Firewall en haute-disponibilit\u00e9 et enti\u00e8rement redondant.<\/p>\n
Vous ferez les m\u00eames manipulations c\u00f4t\u00e9s pattes Vertes afin d’avoir une HA cot\u00e9 LAN aussi :<\/p>\n
    +----|   WAN\/Internet |-------+\r\n         |                        |\r\n     sis0|                        |sis0\r\n      +-----+                  +-----+\r\n      | fw1 |-sis2--------sis2-| fw2 |\r\n      +-----+                  +-----+\r\n     sis1|                        |sis1\r\n         |                        |\r\n      ---+----------LAN-----------+---<\/pre>\n
<\/pre>\n
<\/pre>\n
Nous avons donc maintenant une VIP cot\u00e9 rouge en 192.168.0.1<\/p>\n
C’est sur cette IP que vous allez configur\u00e9r la Freebox en mode… DMZ.<\/p>\n
Tout ce qui arrivera sur votre Freebox en entr\u00e9e, sera redirig\u00e9 sur votre cluster de Firewall. Ce qui vous permettra de g\u00e9rer vos translations de port sans avoir \u00e0 rebooter la Freebox…  Ni vos Firewalls d’ailleurs, il est ab\u00e9rant de devoir rebooter un \u00e9quipement r\u00e9seau pour appliquer une r\u00e8gle r\u00e9seau.<\/p>\n
NB<\/u>: Vous pouvez \u00e9galement ne rediriger sur 192.168.0.1 que des plages de porst, l’avantage est de laisser la Freebox bloquer les ports \u00ab\u00a0pourris\u00a0\u00bb (135,139 etc…) et donc d’avoir un premier \u00e9tage Rouge de blocage.<\/p>\n
Ne vous reste plus qu’\u00e0 configurer votre \/etc\/pf.conf (le fichier de configuration de PacketFilter) :<\/p>\n
Lire PF pour les nuls<\/a><\/p>\n
Exemple de r\u00e8gle sur une interface CARP :<\/p>\n
pass in quick inet proto udp from any to carp1 port 123<\/p>\n
Je vous laisse peaufiner votre fichier de configuration PF afin de r\u00e9pondre au mieux \u00e0 vos propres r\u00e8gles firewall.<\/p>\n
A faire, ajouter une autre carte r\u00e9seau sur vos deux firewalls et monter une interface CARP2 Jaune pour votre DMZ \ud83d\ude00<\/p>\n
Petit exemple en dessin :<\/p>\n
\"Schema\"<\/a><\/p>\n
Prochaine \u00e9tape, monter le Firewall Vert qui contr\u00f4lera les flux inter-vlans et les sorties sur Internet.<\/p>\n","protected":false},"excerpt":{"rendered":"
Conception d\u2019un Firewall Rouge en Haute-Disponiblit\u00e9 (2\u00e8me Partie) Je consid\u00e8re que vos deux futures firewalls son pr\u00eat, sous OpenBSD et dispose au minimum de 3 cartes r\u00e9seaux. CARP est un protocole permettant \u00e0 un m\u00eame groupe d’h\u00f4tes de partager la … Read More →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[16,8],"tags":[],"_links":{"self":[{"href":"http:\/\/blog.guiguiabloc.fr\/index.php\/wp-json\/wp\/v2\/posts\/66"}],"collection":[{"href":"http:\/\/blog.guiguiabloc.fr\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/blog.guiguiabloc.fr\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/blog.guiguiabloc.fr\/index.php\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"http:\/\/blog.guiguiabloc.fr\/index.php\/wp-json\/wp\/v2\/comments?post=66"}],"version-history":[{"count":0,"href":"http:\/\/blog.guiguiabloc.fr\/index.php\/wp-json\/wp\/v2\/posts\/66\/revisions"}],"wp:attachment":[{"href":"http:\/\/blog.guiguiabloc.fr\/index.php\/wp-json\/wp\/v2\/media?parent=66"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/blog.guiguiabloc.fr\/index.php\/wp-json\/wp\/v2\/categories?post=66"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/blog.guiguiabloc.fr\/index.php\/wp-json\/wp\/v2\/tags?post=66"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}