Linux equivalente a pfsync + carpa para firewall / roteamento de failover

7

Atualmente estou usando uma caixa linux para manipular meu firewall / NAT usando iptables. Ele tem dois NICs, um link para um switch de LAN, um para nosso provedor de Internet de saída. Eu estou olhando para atualizar esta caixa para duas caixas para fins de redundância e adicionando um segundo provedor de Internet para a solução. Isso significa que eu preciso de quatro portas que acredito (corrija-me se estiver errado)

  1. Link de internet de saída 1
  2. Link de Internet de saída # 2
  3. porta LAN
  4. Cruzamento entre as duas caixas para fins de failover

Eu li carp + pfsync é uma boa solução. Isso é o que a maioria de vocês está usando atualmente? Existe uma solução equivalente no linux?

Quais são algumas sugestões de hot failover com facilidade de configuração a partir de hoje para uma configuração semelhante à acima?

    
por imaginative 12.10.2009 / 18:23

7 respostas

9

I've read carp+pfsync is a good solution. Is that currently what most of you are using?

Sim e sim:)

Como Instye observa, existem dois projetos públicos para o CARP no Linux. Mas como você notará, nenhum deles é particularmente ativo e não acredita que eles incluam o pfsync. O que é muito importante para a coisa toda.

Além disso, houve alguns grandes avanços no código PF e CARP apenas este ano. Qualquer porta, incluindo FreeBSD, geralmente fica atrás de recursos e correções de bugs.

Se a máquina atual não estiver executando nenhuma outra tarefa, recomendo que você simplesmente use o OpenBSD. A curva de aprendizado não será mais acentuada do que ter uma das portas funcionando. Eu não acho que você vai se arrepender.

    
por 17.10.2009 / 13:55
2

CARP está disponível no linux. Confira o projeto ucarp para uma implementação de espaço do usuário e aparentemente há um projeto portando-o para os kernels 2.6:

link

    
por 12.10.2009 / 20:23
1

A página da web que você provavelmente quer começar a olhar é linux-ha . Uma das ferramentas que eles oferecem é o programa de heartbeat que pode ser usado para reprovar servidores.

    
por 12.10.2009 / 18:27
1

ucarp e keepalive do linux-HA foram mencionados ... o elo perdido é, portanto, um equivalente linux do pfsync: bem, veja conntrackd em conntrack-tools

    
por 09.08.2012 / 11:58
1

Se você não está morto na sua distribuição linux, você pode procurar em vyatta, a edição da comunidade é livre link

    
por 12.10.2009 / 19:17
1

O equivalente do Linux seria usar as ferramentas conntrack para sincronizar o estado de rastreamento da conexão e, em seguida, o iptables, é claro. link

    
por 24.10.2013 / 19:51
0

Você também pode executar o OpenBSD em suas caixas e simplesmente usar o CARP + pf " fora da caixa ".

    
por 12.10.2009 / 21:40