Hallo zusammen!
Ich habe mich in den letzten Tagen mit pfsync beschäftigt um Redundanz für eine Firewall zu schaffen.
Mein Versuchsaufbau funktioniert auch ganz prima, momentan hab ich da eine current von Anfang Oktober laufen.
Allerdings macht pfsync ja nichts anderes als die state tables der Paketfilter zu synchronisieren. Mir graut es aber vor dem Szenario daß auf der Mastermaschine eine Regel geändert/hinzugefügt/wasauchimmer wird, das aber auf dem Backupsystem nicht passiert.
(Ich bin nicht der einzige der dort Regeln bearbeiten soll/darf und ich selber kann es ja auch mal vergessen
)
Wenn dann der Fehlerfall eintritt würde dann ja alles noch funktionieren, aber nicht so ich mir das vorstelle, sprich: mit dem alten Regelsatz
Meine Idee war es erst die pf.conf mit einem kleinen Script zu kopieren und dann die Regeln neu laden zu lassen. Allerdings stellt sich dann das Problem, daß meine Interfaces anders heißen weil die Hardware nicht unbedingt identisch ist und die Makros im Regelsatz keinen wirklichen Sinn ergeben würden...
Hatte dieses Problem vielleicht schon mal jemand und ich war einfach zu blind beim suchen?
Schon mal Danke und viele Grüße!
Ich habe mich in den letzten Tagen mit pfsync beschäftigt um Redundanz für eine Firewall zu schaffen.
Mein Versuchsaufbau funktioniert auch ganz prima, momentan hab ich da eine current von Anfang Oktober laufen.
Allerdings macht pfsync ja nichts anderes als die state tables der Paketfilter zu synchronisieren. Mir graut es aber vor dem Szenario daß auf der Mastermaschine eine Regel geändert/hinzugefügt/wasauchimmer wird, das aber auf dem Backupsystem nicht passiert.
(Ich bin nicht der einzige der dort Regeln bearbeiten soll/darf und ich selber kann es ja auch mal vergessen
)Wenn dann der Fehlerfall eintritt würde dann ja alles noch funktionieren, aber nicht so ich mir das vorstelle, sprich: mit dem alten Regelsatz
Meine Idee war es erst die pf.conf mit einem kleinen Script zu kopieren und dann die Regeln neu laden zu lassen. Allerdings stellt sich dann das Problem, daß meine Interfaces anders heißen weil die Hardware nicht unbedingt identisch ist und die Makros im Regelsatz keinen wirklichen Sinn ergeben würden...
Hatte dieses Problem vielleicht schon mal jemand und ich war einfach zu blind beim suchen?
Schon mal Danke und viele Grüße!
)sollte das ja kein großes Ding sein.