Redundante Firewalls mit OpenBSD's pfsync und CARP

dhartmei

New Member
OpenBSD Entwickler Ryan McBride beschreibt in seinem Artikel 'Firewall Failover with pfsync and CARP' http://www.countersiege.com/doc/pfsync-carp/ die neuen Firewall Features im neuen OpenBSD 3.5 Release (CDs koennen ab sofort vorbestellt werden, Auslieferung 1. Mai).

CARP (Common Address Redundancy Protocol) ist eine patentfreie Alternative zu Cisco's VRRP, und regelt die Wahl von Knoten in Firewall-Clustern, waehrend pfsync die Zustandsinformationen von gefilterten Verbindungen zwischen den Knoten synchronisiert.

Damit koennen single-point-of-failure Firewalls durch redundante Cluster ersetzt werden, die bei Ausfall einzelner Knoten bestehende und neue Verbindungen unterbruchsfrei filtern. Weitere Funktionen wie arpbalance erlauben, eine IP Adresse (und damit Last) auf mehrere Server zu verteilen.
 
darauf habe ich schon lange gewartet - mit current hab'sch schon mal bissel getestet - und es funzt :-)

eine failover lösung habe ich bis jetzt mit stp gebastelt - da ging halt kein load balancing.

ich freu mich schon auf das neue stable ;-)

allen entwicklern sei an dieser stelle einmal dank ausgesprochen - mit solchen features ist die wahrscheinlichkeit der weiterverbreitung natürlich auch weitaus höher...
 
Wie stehtt es eigentlich mit der Integration von ifstated aus? Das fehlt in seinem HOWTO, passt doch aber wunderbar in das System.
 
hi,

ifstated ist im source-tree, wird aber 'by default' noch nicht
gebaut.
Wer's "wirklich braucht" und versteht, was da 'abgeht', kann das
auch selber schlicht compilen und einsetzen.

Ist fuer 3.5 leider nicht ganz fertig geworden. Irgendwas muessen
wir in 3.6 doch noch drauf setzen koennen :)))

HTH
 
Back
Top