PfSense Cluster

1,336 views

Published on

Realizzazione di un firewall in cluster ad alta disponibilità con PfSense

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,336
On SlideShare
0
From Embeds
0
Number of Embeds
13
Actions
Shares
0
Downloads
38
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

PfSense Cluster

  1. 1. Si è rotto il firewall... ...e adesso?!?!Realizzazione di un firewall in cluster ad alta disponibilità con PfSenseF. M. Taurino (CNR/SPIN) – R. Esposito, G. Tortone (INFN Napoli) WS INFN Sicurezza Informatica – Bologna, 16-17 marzo 2010
  2. 2. Perché● La maggior parte dei client è (o sta per essere inserito) in reti private (192.168, 172.16, 10.)● Applicazioni “inutili” senza la presenza della Rete (posta imap, storage remoto, calcolo su cluster/grid)● Per “sicurezza” si intende anche la garanzia di raggiungibilità delle proprie risorse● Non vogliamo che i nostri utenti subiscano disservizi (e vengano poi da noi a lamentarsi...)
  3. 3. PfSense● Sistema open source basato su FreeBSD 7.x e firewall stateful PF● Distribuzione compatta, con installazione su hd/cf sotto i 200 megabyte ed eseguibile anche da live cd● Configurazione semplificata web based mutuata dal progetto M0n0wall● Funzioni avanzate e supporto a pacchetti aggiuntivi (captive portal, ntop, dual wan, etc)
  4. 4. Alta disponibilità● Fra le caratteristiche salienti di PfSense ce il supporto al CARP (Common Address Redundancy Protocol), grazie al quale è possibile realizzare un cluster active/passive di firewall. Cluster di maggiori dimensioni oppure active/active sono allo studio● Il server primario sincronizza lo stato delle tabelle di PF in tempo reale con il server secondario (pfsync)● In caso di malfunzionamenti, il secondario acquisisce gli indirizzi ip interni ed esterni del primario senza nessuna interruzione del traffico di rete dei client
  5. 5. Occorrente● Due server di marca (ma anche no...)● Potenza q.b. ai vostri client● Con almeno 3 schede di rete ciascuno (lan, wan, sincronizzazione)● Preferibilmente doppio alimentatore, hd in raid 1, supporto al controllo remoto tipo IPMI, Drac, Ilo (per i palati fini...)● Percorso di rete ridondato verso il router (2 switch e qualche cavo...)
  6. 6. Struttura
  7. 7. Installazione e configurazione● Inserire il cd● Avanti, avanti, avanti....● Screenshot e istruzioni assenti per decenza...● Assegnazione ip alle schede LAN, WAN fisiche via testo● Firefox su https://ip_scheda_lan
  8. 8. Cambiamo il tema...Il tema pfsense_ng è più semplice (smoo...)
  9. 9. Verifica e configurazione interfacce
  10. 10. Definizione alias Etichette mnemoniche per host e network dautilizzare nella definizione delle regole del firewall
  11. 11. Regole avanzate di NATting E possibile definire regole per cui pacchetti provenienti da network 172.16.x destinati anetwork pubbliche interne non vengono nattati(client privati e server pubblici sulla stessa rete fisica)NB: in questo caso occorre configurare anche il router
  12. 12. CARP e sincronizzazioneOltre a sincronizzare lo stato delle tabelle di PF, PfSense è in grado di sincronizzare anche la configurazione di alias, regole di firewall e NAT (via XML-RPC), attraverso una interfacciadedicata (OPT1, con regole di fw MOLTO open).
  13. 13. IP virtuali Lindirizzo IP privato da dare come gateway ai client è virtuale ed assegnato ad una scheda“CARP”. Lo stesso è per lindirizzo IP pubblico con cui questi accedono ad Internet. Bisogna impostare a “0” lID degli ip virtuali delserver master (e in automatico verranno impostati a +100 sullo slave). Vanno cambiate le regole di firewall e NAT per gestire i nuovi indirizzi.
  14. 14. Sul firewall secondario● Installare● Configurare LAN, WAN e OPT1● Abilitare il sync● Attendere qualche secondo e verificare se le impostazioni sono state importate (le password sono le stesse?)● Dal primario verificare lo stato del CARP
  15. 15. Prove sul campo● Con un pc con gateway impostato sullIP CARP LAN, una sessione ssh aperta su server esterno alla rete locale ed un trasferimento di una grossa iso dal garr....● ...power off del server primario attraverso la ILO● ....e dopo un paio di secondi di “pausa” si riprende a lavorare come se nulla fosse accaduto!
  16. 16. Inoltre● PfSense viene utilizzato a Napoli anche come captive portal per la rete wireless e wired degli studenti e come natter per dot1x (su macchina virtuale su host Vmware Esxi)● Il pacchetto ntop, installabile dallinterfaccia web, si è dimostrato molto utile in più occasioni (top speakers?)● Si può tirare su un server OpenVPN o IPSec con pochi clic del mouse...

×