Názory k článku Firewall pfSense: VPN IPSec tunely a HA režim
-
risototh (neregistrovaný)
Nejaka rada d zivota, ako urobit s PF (pfsense) firewall load balancing? Teda nie HA, ale ze si firewally budu delit vykon? HA je v tomto pripade nieco ako vedlajsi produkt, teda ked jeden z FW zhasne, tak ostatne si tu prevadzku opat prerozdelia. Aby to bolo este o kusocek zlozitejsie, firewally musia byt konfigurovane ako bridging firewall, teda transparentne.
Zatial mam riesenie iba ako firewall load balancing pomocou Cisco 6509 s dvoma kartami ACE30, ktore este nemame a keby sa ich kupe dalo vyhnut, tak by to bolo super.
Ak by niekoho zaujimal dovod, tak je to kvoli priepustnosti (idealne 10Gb), ktoru takto rozlozime dajme tomu medzi tri servery a vieme skalovat, a samozrejme HA.Este otazocka, co sa tyka pfsense. Keby som kupil tu ich XG-2758, je moznost tam cas konfigu naskriptovat? Konkretne by stacilo menit tabulky (zoznamy IP), zistovat stavy pocitadiel, a pridavat/uberat nejake pravidla z nejakeho anchoru.
Za konstruktivne odpovede vopred dakujem.
-
Lukáš MalýZlatý podporovatelPfSense ma v sobe integrovan Load Ballancer. Presneji v menu Services / Load Balancer / Pools. Zatim jsem LB nepouzil pro nejake produkcni reseni. Treba si neco vyzkousim a bude tomu venovan jeden dil. Co a jak je tam udelano.
Co se scriptovani tyce, tak Vas zklamu. Nevim o tom ze by se v pfSense dalo to co pozadujete naskryptovat.
-
risototh (neregistrovaný)
Pozrel som si to, ale ten load balancing sa tyka cohosi ineho. Konkretnejsie napriklad web load balancing, alebo multiple wan if load balancing. Problem je, ze ked sa nad tym tak zamyslim, tak to predsa nemoze byt riesene na PFku, pretoze ten traffic co sa ma podelit, sa musi podelit este pred pf-kom. Skor to bola otazka, ci nieco niekto take neriesil uz na Ciscu, v spojeni s PFkom...
A skriptovanie som nemyslel priamo v pfsense, ale ci je tam taka moznost, spustat dajme tomu cronom shellove scripty, a ze by mal pfsense vytvorene nejake perzistentne tabulky, ktore by som dokazal potom tym shellom updatovat.
Zatial mi to pride, ze pfsense je len UI k pf, ktore ma v tomto specifickom pripade viac zvazuje, nez by mi pomahalo, ale asi sa na to aj tak pozriem blizsie, pretoze pre niektorych kolegov je UI viac privetive a asi aj pochopitelnejsie, nez cli interfejs a konfigy... :D
Neviem ako velmi ovladate pf, ale este jedna otazocka. Predstavte si situaciu, ze mam nejakeho "zakaznika", ktory sa rozhodol vytazit linku. V principe mi to nevadi, ale mame iste pravidla a tie pravidla sa tykaju poctu prenesenych bajtov za tyzden. Ak tento limit prekroci, tak nechcem ho useknut nadobro, ako to mam riesene teraz, ale "prehodit ho" do shape queue. Toto zabezpecit viem, ale zjavne nie pre existujuce spojenia. Samozrejme, ked killnem vsetky states, tak to fungovat bude, lebo nove sa vytvoria uz v danej queue. Rovnaky problem je cestou spat, teda zo shape queue do "ne-shape" queue... Nejaky napad? Alebo da sa to nejako?
Inak som rad, ze tu zacali vychadzat aj nejake clanky o BSD a PF. Konecne nieco nie tak jednostrane zamerane na linux :) Ja a kolegovci BSD pouzivame asi 12 rokov a popravde, sme s nim velmi spokojny asi na tridsiatke serverov (a za tu dobu sa pocet linuxov v serverovni znizil na 0 :D)... To samozrejme nema byt ziadny flame ale trolling. Len hole konstatovanie.
-
Lukáš MalýZlatý podporovatel
Moznost nahrat nejaky vlastni script mozne je. Ale je otazkou zda bude mit user opravneni atd. Ja mel na mysli nejake scriptovani v kontextu s WebGUI. Reset states asi mozny bude. Okrajovou praci s pfctl jsem lehce popisoval. Ale ne vse jde obdobne jako na klasickem serveru s FreeBSD. WebGUI casto provadi aplikovani zmen atd.
Sheduler a Queues je tez tema na dalsi clanek ... Bohuzel jsem Queues pouyil jen jednou a fungovalo to dobre.
