4. Netzwerkanschluss und Firewall Ausfallsicherung

Dieser Assistent richtet Ihr System so ein, dass es den Status seiner Firewall automatisch auf einem anderen System replizieren kann. Dadurch bleibt die Absicherung Ihres Netzwerks auch bei dem Ausfall Ihres Systems erhalten. Beachten Sie bitte, dass dafür zwei Firewall-Maschinen mit gleicher Konfiguration benötigt werden.

Abbildung 8.9. Hoch verfügbare Firewall

Hoch verfügbare Firewall

Die Konfiguration der Firewall sollte für Master und Slave gleichartig sein oder zumindest identische Regeln für übliche Dienste enthalten, so dass eine Transparenz für diese Dienste vorhanden ist. Die Clients müssen so eingestellt sein, dass sie die virtuelle IP-Adresse des Replikations-Pools benutzen.

Die Replizierung der Firewall überträgt automatisch den Verbindungsstatus des ausfallenden Systems auf dessen Double und verleiht damit des angeschlossenen Computern eine ununterbrochene Absicherung auf transparente Art und Weise. Während des Vorgangs behalten die angeschlossenen Computer ihre aktuellen Verbindungen nach außen bei.

Sie starten DrakInvictus über Erstellen von ausfallsicheren Netzwerkschnittstellen und Firewallkopien im Bereich Sicherheit Ihres Mandriva Control Centers. Im oberen Teil richten Sie die Netzwerk-Redundanz ein und im unteren Teil die Firewall-Kopie. Bitte beachten Sie, dass diese Prozedur auf jedem Server durchgeführt werden muss, der zum Replikations-Pool gehört.

Abbildung 8.10. DrakInvictus

DrakInvictus

4.1. Einrichten der Netzwerk-Redundanz

Füllen Sie die folgenden Felder aus, entsprechend der Schnittstelle, die auf das Netzwerk mit dem anderen Server (dem Server mit der Firewall-Kopie) zugreift, beispielsweise für eth0:

Reale Adresse

IP-Adresse der Schnittstelle. Dies ist die physische Adresse des Servers im Netzwerk.

Virtuelle gemeinsame Adresse

Virtuelle IP-Adresse, die von beiden Servern benutzt wird. Geben Sie hier eine unbenutzte feste IP-Adresse innerhalb Ihres Netzwerkes an. Diese Adresse wird nun von den Clients als Gateway benutzt. Bitte beachten sie, dass diese Adresse auf Master- und Client-Servern identisch sein muss.

Virtuelle ID

Gemeinsam benutzte Identifier-Nummer (zwischen 1 und 255). Bitte beachten Sie, dass diese ID auf Master- und Slave-Servern identisch sein muss.

Passwort

Geben Sie ein Passwort ein, das von den Double-Maschinen zur Identifikation als Teil des Replikations-Pool benutzt wird.

Start als Master

Einer der Server muss als Master deklariert werden, so dass bei der Wiederaufnahme des normalen Betriebs eine saubere Wiederherstellung gelingt. Markieren Sie diese Option um die Standardeinstellung zu übergehen. Die empfohlene Einstellung ist, dem System die Einteilung in Master und Slave zu überlassen.

4.2. Einrichtung der Firewall-Kopie

Markieren Sie Synchronisieren der Conntrack-Tabellen der Firewall um das Kopieren der Firewall zu ermöglichen. Wählen Sie dann die folgenden Optionen:

Synchronisieren des Netzwerk-Interfaces

Wählen Sie das Interface, das mit dem Netzwerk verbunden ist, in dem sich beide Firewalls befinden. Bitte beachten Sie, dass dieses Interface nicht für die Netzwerk-Redundanz benutzt werden kann.

Connection Mark Bit

Bit-Nummer des Connection Mark Feldes, das zur Verfolgung der Verbindung benutzt wird. Sie können hier den vorgegebenen Wert belassen: 30.