Replicar pf.conf en dos máquinas con CARP

classic Classic list List threaded Threaded
3 messages Options
Reply | Threaded
Open this post in threaded view
|

Replicar pf.conf en dos máquinas con CARP

Pasky.Org
Hola a todos.

Recientemente hemos añadido redundancia a nuestra máquina firewall con
otra más y usando el protocolo CARP. El problema que veo es que si
necesitamos cambiar una regla en el firewall, ésta hay que cambiarla
manualmente en las dos. El inconveniente que veo es iniciar sesión en
la segunda máquina para cargar el archivo pf.conf.

Una opción que he pensado es, tras editar pf.conf en la máquina
MASTER, copiar el archivo a la máquina BACKUP mediante el comando scp
(que pide contraseña). Para cargar dicho archivo en la máquina BACKUP
bastaría con tener un cron que cargara el archivo de reglas cada 5
minutos. Es una solución que no me convence. Así que os pregunto si
vosotros tenéis alguna solución para esto o pensáis algo mejor. No
sé... algún script que automatice todo lo posible la sincronización
del pf.conf entre ambas máquinas sin tener que estar entrando y
saliendo en ambas.

Otra cosa. Yo prefiero editar el archivo pf.conf a mano mediante vi,
pero algunos compañeros del trabajo preferirían tener un entorno web
con el que hacerlas. De todos los que hay en el árbol, ¿recomendáis
alguno alguno concreto que sea completito? Y para hacer estadísticas
de tráfico, ¿algo mejor que MRTG?

Gracias.

--
Pasky
Www.Pasky.Org
Reply | Threaded
Open this post in threaded view
|

Re: Replicar pf.conf en dos máquinas con CARP

Gerardo Santana Gómez Garrido

2006/2/7, Pasky <[hidden email]>:
> Hola a todos.

Qué tal Pasky

>
> Recientemente hemos añadido redundancia a nuestra máquina firewall con
> otra más y usando el protocolo CARP. El problema que veo es que si
> necesitamos cambiar una regla en el firewall, ésta hay que cambiarla
> manualmente en las dos. El inconveniente que veo es iniciar sesión en
> la segunda máquina para cargar el archivo pf.conf.
>
> Una opción que he pensado es, tras editar pf.conf en la máquina
> MASTER, copiar el archivo a la máquina BACKUP mediante el comando scp
> (que pide contraseña).


Si el problema es que pide contraseña, puedes utilizar el método de
autenticación basado en RSA o DSA. Mira en ssh-keygen(1) para saber
más.


> Para cargar dicho archivo en la máquina BACKUP
> bastaría con tener un cron que cargara el archivo de reglas cada 5
> minutos. Es una solución que no me convence. Así que os pregunto si
> vosotros tenéis alguna solución para esto o pensáis algo mejor. No
> sé... algún script que automatice todo lo posible la sincronización
> del pf.conf entre ambas máquinas sin tener que estar entrando y
> saliendo en ambas.
>
> Otra cosa. Yo prefiero editar el archivo pf.conf a mano mediante vi,
> pero algunos compañeros del trabajo preferirían tener un entorno web
> con el que hacerlas. De todos los que hay en el árbol, ¿recomendáis
> alguno alguno concreto que sea completito?

Igual, prefiero usar vi. Nunca he entendido por qué alguien que sabe
configurar un firewall querría usar una interfaz web. A menos, claro,
que no sepa cómo configurar un firewall, y entonces mejor que no lo
configure, ni con vi ni con una interfaz web.

> Y para hacer estadísticas
> de tráfico, ¿algo mejor que MRTG?

¿cuál es el problema con MRTG?


--
Gerardo Santana
http://santanatechnotes.blogspot.com/
Reply | Threaded
Open this post in threaded view
|

Re: Replicar pf.conf en dos máquinas con CARP

Pasky.Org
Gracias Gerardo Santana.

Al final he optado por el método que me has dicho para sincronizar los
archivos pf.conf de ambas máquinas. He generado las claves con
ssh-keygen y he copiado la clave pública de cada máquina a la otra.

Para copiar y cargar el archivo de configuración de PF en la otra
máquina, algo tan sencillo como este script, que os pongo aquí por si
os sirve a alguno:

-----8<-----
cain:~> cat /sbin/pf-sincroniza
# Copia el fichero pf.conf a abel
scp -P 10022 /etc/pf.conf root@abel:/etc/pf.conf
# Carga del fichero pf.conf en abel
ssh -p 10022 root@abel pfctl -f /etc/pf.conf
-----8<-----
--
Pasky
Www.Pasky.Org
[hidden email]

--
On 2/11/06, Gerardo Santana Gómez Garrido <[hidden email]> wrote:

>
> 2006/2/7, Pasky <[hidden email]>:
> > Hola a todos.
>
> Qué tal Pasky
>
> >
> > Recientemente hemos añadido redundancia a nuestra máquina firewall con
> > otra más y usando el protocolo CARP. El problema que veo es que si
> > necesitamos cambiar una regla en el firewall, ésta hay que cambiarla
> > manualmente en las dos. El inconveniente que veo es iniciar sesión en
> > la segunda máquina para cargar el archivo pf.conf.
> >
> > Una opción que he pensado es, tras editar pf.conf en la máquina
> > MASTER, copiar el archivo a la máquina BACKUP mediante el comando scp
> > (que pide contraseña).
>
>
> Si el problema es que pide contraseña, puedes utilizar el método de
> autenticación basado en RSA o DSA. Mira en ssh-keygen(1) para saber
> más.
>
>
> > Para cargar dicho archivo en la máquina BACKUP
> > bastaría con tener un cron que cargara el archivo de reglas cada 5
> > minutos. Es una solución que no me convence. Así que os pregunto si
> > vosotros tenéis alguna solución para esto o pensáis algo mejor. No
> > sé... algún script que automatice todo lo posible la sincronización
> > del pf.conf entre ambas máquinas sin tener que estar entrando y
> > saliendo en ambas.
> >
> > Otra cosa. Yo prefiero editar el archivo pf.conf a mano mediante vi,
> > pero algunos compañeros del trabajo preferirían tener un entorno web
> > con el que hacerlas. De todos los que hay en el árbol, ¿recomendáis
> > alguno alguno concreto que sea completito?
>
> Igual, prefiero usar vi. Nunca he entendido por qué alguien que sabe
> configurar un firewall querría usar una interfaz web. A menos, claro,
> que no sepa cómo configurar un firewall, y entonces mejor que no lo
> configure, ni con vi ni con una interfaz web.
>
> > Y para hacer estadísticas
> > de tráfico, ¿algo mejor que MRTG?
>
> ¿cuál es el problema con MRTG?
>
>
> --
> Gerardo Santana
> http://santanatechnotes.blogspot.com/

--~--~---------~--~----~------------~-------~--~----~
Ha recibido este mensaje porque está suscrito a Google Groups "OpenBSD México" group.
 To post to this group, send email to [hidden email]
 Para anular la suscripción a este grupo, envíe un mensaje a [hidden email]
 For more options, visit this group at http://groups.google.com/group/OpenBSD-Mexico
-~----------~----~----~----~------~----~------~--~---