Fusion "utilisation" et "minifirewall" puisque rp_filter est modifié explicitement par minifirewall, paramètre déjà à 0 par défaut
This commit is contained in:
jdubois
parent
f225434e33
commit
a1416264a3
56
HowtoVRRP.md
56
HowtoVRRP.md
|
|
@ -49,24 +49,37 @@ L'utilisation des *macvlans* permet d'avoir des adresses MAC spécifiques à VRR
|
|||
Il faut au préalable ajuster des paramètres _sysctl_, par exemple dans `/etc/sysctl.d/vrrpd.conf` (voir `/usr/share/doc/vrrpd/sysctl.vrrpd`) :
|
||||
|
||||
~~~
|
||||
net.ipv4.conf.default.rp_filter=0
|
||||
net.ipv4.conf.eth0.rp_filter=0
|
||||
net.ipv4.conf.all.rp_filter=0
|
||||
net.ipv4.conf.all.arp_ignore=1
|
||||
net.ipv4.conf.all.arp_announce=2
|
||||
# Pouvoir écouter sur une adresse IP non présente localement (lorsque la machine est slave)
|
||||
net.ipv4.ip_nonlocal_bind=1
|
||||
~~~
|
||||
|
||||
Concernant `rp_filter`, il est même préférable de le désactiver partout, en configurant au boot de la machine, par exemple dans `/etc/rc.local` :
|
||||
Si l'on utilise [minifirewall](https://gitea.evolix.org/evolix/minifirewall) comme pare-feu, 2 actions supplémentaires sont nécessaires :
|
||||
|
||||
- Il faut ajouter la commande suivante dans sa configuration `/etc/default/minifirewall`, pour s'assurer que les paramètres soient gardés après redémarrage de minifirewall :
|
||||
|
||||
~~~
|
||||
sysctl -p /etc/sysctl.d/vrrpd.conf --quiet
|
||||
~~~
|
||||
|
||||
|
||||
- Et il faut également commenter l'activation du rp_filter dans `/etc/init.d/minifirewall`, et ajouter sa désactivation totale :
|
||||
|
||||
~~~
|
||||
# Enable Reverse Path filtering : verify if responses use same network interface
|
||||
#for i in /proc/sys/net/ipv4/conf/*/rp_filter; do
|
||||
#echo 1 > $i
|
||||
#done
|
||||
# Disable Reverse Path filtering for vrrp
|
||||
for i in /proc/sys/net/ipv4/conf/*/rp_filter; do
|
||||
echo 0 > $i
|
||||
done
|
||||
~~~
|
||||
|
||||
Au niveau du pare-feu, il faut également ajouter la règle suivante :
|
||||
**Attention** : ne pas simplement commenter le bloc ou modifier le "echo 1" de l'activation en "echo 0", mais bien commenter le premier bloc et ajouter le second bloc pour bien expliciter le changement de configuration.
|
||||
|
||||
Au niveau du pare-feu, il faut ajouter la règle suivante :
|
||||
|
||||
~~~
|
||||
# iptables -A INPUT -s <adresse IP du pair> -d 224.0.0.18 -j ACCEPT
|
||||
|
|
@ -136,39 +149,6 @@ Type=forking
|
|||
WantedBy=default.target
|
||||
~~~
|
||||
|
||||
## Utilisation avec minifirewall
|
||||
|
||||
Lorsqu'on utilise [minifirewall](https://gitea.evolix.org/evolix/minifirewall) comme pare-feu, la configuration est différente.
|
||||
|
||||
Le contenu de `/etc/sysctl.d/vrrpd.conf` peut se limiter à :
|
||||
|
||||
~~~
|
||||
net.ipv4.conf.all.arp_ignore=1
|
||||
net.ipv4.conf.all.arp_announce=2
|
||||
net.ipv4.ip_nonlocal_bind=1
|
||||
~~~
|
||||
|
||||
Il faut ajouter la commande suivante dans sa configuration `/etc/default/minifirewall` :
|
||||
|
||||
~~~
|
||||
sysctl -p /etc/sysctl.d/vrrpd.conf --quiet
|
||||
~~~
|
||||
|
||||
Et il faut également commenter l'activation du rp_filter dans `/etc/init.d/minifirewall`, et ajouter sa désactivation totale :
|
||||
|
||||
~~~
|
||||
# Enable Reverse Path filtering : verify if responses use same network interface
|
||||
#for i in /proc/sys/net/ipv4/conf/*/rp_filter; do
|
||||
#echo 1 > $i
|
||||
#done
|
||||
# Disable Reverse Path filtering for vrrp
|
||||
for i in /proc/sys/net/ipv4/conf/*/rp_filter; do
|
||||
echo 0 > $i
|
||||
done
|
||||
~~~
|
||||
|
||||
**Attention** : ne pas simplement modifier le "echo 1" de la désactivation en "echo 0", mais bien commenter le premier bloc et ajouter le second bloc pour bien expliciter le changement de configuration.
|
||||
|
||||
## Logs
|
||||
|
||||
* Des logs sont envoyés à syslog
|
||||
|
|
|
|||
Loading…
Reference in New Issue