From a1416264a334232c2d7986c49a518cb383b19eae Mon Sep 17 00:00:00 2001 From: jdubois Date: Thu, 22 Jul 2021 11:55:24 +0200 Subject: [PATCH] =?UTF-8?q?Fusion=20"utilisation"=20et=20"minifirewall"=20?= =?UTF-8?q?puisque=20rp=5Ffilter=20est=20modifi=C3=A9=20explicitement=20pa?= =?UTF-8?q?r=20minifirewall,=20param=C3=A8tre=20d=C3=A9j=C3=A0=20=C3=A0=20?= =?UTF-8?q?0=20par=20d=C3=A9faut?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- HowtoVRRP.md | 56 +++++++++++++++++----------------------------------- 1 file changed, 18 insertions(+), 38 deletions(-) diff --git a/HowtoVRRP.md b/HowtoVRRP.md index 78e8a33d..25e362c8 100644 --- a/HowtoVRRP.md +++ b/HowtoVRRP.md @@ -49,24 +49,37 @@ L'utilisation des *macvlans* permet d'avoir des adresses MAC spécifiques à VRR Il faut au préalable ajuster des paramètres _sysctl_, par exemple dans `/etc/sysctl.d/vrrpd.conf` (voir `/usr/share/doc/vrrpd/sysctl.vrrpd`) : ~~~ -net.ipv4.conf.default.rp_filter=0 -net.ipv4.conf.eth0.rp_filter=0 -net.ipv4.conf.all.rp_filter=0 net.ipv4.conf.all.arp_ignore=1 net.ipv4.conf.all.arp_announce=2 # Pouvoir écouter sur une adresse IP non présente localement (lorsque la machine est slave) net.ipv4.ip_nonlocal_bind=1 ~~~ -Concernant `rp_filter`, il est même préférable de le désactiver partout, en configurant au boot de la machine, par exemple dans `/etc/rc.local` : +Si l'on utilise [minifirewall](https://gitea.evolix.org/evolix/minifirewall) comme pare-feu, 2 actions supplémentaires sont nécessaires : + +- Il faut ajouter la commande suivante dans sa configuration `/etc/default/minifirewall`, pour s'assurer que les paramètres soient gardés après redémarrage de minifirewall : ~~~ +sysctl -p /etc/sysctl.d/vrrpd.conf --quiet +~~~ + + +- Et il faut également commenter l'activation du rp_filter dans `/etc/init.d/minifirewall`, et ajouter sa désactivation totale : + +~~~ +# Enable Reverse Path filtering : verify if responses use same network interface +#for i in /proc/sys/net/ipv4/conf/*/rp_filter; do +#echo 1 > $i +#done +# Disable Reverse Path filtering for vrrp for i in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 0 > $i done ~~~ -Au niveau du pare-feu, il faut également ajouter la règle suivante : +**Attention** : ne pas simplement commenter le bloc ou modifier le "echo 1" de l'activation en "echo 0", mais bien commenter le premier bloc et ajouter le second bloc pour bien expliciter le changement de configuration. + +Au niveau du pare-feu, il faut ajouter la règle suivante : ~~~ # iptables -A INPUT -s -d 224.0.0.18 -j ACCEPT @@ -136,39 +149,6 @@ Type=forking WantedBy=default.target ~~~ -## Utilisation avec minifirewall - -Lorsqu'on utilise [minifirewall](https://gitea.evolix.org/evolix/minifirewall) comme pare-feu, la configuration est différente. - -Le contenu de `/etc/sysctl.d/vrrpd.conf` peut se limiter à : - -~~~ -net.ipv4.conf.all.arp_ignore=1 -net.ipv4.conf.all.arp_announce=2 -net.ipv4.ip_nonlocal_bind=1 -~~~ - -Il faut ajouter la commande suivante dans sa configuration `/etc/default/minifirewall` : - -~~~ -sysctl -p /etc/sysctl.d/vrrpd.conf --quiet -~~~ - -Et il faut également commenter l'activation du rp_filter dans `/etc/init.d/minifirewall`, et ajouter sa désactivation totale : - -~~~ -# Enable Reverse Path filtering : verify if responses use same network interface -#for i in /proc/sys/net/ipv4/conf/*/rp_filter; do -#echo 1 > $i -#done -# Disable Reverse Path filtering for vrrp -for i in /proc/sys/net/ipv4/conf/*/rp_filter; do -echo 0 > $i -done -~~~ - -**Attention** : ne pas simplement modifier le "echo 1" de la désactivation en "echo 0", mais bien commenter le premier bloc et ajouter le second bloc pour bien expliciter le changement de configuration. - ## Logs * Des logs sont envoyés à syslog