Linux-Äquivalent von pfsync + carp für Failover-Firewall / Routing

Ich verwende derzeit eine Linux-Box, um meine Firewall / NAT mithilfe von iptables zu verwalten. Es verfügt über zwei Netzwerkkarten, eine Verbindung zu einem LAN-Switch und eine Verbindung zu unserem Egress-Internetprovider. Ich möchte diese Box aus Redundanzgründen auf zwei Boxen aktualisieren und der Lösung einen zweiten Internetprovider hinzufügen. Das heißt, ich brauche vier Ports, glaube ich (korrigiere mich, wenn ich falsch liege)

1. Egress Internet Link # 1
2. Egress Internet Link # 2
3. LAN-Port
4. Crossover zwischen den beiden Boxen für Failover-Zwecke

Ich habe gelesen, Karpfen + pfsync ist eine gute Lösung. Verwenden Sie das derzeit von den meisten von Ihnen? Gibt es eine äquivalente Lösung unter Linux?

Was sind einige Vorschläge für ein Hot-Failover mit einfacher Konfiguration ab heute für ein ähnliches Setup wie oben?

Ich habe gelesen, Karpfen + pfsync ist eine gute Lösung. Verwenden Sie das derzeit von den meisten von Ihnen?

Ja und ja :)

Wie Instye bemerkt, gibt es zwei öffentliche Projekte für CARP unter Linux. Aber wie Sie feststellen werden, ist keiner von ihnen besonders aktiv und glaubt nicht, dass sie pfsync enthalten. Das ist ziemlich wichtig für den ganzen Schebang.

Darüber hinaus wurden allein in diesem Jahr einige große Fortschritte im PF- und CARP-Code erzielt. Jeder Port, einschließlich FreeBSD, bleibt in Bezug auf Funktionen und Fehlerbehebungen häufig auf natürliche Weise zurück.

Wenn der aktuelle Computer keine anderen Aufgaben ausführt, würde ich empfehlen, nur die Kugel zu beißen und OpenBSD zu implementieren. Die Lernkurve wird nicht steiler sein, als einen der Ports zum Laufen zu bringen. Ich glaube nicht, dass du es bereuen wirst.

CARP ist unter Linux verfügbar. Schauen Sie sich das ucarp- Projekt für eine User-Space-Implementierung an, und es gibt anscheinend ein Projekt, das es auf die 2.6-Kernel portiert:

http://www.ioremap.net/projects/carp

Die Webseite, die Sie wahrscheinlich ansehen möchten, ist linux-ha . Eines der angebotenen Tools ist das Heartbeat-Programm, mit dem ein Failover von Servern durchgeführt werden kann.

ucarp und keepalived von linux-HA wurden erwähnt ... das fehlende Glied ist daher ein Linux-Äquivalent von pfsync: Schauen Sie sich conntrackd von conntrack-tools an

Wenn Sie in Ihrer Linux-Distribution nicht tot sind, können Sie sich vyatta ansehen. Die Community-Edition ist kostenlos. http://www.vyatta.com/downloads/documentation.php

Das Linux-Äquivalent würde Conntrack-Tools verwenden, um den Verbindungsstatus zu synchronisieren, und dann natürlich iptables. http://conntrack-tools.netfilter.org/manual.html#sync

Sie können OpenBSD auch auf Ihren Boxen ausführen und einfach CARP + pf " out of the box " verwenden.