Con questo strumento potete configurare il vostro sistema in modo che
replichi automaticamente su una seconda macchina lo stato del proprio firewall, così da
avere nella vostra rete un servizio di firewall ad alta disponibilità pronto a intervenire
in caso di guasto. Si noti che sono necessarie due macchine configurate come firewall in
modo simile fra loro.
La configurazione del firewall nelle due macchine master e slave dovrebbe essere simile, o per lo meno avere impostazioni identiche per le regole dei servizi più comuni, in modo da ottenere un funzionamento trasparente (almeno per quel che riguarda quei particolari servizi). I client sono configurati in modo da usare l'indirizzo IP virtuale del gruppo di replica.
La ridondanza del firewall copia automaticamente lo stato della connessione dal firewall fuori servizio alla sua replica, offrendo alle workstation in modo trasparente un servizio di firewall senza interruzioni. Le workstation non perderanno eventuali connessioni di rete già stabilite verso l'esterno.
Potete aprire DrakInvictus selezionando Impostazioni avanzate per le interfacce di rete ed il firewall nella sezione Sicurezza del Centro di controllo Mandriva. È possibile configurare la ridondanza della rete nella parte alta della finestra, e quella del firewall nella parte bassa. Ricordate che questo strumento deve essere eseguito e configurato in ciascun server facente parte del gruppo di replica.
Compilate i seguenti campi per l'interfaccia corrispondente alla rete nella quale è situato l'altro server (quello che fornisce la ridondanza), ad es. eth0:
Indirizzo IP dell'interfaccia. Si tratta del vero indirizzo di rete di questo server.
Indirizzo IP virtuale condiviso da entrambi i server. Inserite un indirizzo IP statico della rete che non sia già utilizzato; sarà questo l'indirizzo che i client useranno come gateway verso Internet. Ricordate che dovrà essere lo stesso sia nel server master che nello slave.
Un numero identificativo condiviso, compreso fra 1 e 255. Dovrà essere lo stesso sia nel server master che nello slave.
Inserite una password che le macchine replicate dovranno usare per identificarsi come parte dello stesso gruppo di replica.
Uno dei server deve essere definito come master, per consentire un corretto ripristino della situazione quando esso torna a funzionare. Nella configurazione predefinita e consigliata, il sistema stabilisce autonomamente quale server sarà il master e quale lo slave; ma con questa opzione potete forzarne il comportamento, se lo desiderate.
Attivate Sincronizza le tabelle conntrack del firewall per abilitare la ridondanza del firewall, e selezionate quindi le seguenti opzioni:
Selezionate l'interfaccia connessa alla rete su cui comunicano i due firewall. Non può essere la stessa interfaccia usata per la ridondanza di rete.
Numero di bit del campo di marcatura della connessione, utilizzato per il
tracciamento della connessione. Potete lasciarlo al valore predefinito,
30
.