<html>
<head>
<style><!--
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
font-size: 10pt;
font-family:Verdana
}
--></style>
</head>
<body class='hmmessage'>
Gracias amigo por responder:<BR>
El firewall que tenemos es un PIX de cisco y como mencioné tiene activado el anti ip spoofing aparte de una especie de IDS<BR>
pego un poco del que muestra el show running:<BR>
<BR>
<DIV style="BORDER-RIGHT: windowtext 1pt solid; PADDING-RIGHT: 4pt; BORDER-TOP: windowtext 1pt solid; PADDING-LEFT: 4pt; PADDING-BOTTOM: 1pt; BORDER-LEFT: windowtext 1pt solid; PADDING-TOP: 0cm; BORDER-BOTTOM: windowtext 1pt solid; mso-element: para-border-div; mso-border-alt: solid windowtext .5pt">
<P class=MsoPlainText style="BORDER-RIGHT: medium none; PADDING-RIGHT: 0cm; BORDER-TOP: medium none; PADDING-LEFT: 0cm; PADDING-BOTTOM: 1pt; MARGIN: 0cm 0cm 0pt; BORDER-LEFT: medium none; PADDING-TOP: 0cm; BORDER-BOTTOM: windowtext 0.5pt solid; mso-border-alt: solid windowtext .5pt; mso-padding-alt: 0cm 4.0pt 1.0pt 4.0pt; mso-border-between: .5pt solid windowtext; mso-padding-between: 1.0pt; mso-padding-bottom-alt: 1.0pt; mso-border-bottom-alt: .5pt solid windowtext"><FONT face="Courier New"><B style="mso-bidi-font-weight: normal"><SPAN lang=EN-GB style="FONT-SIZE: 9pt; BACKGROUND: lime; mso-highlight: lime; mso-ansi-language: EN-GB">ANTI IP SPOOFING</SPAN></B><B style="mso-bidi-font-weight: normal"><SPAN lang=EN-GB style="FONT-SIZE: 9pt; mso-ansi-language: EN-GB"><?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" /><o:p></o:p></SPAN></B></FONT></P>
<P class=MsoPlainText style="BORDER-RIGHT: medium none; PADDING-RIGHT: 0cm; BORDER-TOP: medium none; PADDING-LEFT: 0cm; PADDING-BOTTOM: 1pt; MARGIN: 0cm 0cm 0pt; BORDER-LEFT: medium none; PADDING-TOP: 1pt; BORDER-BOTTOM: windowtext 0.5pt solid; mso-border-alt: solid windowtext .5pt; mso-padding-alt: 0cm 4.0pt 1.0pt 4.0pt; mso-border-between: .5pt solid windowtext; mso-padding-between: 1.0pt; mso-padding-bottom-alt: 1.0pt; mso-border-bottom-alt: .5pt solid windowtext; mso-padding-top-alt: 0cm"><SPAN lang=EN-GB style="FONT-SIZE: 9pt; mso-ansi-language: EN-GB"><FONT face="Courier New">ip verify reverse-path interface out</FONT></SPAN></P>
<P class=MsoPlainText style="BORDER-RIGHT: medium none; PADDING-RIGHT: 0cm; BORDER-TOP: medium none; PADDING-LEFT: 0cm; PADDING-BOTTOM: 1pt; MARGIN: 0cm 0cm 0pt; BORDER-LEFT: medium none; PADDING-TOP: 1pt; BORDER-BOTTOM: windowtext 0.5pt solid; mso-border-alt: solid windowtext .5pt; mso-padding-alt: 0cm 4.0pt 1.0pt 4.0pt; mso-border-between: .5pt solid windowtext; mso-padding-between: 1.0pt; mso-padding-bottom-alt: 1.0pt; mso-border-bottom-alt: .5pt solid windowtext; mso-padding-top-alt: 0cm"><SPAN lang=EN-GB style="FONT-SIZE: 9pt; mso-ansi-language: EN-GB"><FONT face="Courier New">ip verify reverse-path interface in</FONT></SPAN></P>
<P class=MsoPlainText style="BORDER-RIGHT: medium none; PADDING-RIGHT: 0cm; BORDER-TOP: medium none; PADDING-LEFT: 0cm; PADDING-BOTTOM: 1pt; MARGIN: 0cm 0cm 0pt; BORDER-LEFT: medium none; PADDING-TOP: 1pt; BORDER-BOTTOM: windowtext 0.5pt solid; mso-border-alt: solid windowtext .5pt; mso-padding-alt: 0cm 4.0pt 1.0pt 4.0pt; mso-border-between: .5pt solid windowtext; mso-padding-between: 1.0pt; mso-padding-bottom-alt: 1.0pt; mso-border-bottom-alt: .5pt solid windowtext; mso-padding-top-alt: 0cm"><SPAN lang=EN-GB style="FONT-SIZE: 9pt; mso-ansi-language: EN-GB"><FONT face="Courier New">ip verify reverse-path interface dmz_ext</FONT></SPAN></P>
<P class=MsoPlainText style="BORDER-RIGHT: medium none; PADDING-RIGHT: 0cm; BORDER-TOP: medium none; PADDING-LEFT: 0cm; PADDING-BOTTOM: 0cm; MARGIN: 0cm 0cm 0pt; BORDER-LEFT: medium none; PADDING-TOP: 1pt; BORDER-BOTTOM: medium none; mso-border-alt: solid windowtext .5pt; mso-padding-alt: 0cm 4.0pt 1.0pt 4.0pt; mso-border-between: .5pt solid windowtext; mso-padding-between: 1.0pt; mso-padding-top-alt: 0cm"><SPAN lang=EN-GB style="FONT-SIZE: 9pt; mso-ansi-language: EN-GB"><FONT face="Courier New">ip verify reverse-path interface dmz_int<o:p></o:p></FONT></SPAN></P></DIV>
<P class=MsoPlainText style="MARGIN: 0cm 0cm 0pt"><SPAN lang=EN-GB style="FONT-SIZE: 9pt; mso-ansi-language: EN-GB"><o:p><FONT face="Courier New"> </FONT></o:p></SPAN></P>
<DIV style="BORDER-RIGHT: windowtext 1pt solid; PADDING-RIGHT: 4pt; BORDER-TOP: windowtext 1pt solid; PADDING-LEFT: 4pt; PADDING-BOTTOM: 1pt; BORDER-LEFT: windowtext 1pt solid; PADDING-TOP: 1pt; BORDER-BOTTOM: windowtext 1pt solid; mso-element: para-border-div; mso-border-alt: solid windowtext .5pt">
<P class=MsoPlainText style="BORDER-RIGHT: medium none; PADDING-RIGHT: 0cm; BORDER-TOP: medium none; PADDING-LEFT: 0cm; PADDING-BOTTOM: 1pt; MARGIN: 0cm 0cm 0pt; BORDER-LEFT: medium none; PADDING-TOP: 0cm; BORDER-BOTTOM: windowtext 0.5pt solid; mso-border-alt: solid windowtext .5pt; mso-padding-alt: 1.0pt 4.0pt 1.0pt 4.0pt; mso-border-between: .5pt solid windowtext; mso-padding-between: 1.0pt; mso-padding-bottom-alt: 1.0pt; mso-border-bottom-alt: .5pt solid windowtext"><FONT face="Courier New"><B style="mso-bidi-font-weight: normal"><SPAN lang=EN-GB style="FONT-SIZE: 9pt; BACKGROUND: lime; mso-highlight: lime; mso-ansi-language: EN-GB">ACTIVANDO IDS CISCO</SPAN></B><B style="mso-bidi-font-weight: normal"><SPAN lang=EN-GB style="FONT-SIZE: 9pt; mso-ansi-language: EN-GB"><o:p></o:p></SPAN></B></FONT></P>
<P class=MsoPlainText style="BORDER-RIGHT: medium none; PADDING-RIGHT: 0cm; BORDER-TOP: medium none; PADDING-LEFT: 0cm; PADDING-BOTTOM: 1pt; MARGIN: 0cm 0cm 0pt; BORDER-LEFT: medium none; PADDING-TOP: 1pt; BORDER-BOTTOM: windowtext 0.5pt solid; mso-border-alt: solid windowtext .5pt; mso-padding-alt: 1.0pt 4.0pt 1.0pt 4.0pt; mso-border-between: .5pt solid windowtext; mso-padding-between: 1.0pt; mso-padding-bottom-alt: 1.0pt; mso-border-bottom-alt: .5pt solid windowtext; mso-padding-top-alt: 1.0pt"><SPAN lang=EN-GB style="FONT-SIZE: 9pt; mso-ansi-language: EN-GB"><FONT face="Courier New">ip audit name XXX attack action drop reset<o:p></o:p></FONT></SPAN></P>
<P class=MsoPlainText style="BORDER-RIGHT: medium none; PADDING-RIGHT: 0cm; BORDER-TOP: medium none; PADDING-LEFT: 0cm; PADDING-BOTTOM: 1pt; MARGIN: 0cm 0cm 0pt; BORDER-LEFT: medium none; PADDING-TOP: 1pt; BORDER-BOTTOM: windowtext 0.5pt solid; mso-border-alt: solid windowtext .5pt; mso-padding-alt: 1.0pt 4.0pt 1.0pt 4.0pt; mso-border-between: .5pt solid windowtext; mso-padding-between: 1.0pt; mso-padding-bottom-alt: 1.0pt; mso-border-bottom-alt: .5pt solid windowtext; mso-padding-top-alt: 1.0pt"><SPAN lang=EN-GB style="FONT-SIZE: 9pt; mso-ansi-language: EN-GB"><FONT face="Courier New">ip audit interface out XXX</FONT></SPAN></P>
<P class=MsoPlainText style="BORDER-RIGHT: medium none; PADDING-RIGHT: 0cm; BORDER-TOP: medium none; PADDING-LEFT: 0cm; PADDING-BOTTOM: 1pt; MARGIN: 0cm 0cm 0pt; BORDER-LEFT: medium none; PADDING-TOP: 1pt; BORDER-BOTTOM: windowtext 0.5pt solid; mso-border-alt: solid windowtext .5pt; mso-padding-alt: 1.0pt 4.0pt 1.0pt 4.0pt; mso-border-between: .5pt solid windowtext; mso-padding-between: 1.0pt; mso-padding-bottom-alt: 1.0pt; mso-border-bottom-alt: .5pt solid windowtext; mso-padding-top-alt: 1.0pt"><SPAN lang=EN-GB style="FONT-SIZE: 9pt; mso-ansi-language: EN-GB"><FONT face="Courier New">ip audit interface in XXX</FONT></SPAN></P>
<P class=MsoPlainText style="BORDER-RIGHT: medium none; PADDING-RIGHT: 0cm; BORDER-TOP: medium none; PADDING-LEFT: 0cm; PADDING-BOTTOM: 1pt; MARGIN: 0cm 0cm 0pt; BORDER-LEFT: medium none; PADDING-TOP: 1pt; BORDER-BOTTOM: windowtext 0.5pt solid; mso-border-alt: solid windowtext .5pt; mso-padding-alt: 1.0pt 4.0pt 1.0pt 4.0pt; mso-border-between: .5pt solid windowtext; mso-padding-between: 1.0pt; mso-padding-bottom-alt: 1.0pt; mso-border-bottom-alt: .5pt solid windowtext; mso-padding-top-alt: 1.0pt"><SPAN lang=EN-GB style="FONT-SIZE: 9pt; mso-ansi-language: EN-GB"><FONT face="Courier New">ip audit interface dmz_ext XXX</FONT></SPAN></P>
<P class=MsoPlainText style="BORDER-RIGHT: medium none; PADDING-RIGHT: 0cm; BORDER-TOP: medium none; PADDING-LEFT: 0cm; PADDING-BOTTOM: 1pt; MARGIN: 0cm 0cm 0pt; BORDER-LEFT: medium none; PADDING-TOP: 1pt; BORDER-BOTTOM: windowtext 0.5pt solid; mso-border-alt: solid windowtext .5pt; mso-padding-alt: 1.0pt 4.0pt 1.0pt 4.0pt; mso-border-between: .5pt solid windowtext; mso-padding-between: 1.0pt; mso-padding-bottom-alt: 1.0pt; mso-border-bottom-alt: .5pt solid windowtext; mso-padding-top-alt: 1.0pt"><SPAN lang=EN-GB style="FONT-SIZE: 9pt; mso-ansi-language: EN-GB"><FONT face="Courier New">ip audit interface dmz_int XXX</FONT></SPAN></P>
<P class=MsoPlainText style="BORDER-RIGHT: medium none; PADDING-RIGHT: 0cm; BORDER-TOP: medium none; PADDING-LEFT: 0cm; PADDING-BOTTOM: 1pt; MARGIN: 0cm 0cm 0pt; BORDER-LEFT: medium none; PADDING-TOP: 1pt; BORDER-BOTTOM: windowtext 0.5pt solid; mso-border-alt: solid windowtext .5pt; mso-padding-alt: 1.0pt 4.0pt 1.0pt 4.0pt; mso-border-between: .5pt solid windowtext; mso-padding-between: 1.0pt; mso-padding-bottom-alt: 1.0pt; mso-border-bottom-alt: .5pt solid windowtext; mso-padding-top-alt: 1.0pt"><SPAN lang=EN-GB style="FONT-SIZE: 9pt; mso-ansi-language: EN-GB"><FONT face="Courier New">ip audit info action alarm<o:p></o:p></FONT></SPAN></P>
<P class=MsoPlainText style="BORDER-RIGHT: medium none; PADDING-RIGHT: 0cm; BORDER-TOP: medium none; PADDING-LEFT: 0cm; PADDING-BOTTOM: 0cm; MARGIN: 0cm 0cm 0pt; BORDER-LEFT: medium none; PADDING-TOP: 1pt; BORDER-BOTTOM: medium none; mso-border-alt: solid windowtext .5pt; mso-padding-alt: 1.0pt 4.0pt 1.0pt 4.0pt; mso-border-between: .5pt solid windowtext; mso-padding-between: 1.0pt; mso-padding-top-alt: 1.0pt"><SPAN lang=EN-GB style="FONT-SIZE: 9pt; mso-ansi-language: EN-GB"><FONT face="Courier New">ip audit attack action alarm<o:p></o:p></FONT></SPAN></P></DIV>
<BR>Gracias. <BR>
<BR>
<BR>> From: eduardo.grosclaude@gmail.com<BR>> Date: Tue, 17 Nov 2009 14:36:53 -0300<BR>> To: centos-es@centos.org<BR>> Subject: Re: [CentOS-es] LVS<BR>> <BR>> 2009/11/17 ces can <arvegas21@hotmail.com><BR>> ><BR>> > SALUDOS:<BR>> ><BR>> > me he dado cuenta que el firewall tien activado la opcion anti "ip spoofing" tendra eso algo que ver igual lo deshabilite pero no funciona o habra que esperar un tiempo ?<BR>> > Alguien que me pueda ayudar?<BR>> <BR>> Insisto con mi visión desde la ignorancia de LVS (expertos bienvenidos):<BR>> <BR>> Intenta ver si los equipos emiten o no un ARP response gratuito<BR>> durante el failover. Para esto, por ejemplo, se puede poner un equipo<BR>> Linux como monitor en la DMZ con tcpdump activado (o wireshark) y ver<BR>> el tráfico que pasa. Si desconectas el VS activo se debería provocar<BR>> un failover a cargo del otro, y entonces en el monitor deberías ver<BR>> tráfico de ARP relacionando la IP de servicio con la nueva MAC (ya que<BR>> este tráfico es de broadcast, y entonces el switch lo conduce a todos<BR>> los ports). Luego deberías llevar los dos nodos a un estado conocido<BR>> (restart de heartbeat o de los nodos) para evitar el split brain.<BR>> <BR>> La forma de escuchar la red con tcpdump podría ser (como root) tcpdump<BR>> -i eth0 host X.X.X.X (la VIP del conjunto LVS). No es la única manera<BR>> de observar el tráfico, pero todo depende de qué plataformas tienes en<BR>> tu red. Por ejemplo, no nos dices con qué implementación de firewall<BR>> cuentas (Es un PIX? Es un Linux? Es otra cosa?)<BR>> <BR>> 1) Si no hay actividad de ARP, habría que revisar la configuración de<BR>> heartbeat en los directores LVS (está configurado el recurso ipfail?).<BR>> 2) Si hay actividad de ARP, y aún así el firewall no está reaccionando<BR>> (remapeando la nueva información de ARP), habría que estudiar qué<BR>> cambio en la restrictividad del firewall puede ayudarte (como la que<BR>> dijiste de anti-ip-spoofing). Relaja todo lo posible la conf. del<BR>> firewall a ver si se logra lo que buscas.<BR>> <BR>> Me parece que te va a dar la posibilidad 2) porque en tu OP dices que<BR>> el failover sí funciona desde la DMZ.<BR>> <BR>> Este post te sirve? http://www.gossamer-threads.com/lists/lvs/users/20884<BR>> Aquí hay un howto para Debian que parece útil:<BR>> http://www.estrellateyarde.es/discover/cluster-ultramonkey-en-linux<BR>> <BR>> --<BR>> Eduardo Grosclaude<BR>> Universidad Nacional del Comahue<BR>> Neuquen, Argentina<BR>> _______________________________________________<BR>> CentOS-es mailing list<BR>> CentOS-es@centos.org<BR>> http://lists.centos.org/mailman/listinfo/centos-es<BR> <br /><hr />Get news, entertainment and everything you care about at Live.com. <a href='http://www.live.com/getstarted.aspx ' target='_new'>Check it out!</a></body>
</html>