[CentOS-es] LVS

ces can arvegas21 en hotmail.com
Mie Nov 18 02:32:05 UTC 2009


Gracias amigo por responder:

El firewall que tenemos es un PIX de cisco y como mencioné tiene activado el anti ip spoofing aparte de una especie de IDS

pego un poco del que muestra el show running:

 


ANTI IP SPOOFING
ip verify reverse-path interface out
ip verify reverse-path interface in
ip verify reverse-path interface dmz_ext
ip verify reverse-path interface dmz_int
 

ACTIVANDO IDS CISCO
ip audit name XXX attack action drop reset
ip audit interface out XXX
ip audit interface in XXX
ip audit interface dmz_ext XXX
ip audit interface dmz_int XXX
ip audit info action alarm
ip audit attack action alarm
 
Gracias. 

 

 
> From: eduardo.grosclaude en gmail.com
> Date: Tue, 17 Nov 2009 14:36:53 -0300
> To: centos-es en centos.org
> Subject: Re: [CentOS-es] LVS
> 
> 2009/11/17 ces can <arvegas21 en hotmail.com>
> >
> > SALUDOS:
> >
> > me he dado cuenta que el firewall tien activado la opcion anti "ip spoofing" tendra eso algo que ver igual lo deshabilite pero no funciona o habra que esperar un tiempo ?
> > Alguien que me pueda ayudar?
> 
> Insisto con mi visión desde la ignorancia de LVS (expertos bienvenidos):
> 
> Intenta ver si los equipos emiten o no un ARP response gratuito
> durante el failover. Para esto, por ejemplo, se puede poner un equipo
> Linux como monitor en la DMZ con tcpdump activado (o wireshark) y ver
> el tráfico que pasa. Si desconectas el VS activo se debería provocar
> un failover a cargo del otro, y entonces en el monitor deberías ver
> tráfico de ARP relacionando la IP de servicio con la nueva MAC (ya que
> este tráfico es de broadcast, y entonces el switch lo conduce a todos
> los ports). Luego deberías llevar los dos nodos a un estado conocido
> (restart de heartbeat o de los nodos) para evitar el split brain.
> 
> La forma de escuchar la red con tcpdump podría ser (como root) tcpdump
> -i eth0 host X.X.X.X (la VIP del conjunto LVS). No es la única manera
> de observar el tráfico, pero todo depende de qué plataformas tienes en
> tu red. Por ejemplo, no nos dices con qué implementación de firewall
> cuentas (Es un PIX? Es un Linux? Es otra cosa?)
> 
> 1) Si no hay actividad de ARP, habría que revisar la configuración de
> heartbeat en los directores LVS (está configurado el recurso ipfail?).
> 2) Si hay actividad de ARP, y aún así el firewall no está reaccionando
> (remapeando la nueva información de ARP), habría que estudiar qué
> cambio en la restrictividad del firewall puede ayudarte (como la que
> dijiste de anti-ip-spoofing). Relaja todo lo posible la conf. del
> firewall a ver si se logra lo que buscas.
> 
> Me parece que te va a dar la posibilidad 2) porque en tu OP dices que
> el failover sí funciona desde la DMZ.
> 
> Este post te sirve? http://www.gossamer-threads.com/lists/lvs/users/20884
> Aquí hay un howto para Debian que parece útil:
> http://www.estrellateyarde.es/discover/cluster-ultramonkey-en-linux
> 
> --
> Eduardo Grosclaude
> Universidad Nacional del Comahue
> Neuquen, Argentina
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
 		 	   		  
_________________________________________________________________
News, entertainment and everything you care about at Live.com. Get it now!
http://www.live.com/getstarted.aspx
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: http://lists.centos.org/pipermail/centos-es/attachments/20091117/c3b6c073/attachment.html 


Más información sobre la lista de distribución CentOS-es