Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

ufw ou Gufw et Corosync

vandman

Bonjour, je cherche a parametrer mon cluster. j'ai choisi de mettre en place pacemaker. je dois donc parametrer corosync pour continuer.

Le seul hic est que je refuse les connections entrante et sortante dans mon firewall et je ne veux pas changer cela. J'utilise ufw et sa version graphique Gufw pour le parametrage.

Comment dois-je parametrer mon firewall pour autoriser les ports et adresses utilisés par corosync?

Parametre dans corosync:
Serveur 1
Sur carte eth0 (192.168.0.2), ringnumber1 => 192.168.0.0 (Ip de multicast 239.94.1.0 port 5402)
Sur carte eth1 (10.0.0.2), ringnumber0 => 10.0.0.0 (Ip de multicast 239.94.1.1 port 5404)

Serveur 2
Sur carte eth0 (192.168.0.102), ringnumber1 => 192.168.0.0 (Ip de multicast 239.94.1.0 port 5402)
Sur carte eth1 (10.0.0.2), ringnumber0 => 10.0.0.0 (Ip de multicast 239.94.1.1 port 5404)

J'utilise les adresse 192.168.0.* pour mon réseau local et l'acces à internet
J'utilise les adresse 10.0.0.* comme ligne directe entre les deux serveurs

Cordialement,
Vandman

Haleth

Le seul hic est que je refuse les connections entrante et sortante dans mon firewall et je ne veux pas changer cela.

Tu connais le problème..

vandman

c'est drole 😃 😃 😃 😃 😃
Bien entendu il faut comprendre que je ne veux pas ouvrir completement ma machine à tout le monde.
Je veux etre maitre de ce qui sort et entre.
C'est pour cela que je demande de l'aide pour autoriser l'utilisation de corosync à travers le firewall...

Cordialement...

Haleth

Si tu penses que changer ces règles met en danger la sécurité de ton environnement, alors c'est toi le problème 🙂
Je te conseille de suivre une formation sur la sécurité informatique en réseau
Prend un congé maladie si c'est ton travail

vandman

J'ai jamas écrit ou pensé "que changer ces règles met en danger la sécurité de ton environnement".
Justement je veux les adapter à mes besoins.
c'est une discussion vraiement stérile qui ne fait rien avancer.

Y-a-t-il quelqu'un pour m'aider.

Cordialement,

vandman

Bonjour,

Apres investigation, je vais m'auto répondre.

j'ai fait deux choses: ouvrir les ports sur les adresses 10.0.0.* et 192.168.0.* via Gufw (outil de configuration grafique du firewall) et autoriser le multicast sur les adresses 239.94.1.*.

Pour autoriser le multicast sur les adresses 239.94.1.*
A faire sur les deux serveurs, modifier le fichier /etc/ufw/before.rules et ajouter:

# allow MULTICAST Corosync for service discovery (be sure the MULTICAST line above
# is uncommented)
-A ufw-before-input -p udp -d 239.94.1.0 --dport 5402 -j ACCEPT
-A ufw-before-input -p udp -d 239.94.1.1 --dport 5404 -j ACCEPT
-A ufw-before-output -p udp -d 239.94.1.0 --sport 5401 -j ACCEPT
-A ufw-before-output -p udp -d 239.94.1.1 --sport 5403 -j ACCEPT

A faire sur le serveur 1 via Gufw

Connexion entrante:

   Destination                           Source
192.168.0.2 => port 5404/UDP    192.168.0.102 => port 5403/UDP
10.0.0.2 => port 5402/UDP       10.0.0.102 => port 5401/UDP

Connexion Sortante

   Destination                           Source
192.168.0.102 => port 5404/UDP    192.168.0.2 => port 5403/UDP
10.0.0.102 => port 5402/UDP       10.0.0.2 => port 5401/UDP

A faire sur le serveur 2 via Gufw

Connexion entrante:

   Destination                           Source
192.168.0.102 => port 5404/UDP    192.168.0.2 => port 5403/UDP
10.0.0.102 => port 5402/UDP       10.0.0.2 => port 5401/UDP

Connexion Sortante

   Destination                           Source
192.168.0.2 => port 5404/UDP    192.168.0.102 => port 5403/UDP
10.0.0.2 => port 5402/UDP       10.0.0.102 => port 5401/UDP

Cordialement,