Keepalived – Configuration firewall

Posted on 08/02/2011 · Posted in Réseau

Keepalived logoPetit mémo pour se souvenir de la configuration Firewall à adopter pour faire fonctionner Keepalived correctement.

Keepalived est un binaire qui utilise – entre autre – VRRP comme système de vérification de santé (heartbeat) afin de réaliser – entre autre – un cluster actif / passif.
VRRP est un protocole IP multicast ayant le numéro de protocole 112.

Il existe trois types d’authentification pour un cluster VRRP :

Pour pouvoir fonctionner correctement, les différents membres du cluster VRRP doivent être capable de récupérer les trames IP du protocole 112.

En fonction du type d’authentification, il faudra adapter la configuration de votre Firewall.

Voici la commande iptables lorsque vous n’avez pas d’authentification ou un mot de passe en clair.

1
iptables -A INPUT -p vrrp -i eth0 -j ACCEPT

Lorsque vous utilisez IP AH, l’autorisation du protocole AH suffira.

1
iptables -A INPUT -p ah -i eth0 -j ACCEPT

A noter que Keepalived utilise VRRP définit par la RFC2338, cette RFC est devenue obsolète par la RFC3768 depuis 2004.
Ce petit mot pour vous dire que la RFC3768 (la dernière) ne définit plus les différents mécanisme d’authentification à cause de – je cite – “they did not provide any real security and would only cause multiple masters to be created.”