Sécurisation par Failover avec UCARP
Cet article décrit comment sécuriser simplement des services Squid et Dnsmasq, avec UCARP.
L’exemple est donné pour Fedora et les autres de la famille Redhat, transposable à Ubuntu et la famille Debian.
Soit un service Squid en 192.168.1.28:3128 et un service Dnsmasq en 192.168.1.27:53.
Sur le serveur maître
# yum install ucarp # gedit /etc/ucarp/vip-001.conf VIP_ADDRESS="192.168.1.28" SOURCE_ADDRESS="192.168.1.9" BIND_INTERFACE="eth0" OPTIONS="-k 50 --preempt" # gedit /etc/ucarp/vip-002.conf VIP_ADDRESS="192.168.1.27" SOURCE_ADDRESS="192.168.1.9" BIND_INTERFACE="eth0" OPTIONS="-k 50 --preempt" # systemctl start ucarp.service # systemctl enable ucarp.service
Serveur esclave
# yum install ucarp # gedit /etc/ucarp/vip-001.conf VIP_ADDRESS="192.168.1.28" SOURCE_ADDRESS="192.168.1.10" BIND_INTERFACE="eth0" OPTIONS="-k 100 --preempt" # gedit /etc/ucarp/vip-002.conf VIP_ADDRESS="192.168.1.27" SOURCE_ADDRESS="192.168.1.10" BIND_INTERFACE="eth0" OPTIONS="-k 100 --preempt" # systemctl start ucarp.service # systemctl enable ucarp.service
Cette configuration est plus simple et performante que Keepalived, et surtout ne pose pas de problème (Connection Reset) avec les navigateurs de la famille Chromium.
(2) commentaires
Laisser un commentaire
Vous devez être connecté pour publier un commentaire.
Ping : Bloquer la publicité avec AdBlock et Dnsmasq - hilsz.com
Fedora 18 a introduit une nouvelle convention, le service est désormais désigné par ucarp@<hostname> au lieu d’ucarp, en spécifiant le nom de l’hôte.
Un problème est apparu. Le service est en panne lorsque l’interface réseau est inactive, ce qui peut empêcher le démarrage. Une solution palliative provisoire est de croner un démarrage toutes les minutes :
* * * * * systemctl start ucarp@<hostname>.service