Le projet consiste à co-localiser une petite structure de centre de données (localement à des fins de développement et d’hébergement (WebServer)) derrière les pare-feu de PFsense. Nous avons quelques HP DL360 G5 prêtes à être utilisées à cet effet. Passons donc à la structure du projet que je compte construire:
Pfsense Firewall: 3x Pfsense pour l’utilisation principale de la sécurité + 3 Mise en miroir des principaux pare-feu PFsense par Fail.
Structure Ubuntu MaaS DC (y compris Juju, etc.) : 1x contrôleur de région + 2x contrôleur de rack pour 2x unités de serveur en rack séparées.
Mon plan est de construire un pare-feu multiple avec PFsense. J'espère que l'architecture logique est correcte:
Provider Router/Modem
|
PFs1---------------------------------------------------PFs1m
| |
PFs2---------------------------------------------------PFs2m
| |
PFs3---------------------------------------------------PFs3m
|
MaaS Region Controller
/\
/ \
/ \
MaaS Rack Controller--------------- -----------------MaaS Rack Controller
/ \ / \
Nodes Nodes Nodes Nodes
Légende:
PFs {number} = PFsense
PFs {nombre} m = PFsense (miroir pour HA)
Est-il possible d'utiliser plusieurs pare-feu PFsense pour "améliorer" la sécurité avec davantage de pare-feu derrière? Comment faire ça?
La réponse à cette question est OUI, vous pouvez!
CARP est la meilleure méthode pour cet usage.
Vous pouvez configurer autant de pare-feu que vous le souhaitez. Tout ce que vous allez faire est de refléter le premier pare-feu en tant que clone. Exemple: vous obtenez 3 pare-feu (FW1, FW2, FW3)
FW1 est le 0 principal
FW2 est le clone de 1
FW3 est le clone de 2
Donc si:
1: FW1 est UP -> FW2 est UP -> FW3 est UP = FW1 est en cours d'exécution (FW2 + FW3 en tant que clone)
2: FW1 est DOWN -> FW2 est UP -> FW3 est UP = FW2 est en cours d'exécution (FW3 en tant que clone)
3: FW1 est DOWN -> FW2 est DOWN -> FW3 est UP = FW3 est en cours d'exécution (pas de clone)
4: FW1 est UP -> FW2 est DOWN/UP -> FW3 est DOWN/UP = FW1 est en cours d'exécution (FW2 + FW3 en tant que clone).
.
.
etc.
Recherchez autour de CARP + PFSense + Ubuntu aussi bien sur les forums PFSense.