Corosync et le firewall

vandman · Février 21, 2016, 1:10pm

Bonjour, je cherche a parametrer mon cluster. j’ai choisi de mettre en place pacemaker. je dois donc parametrer corosync pour continuer.

Le seul hic est que je refuse les connections entrante et sortante dans mon firewall et je ne veux pas changer cela. J’utilise ufw et sa version graphique Gufw pour le parametrage.

Comment dois-je parametrer mon firewall pour autoriser les ports et adresses utilisés par corosync?

Parametre dans corosync:
Serveur 1
Sur carte eth0 (192.168.0.2), ringnumber1 => 192.168.0.0 (Ip de multicast 239.94.1.0 port 5402)
Sur carte eth1 (10.0.0.2), ringnumber0 => 10.0.0.0 (Ip de multicast 239.94.1.1 port 5404)

Serveur 2
Sur carte eth0 (192.168.0.102), ringnumber1 => 192.168.0.0 (Ip de multicast 239.94.1.0 port 5402)
Sur carte eth1 (10.0.0.2), ringnumber0 => 10.0.0.0 (Ip de multicast 239.94.1.1 port 5404)

J’utilise les adresse 192.168.0.* pour mon réseau local et l’acces à internet
J’utilise les adresse 10.0.0.* comme ligne directe entre les deux serveurs

Cordialement,
Vandman

vandman · Février 21, 2016, 1:12pm

Bonjour,

Apres investigation, je vais m’auto répondre.

j’ai fait deux choses: ouvrir les ports sur les adresses 10.0.0.* et 192.168.0.* via Gufw (outil de configuration grafique du firewall) et autoriser le multicast sur les adresses 239.94.1.*.

Pour autoriser le multicast sur les adresses 239.94.1.*
A faire sur les deux serveurs, modifier le fichier /etc/ufw/before.rules et ajouter:

[code]# allow MULTICAST Corosync for service discovery (be sure the MULTICAST line above

is uncommented)

-A ufw-before-input -p udp -d 239.94.1.0 --dport 5402 -j ACCEPT
-A ufw-before-input -p udp -d 239.94.1.1 --dport 5404 -j ACCEPT
-A ufw-before-output -p udp -d 239.94.1.0 --sport 5401 -j ACCEPT
-A ufw-before-output -p udp -d 239.94.1.1 --sport 5403 -j ACCEPT[/code]

A faire sur le serveur 1 via Gufw

Connexion entrante:

Destination Source 192.168.0.2 => port 5404/UDP 192.168.0.102 => port 5403/UDP 10.0.0.2 => port 5402/UDP 10.0.0.102 => port 5401/UDP

Connexion Sortante

Destination Source 192.168.0.102 => port 5404/UDP 192.168.0.2 => port 5403/UDP 10.0.0.102 => port 5402/UDP 10.0.0.2 => port 5401/UDP

A faire sur le serveur 2 via Gufw

Connexion entrante:

Destination Source 192.168.0.102 => port 5404/UDP 192.168.0.2 => port 5403/UDP 10.0.0.102 => port 5402/UDP 10.0.0.2 => port 5401/UDP

Connexion Sortante

Destination Source 192.168.0.2 => port 5404/UDP 192.168.0.102 => port 5403/UDP 10.0.0.2 => port 5402/UDP 10.0.0.102 => port 5401/UDP
Cordialement,