Vous utilisez un serveur sous GNU/Linux Debian qui fait à la fois de la répartition de charge en mode NAT, pour un ou plusieurs services donnés, à l'aide d'IPVS (IP Virtual Server) et pare-feu grâce à NetFilter ? Vous rencontrez probablement quelques soucis en terme de filtrage, et notamment pour les paquets SYN/ACK renvoyés par vos serveurs réels sur lesquels vous faite la répartition de charge. C'est là qu'intervient le support du suivi de connexion pour IPVS ! Il vous faut en effet appliquer le patch NFCT (NetFilter Connection Tracking) à votre noyau pour que tout fonctionne correctement.
Mot-clé - netfilter
Gestion du FTP avec NetFilter
Il est sûrement arrivé à plus d'un de vouloir laisser passer un flux FTP sur leur pare-feu NetFilter : Quoi de plus normal ? Survient alors le fameux épisode du module ip_conntrack_ftp, voir en prime ip_nat_ftp dans le cas d'une translation d'adresse. On se renseigne sur la différence entre active […]
NetFilter : quelques "régles"
Les deux premières leçons à retenir en ce qui concerne NetFilter : Il faut toujours initialiser les cibles par défaut, même pour les chaînes des tables que nous ne pensons peut-être pas utiliser. Il faut en toute situation connaître l'état de de ces cibles. Un script Netfilter devrait donc toujours […]