Criando cluster com o PFSense
A redundância é um fator importante em uma rede. Este artigo ensina como criar uma redundância com duas máquinas utilizando PFSense, fazendo FailOver com dois clusters.
[ Hits: 50.970 ]
Por: Leonardo Damasceno em 15/12/2009 | Blog: https://techcraic.wordpress.com
Finalizando a configuração
Vá para a aba "Virtual IPs" e clique no botão "+" para adicionar uma nova regra.
Vamos ver um exemplo de configuração:
Vou explicar as opções selecionadas/marcadas:
Clique em "SAVE".
Ainda no "Master", vamos adicionar mais um Virtual IP, para a LAN:
Clique em "SAVE".
Obs.: Não esqueça de confirmar qualquer alteração feita clicando em "Apply Changes".
Agora vá ao PFSense "Backup" ou "Right", como queira chamar.
Clique em Status > CARP (FailOver).
Se você fez tudo certo, e seu firewall principal está rodando de forma correta, no firewall "backup" deve aparecer algo como:
Volte para o firewall principal e vamos terminar de configurar.
Clique em Firewall > NAT;
Vá até a aba "OutBound".
Marque a opção "Enable advanced outbound NAT" e clique em "SAVE".
Note que o PFSense cria uma regra default, vamos editá-la. Clique no "e" ao lado da regra para editar.
Vamos deixar assim:
Ainda no Firewall Master, clique em Services > DHCP Server. Em "Failover peer IP", coloque o IP do servidor backup.
Agora, no firewall backup, também em "Services > DHCP Server", vá até "Failover peer IP" e coloque o IP do servidor Master, depois clique em "SAVE".
Vamos ver um exemplo de configuração:
- CARP - Escolhemos essa opção pois queremos que o IP seja compartilhado entre os sistemas MASTER e BACKUP
- INTERFACE - Escolhemos WAN pois é nessa interface que vamos trabalhar agora e depois na interface local (LAN)
- IP Address(es) - Nessa opção você vai digitar apenas o IP real da WAN e sua máscara
- Virtual IP Password - No nosso caso vamos utilizar mais uma vez a senha "teste"
- VHID Group - Escolha a opção "1", já que é a nosso primeiro CARP-Group
- Advertising Frequency - Essa opção vai determinar qual sistema vai se tornar "Master" colocando o menor valor, então vamos deixar "0" já que estamos configurando o Firewall "Master"
- Description - Aqui vamos colocar uma descrição, no meu caso coloquei "CARP-WAN"
Clique em "SAVE".
Ainda no "Master", vamos adicionar mais um Virtual IP, para a LAN:
- CARP - Escolhemos essa opção pois queremos que o IP seja compartilhado entre os sistemas MASTER e BACKUP
- INTERFACE - Escolhemos LAN
- IP Address(es) - Nessa opção você vai digitar apenas o IP da LAN, esse IP não pode estar em uso, e também escolha a máscara
- Virtual IP Password - No nosso caso vamos utilizar mais uma vez a senha "teste"
- VHID Group - Escolha a opção "2"
- Advertising Frequency - Escolha "0"
- Description - Aqui vamos colocar uma descrição, eu utilizei "CARP-LAN"
Clique em "SAVE".
Obs.: Não esqueça de confirmar qualquer alteração feita clicando em "Apply Changes".
Agora vá ao PFSense "Backup" ou "Right", como queira chamar.
Clique em Status > CARP (FailOver).
Se você fez tudo certo, e seu firewall principal está rodando de forma correta, no firewall "backup" deve aparecer algo como:
Clique em Firewall > NAT;
Vá até a aba "OutBound".
Marque a opção "Enable advanced outbound NAT" e clique em "SAVE".
Note que o PFSense cria uma regra default, vamos editá-la. Clique no "e" ao lado da regra para editar.
Vamos deixar assim:
- No NAT (NOT) - Não marque essa opção
- Interface - WAN
- Source - Em "Type" selecione "Network", em "Address" coloque o endereço da sua rede, por exemplo 10.50.25.0 e máscara 23
- Destination - Em "Type" selecione "Any"
- Translation - Em "Address" selecione o IP da WAN onde tem ao lado (CARP-WAN ou WAN-CARP, depende de como você definiu)
- Description - Coloque a descrição e clique em SAVE
Ainda no Firewall Master, clique em Services > DHCP Server. Em "Failover peer IP", coloque o IP do servidor backup.
Agora, no firewall backup, também em "Services > DHCP Server", vá até "Failover peer IP" e coloque o IP do servidor Master, depois clique em "SAVE".
Páginas do artigo
1. Introdução2. Finalizando a configuração
Outros artigos deste autor
Servidor de log no Debian com Syslog-ng
Segurança em seu Linux (parte 2)
Leitura recomendada
Shorewall, uma excelente opção para firewall Linux
Firewalls redundantes utilizando VRRP
Como construir um firewall de baixo custo para sua empresa (parte 2)
Comentários
[1] Comentário enviado por cleysinhonv em 15/12/2009 - 13:17h
Olá,
Me desculpe a pergunta, O que é o PFSense?
Olá,
Me desculpe a pergunta, O que é o PFSense?
[2] Comentário enviado por leodamasceno em 15/12/2009 - 13:41h
Olá cleysinhonv,
PFSense é um firewall com interface gráfica que é rodado em um FreeBSD.
Hoje, o PFSense está na versão 1.2.2, ele é muito utilizado em grandes redes.
Pode-se dizer, que ele é uma "alternativa" ao iptables, Mikrotik e outros firewalls de grande conhecimento.
Um abraço.
Olá cleysinhonv,
PFSense é um firewall com interface gráfica que é rodado em um FreeBSD.
Hoje, o PFSense está na versão 1.2.2, ele é muito utilizado em grandes redes.
Pode-se dizer, que ele é uma "alternativa" ao iptables, Mikrotik e outros firewalls de grande conhecimento.
Um abraço.
[3] Comentário enviado por fhferreira em 16/12/2009 - 08:52h
Olá,
Primeiramente Parabéns por mais um artigo bem detalhado e objetivo. Tenho uma dúvida sobre PFSense, como faço para configurar um ip secundário em uma interface do PFSense, por exemplo, ETH0:0 192.168.0.1 no caso do Linux.
Abraços.
Olá,
Primeiramente Parabéns por mais um artigo bem detalhado e objetivo. Tenho uma dúvida sobre PFSense, como faço para configurar um ip secundário em uma interface do PFSense, por exemplo, ETH0:0 192.168.0.1 no caso do Linux.
Abraços.
[4] Comentário enviado por leodamasceno em 16/12/2009 - 09:08h
Para o seu caso fhferreira,
acho que a opção "Virtual IP" no menu "Firewall" ( Firewall > Virtual IP ) vai servir :).
Você vai criar um IP Virtual na interface "X" que você vai definir, e também vai definir outras opções.
Um abraço.
Para o seu caso fhferreira,
acho que a opção "Virtual IP" no menu "Firewall" ( Firewall > Virtual IP ) vai servir :).
Você vai criar um IP Virtual na interface "X" que você vai definir, e também vai definir outras opções.
Um abraço.
[5] Comentário enviado por nps em 16/12/2009 - 10:23h
Muito bom seu tutorial, para quem não conhece o pfsense é o melhor firewall que
existe. Uso ele para compartilhar a internet em dois hoteis como gateway.
Mas não estou conseguindo fazer o traffic shaper limitar a taxa de downloads e upload
por exemplo . DOWNLOAD 15kbps e UPLOAD 15kbps
Para a classe de ips : 192.168.0.10 ate 192.168.0.50 por exemplo.
tem como vc me ajudar.
Obrigado
Muito bom seu tutorial, para quem não conhece o pfsense é o melhor firewall que
existe. Uso ele para compartilhar a internet em dois hoteis como gateway.
Mas não estou conseguindo fazer o traffic shaper limitar a taxa de downloads e upload
por exemplo . DOWNLOAD 15kbps e UPLOAD 15kbps
Para a classe de ips : 192.168.0.10 ate 192.168.0.50 por exemplo.
tem como vc me ajudar.
Obrigado
[6] Comentário enviado por y2h4ck em 16/12/2009 - 10:41h
nps, quanto a ser o melhor que existe dai ja é exagero neh ;D
nps, quanto a ser o melhor que existe dai ja é exagero neh ;D
[7] Comentário enviado por nps em 16/12/2009 - 10:50h
É, acho que exagerei. O IPTABLES do Linux é muito bom tambèm.
É, acho que exagerei. O IPTABLES do Linux é muito bom tambèm.
[8] Comentário enviado por leodamasceno em 16/12/2009 - 11:23h
y2h4ck, concerteza o PFsense é um dos melhores, e pra mim é a melhor solução livre de firewall com interface web.
Já pelo lado "pago", pra mim o melhor se chama MIKROTIK.
Respondendo a pergunta do nps:
Eu não aconselho utilizar o Traffic shaper, porque:
Simplismente ele não funciona, pois para utiliza-lo você precisa de alguns modulos no kernel, e não adianta ativar, você realmente tem que compilar o kernel e ativa-los. Um deles é o: dummynet
Uma ótima ferramenta para isso é o WebHTB, onde fiz um tutorial de instalação, acho que é um dos primeiros em português e de autoria própria:
http://www.vivaolinux.com.br/artigo/Instalando-o-WebHTB
Existem algumas alternativas pagas para controle de banda, mas nunca testei.
Lembrando que ainda existem HTB e CBQ em modo texto.
Boa sorte :)
y2h4ck, concerteza o PFsense é um dos melhores, e pra mim é a melhor solução livre de firewall com interface web.
Já pelo lado "pago", pra mim o melhor se chama MIKROTIK.
Respondendo a pergunta do nps:
Eu não aconselho utilizar o Traffic shaper, porque:
Simplismente ele não funciona, pois para utiliza-lo você precisa de alguns modulos no kernel, e não adianta ativar, você realmente tem que compilar o kernel e ativa-los. Um deles é o: dummynet
Uma ótima ferramenta para isso é o WebHTB, onde fiz um tutorial de instalação, acho que é um dos primeiros em português e de autoria própria:
http://www.vivaolinux.com.br/artigo/Instalando-o-WebHTB
Existem algumas alternativas pagas para controle de banda, mas nunca testei.
Lembrando que ainda existem HTB e CBQ em modo texto.
Boa sorte :)
[9] Comentário enviado por drakula em 16/12/2009 - 21:57h
Vale só complementar que saiu a 1.2.3 e com mudanças significativas no Load Balance, corrigiram o problema de ficar caindo, na minha opinião só falta o dansguardian nele para ficar completo.
Vale só complementar que saiu a 1.2.3 e com mudanças significativas no Load Balance, corrigiram o problema de ficar caindo, na minha opinião só falta o dansguardian nele para ficar completo.
[10] Comentário enviado por reverson_minero em 20/02/2010 - 10:48h
Cara eu lhe enviei um email...só mandei aqui pra confirmar !
Vllw
Cara eu lhe enviei um email...só mandei aqui pra confirmar !
Vllw
[11] Comentário enviado por volcom em 25/09/2012 - 16:09h
Legal, meu CARP esta funcionando sem problemas, mas além de firewall, meu PFSense também tem o Squid rodando. COmo faço para que o Squid slave assuma caso o master caia?
Até pensei em alterar a configuração do meu navegador para o IP do VIP, mas sem sucesso.
Vi algumas coisas na net sobre fazer um NAT para o loopback, mas não entendi muito bem...
Tem alguma dica?
Valeu!
Legal, meu CARP esta funcionando sem problemas, mas além de firewall, meu PFSense também tem o Squid rodando. COmo faço para que o Squid slave assuma caso o master caia?
Até pensei em alterar a configuração do meu navegador para o IP do VIP, mas sem sucesso.
Vi algumas coisas na net sobre fazer um NAT para o loopback, mas não entendi muito bem...
Tem alguma dica?
Valeu!
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Atualizar o macOS no Mac - Opencore Legacy Patcher
Crie alias para as tarefas que possuam longas linhas de comando - bash e zsh
Criando um gateway de internet com o Debian
Configuração básica do Conky para mostrar informações sobre a sua máquina no Desktop
Aprenda a criar músicas com Inteligência Artificial usando Suno AI
Dicas
Como instalar o navegador TOR no seu Linux
Instalando Zoom Client no Ubuntu 24.04 LTS
Instalando Zoom Client no Fedora 40
Instalando Navegador Firefox no Debian 12
Bloqueando propagandas no Youtube e outros sites com o uBlocker Origin
Tópicos
Top 10 do mês
-
Xerxes
1° lugar - 67.373 pts -
Fábio Berbert de Paula
2° lugar - 59.634 pts -
Clodoaldo Santos
3° lugar - 50.936 pts -
Sidnei Serra
4° lugar - 32.607 pts -
Buckminster
5° lugar - 22.597 pts -
Alberto Federman Neto.
6° lugar - 16.861 pts -
Mauricio Ferrari
7° lugar - 15.979 pts -
Diego Mendes Rodrigues
8° lugar - 14.734 pts -
Daniel Lara Souza
9° lugar - 14.710 pts -
edps
10° lugar - 14.456 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
