pfSense Carp IP Adresinin Squid için Kullanımı
pfSense Firewall, Master ve Backup olarak senkronize ve yedekli çalışması ile bilinen Carp (Common Address Redundancy Protocol) yapısına sahiptir.
Carp için ortak bir IP kullanılmaktadır. Carp IP adresi sanal bir IP adresidir ve ağ arabirimlerine tanımlanmaz. Aktif olan sistem bu ip adresini üstlenir, eğer aktif sistemin (Master) başına bir iş gelirse sadece MAC değişikliği ile Carp IP adresini diğer sistem (Backup) üstlenir ve herşey kaldığı yerden devam eder.
Tüm firewall,router ve servis rolleri pfMaster sistemi üzerinden hizmet verirken, çeşitli network/hardware problemleri olduğunda anında tüm roller pfBackup’a geçer ve bu şekilde servisler,istemciler problem yaşamadan çalışma hayatına devam ederler.
pfSense Carp yapısının kurulumu ve yapılandırması için aşağıdaki kaynağı ziyaret edebilirsiniz.
http://cehturkiye.com/videos/pfsense/pfsense_hardware_redundancy_carp/
Ayrıca şunu belirtmekde fayda, iki pfSense tüm ayarlar için sürekli senkronize olurken state table’larını bile paylaşırlar. pfSense firewall’larda sadece TCP için değil UDP,ICMP gibi stateless protokoller içinde kayıtlar tutulur ve firewall geçişleri arasında paket kayıpları sıfıra indirilir, bazı özel durumlar dışında oturumlar sonlandırılmadan trafik akmaya devam eder.
Diagnostics > State sekmesinden state table görüntüleyebilirsiniz.
Bu blog girdisinde, pfSense Carp yapılarında Squid proxy kullanıyorsanız, Carp ip adresinden hizmet alabilmek için yapılacak ayarlardan bahsedilmektedir.
Bu uygulamayı kendi yapınıza uyarlamadan önce, mutlaka sanal sistemlerde test etmenizi öneririz.
Lab. Ortamı
Bu çalışmada aşağıdaki gibi bir çalışma ortamı yaratılmıştır. 172.160.160.3 Lan Carp IP adresidir.
pfMaster
pfBackup
Squid Konfigurasyonu
Carp IP adresinden gelen trafiği yönlendirmesi için Lan arabirimi ile birlikte ‘loopback‘ arabiriminide dinleme alıyoruz.
Carp IP adresine gelen trafiği loopback (127.0.0.1) e yönlendirmemiz yeterli. Bu işlem için Firewall > Nat > Port Forward sekmesinden aşağıdaki gibi bir kural girmeliyiz. 3128 squid’in çalıştığı port numarası eğer farklı bir port numarası kullanıyorsanız bunu belirtmeniz gerekir.
İnternet tarayıcılarınıza proxy ip adresi olarak artık Carp ip adresini tanımlayabilirsiniz. pfMaster’ın başına bir iş geldiğinde, pfBackup devreye girecek ve http trafiğinizde proxy üzerinden akmaya devam edecektir.
Örnek bir yasaklama.
Test için pfMaster’ı kapatın ve internette gezinmeye devam edin. Trafiğin pfBackup üzerinden kesintisiz devam ettiğini tecrübe edinmiş olacaksınız.
Yazar: Ozan UÇAR
[email protected]
You wrong. It must be “Common Address Redundancy Protocol”
Thanks for your interest. i updated this post.