Topic: Iptables et Ip failover sur un serveur Web en haute dispo

[enzweb]

Bonjour!

Pour mon association je met en place un serveur Web avec replication Ibays et BDD pour de la haute dispo ("Sme 8.06" en "server only")!

Tout replique correctement mon ip failover est toujours valide lorsque l'un des serveurs tombe...

Sur mon réseau local j'accede sans probleme a ma page web, cependant, dés lors que je veux y accéder via le web, impossible de l'afficher sauf lorsque je désactive "iptables"

Je recherche sur les divers forums une soluce, mais impossible de parametrer quoi que ce soit, pourtant je commence a etre plutot avertis sur la Sme mais la ouvertement je seche!

L'un d'entre vous peut il me guider un peut???!

(demander moi des precisions si besoin afin de mieux cibler le problème!!!)

Merci!!!
Cdt!

[stephdl]

au niveau des propriétés de l'ibay dans le server-manager as tu paramétré l’accès a tout internet sans mot de passe (écriture admin, lecture tous)

[stephdl]

si tu veux en discuter en direct tu as sur freenode plusieurs canaux irc

sme-fr en francais
sme_server en glaoush

au besoin vient me chercher sur la canal anglophone :p

[enzweb]

Bonjour,

Lorsque j'aurais un peu plus de temps libre j'irais vers IRC, pour le moment je vais me contenter de répondre!!!

"au niveau des propriétés de l'ibay dans le server-manager as tu paramétré l’accès a tout internet sans mot de passe (écriture admin, lecture tous)"

Oui, pour cela c'est Ok, et tout est vraiment accessible sur le web, mais seulement si je desactive "iptables".

Je pense qu'un gros travail est a faire sur le pare-feu, en occurence des translations de mon IP failover vers mon IP serveur a laquelle doivent repondre les requete web!

Seulement meme si j'ai quelques infos par-ci par-là, rien est formel, sans compter que sur une SME il y a des modif a faire egalement dans les templates, mais ca ne me fait pas peur si j'ai deja la source du probleme!

Je ne me vois pas désactiver Iptables sur mes deux serveur, et en ajouter un troisième en IpCop, ça va devenir ingérable, donc je préfère me concentrer sur mes deux machine et solutionner!

Qu'en penses-tu????

[guest22]

What High Availability are you using, how is it setup pls?

[enzweb]

What High Availability are you using, how is it setup pls?

Bonjour

Voici ma config:

2 machines sous "SME 8.06" en "server only"
le lien failover se fait RS232 sous "heartbeat"
la replication est minimale: -Unison pour la replacation des Ibays (sécurisé avec ssh-keys),
                     -replication native de mysql pour la base de donnée!

Ainsi tout est suffisant, est parfaitement mirroré, le "strict necessaire" en tout cas!

(J'avais essayer d'installer drbd pour un mirroring complet mais avec une SME ça devient beaucoup trop lourd a
parametrer)

Une carte reseau sur chaque machine Eth0 pour l'Ip serveur web pour et Eth0:0 pour le failover

                       Box(Gateway)              Ip Failover               Serveur Primary
   Web-------------82...WW-------------192...XX------------eth0:192...YY
                       DMZ:192...XX                    |                      eth0:0:192...XX
                                                             |
                                                             |
                                                             |
                                                             |                      Server Secondary
                                                               ---------------eth0:192...ZZ
                                                                                    eth0:0:192...XX

Ip failover est celle renseignée dans la DMZ de la box!

Dans le principe tout est fonctionnel,sauf l'accés de l'exterieur vers mes serveurs lorsque mon pare-feu est actif!

Voila!!!

[stephdl]

je vais botter en touche car moi la H.A est un peu de trop too much....désolé.

Par contre RequestedDeletion avait l'air d'avoir quelques idées....déjà il me faisait état de de savoir si selinux etait désactivé.

essai de voir avec lui.

[enzweb]

Bonjour et merci tout de même Stephdl, je vais encore creuser un peu de mon coté!

Et oui SELINUX est désactivé!

[guest22]

With the cluster software of CentOS there is the same issue. I don;t know the reason yet, so I have to stop IPTables to get the communication between the 2 nodes up and running. Maybe you want to search for 'ricci IPTables' or 'Corosync IPTables' and both with SElinux as search string too.

[enzweb]

C'est effectivement le problème!

L'IP virtuelle est valide soit lorsque j'arrête "masq" ou "iptables", je pense qu'il faut mieux creuser vers masquerade!

[Xavier.A]

Salut,

@enzweb : Je réactive ce post par curiosité, pour savoir si tu as trouvé une solution.

La première chose à faire selon moi c'est déjà sur toutes tes machines un

Code: [Select]

iptables -vL -nvoire

Code: [Select]

iptables -vL -n | grep 192...XX
pour nous montrer comment est configurer le masquerading !

Ensuite as tu pensé à les passer en "gateway" et non en "server only" pour tester même s'il n'y a rien derriere .
Ca peut te permettre de leur attribuer une IP sur la patte externe et une sur la patte interne.Sur SME à la différence de pfsense on ne peut utiliser trivialement que 2 interfaces réseaux (une troisième pour du wifi c'est possible avec du bidouillage mais attention à la configuration d'iptables !)

Pour eth0:0 ça ressemble à du vlan :
que donne

Code: [Select]

ifconfig | grep eth0et

Code: [Select]

ifconfig eth0:0
puis

Code: [Select]

cat /etc/sysconfig/network-scripts/ifcfg-eth0.0
Pour moi, mais c'est qu'une piste j'aurais monté mes vlan sur eth0 mais j'aurais utilisé une eth1 sur chaque sme pour les ip atteignables par pfsense et j'aurais relier le tout par deux cables RJ45 au même switch

De toute manière le problème vient effectivement de ta manière de router les paquets sur ton réseau (as tu fais un ping à partir de pfsense de chaque ip ?)
et surtout tu ne pourras pas éviter l'audit du script firewall de la SME (/etc/init.d/masq)

Voilà, tiens nous au courant si tu passes encore par là, ça m'interesse beaucoup comme solution même si je n'en ai pas l'usage à court terme 

A+

Xavier