In den Linux-Kernel ist das Firewall-Tool ipchains integriert. Wenn Load Balancer und ipchains gleichzeitig ausgeführt werden, sieht Load Balancer die Pakete zuerst. Erst danach werden sie von ipchains gesehen. Deshalb kann ipchains verwendet werden, um die Sicherheit einer Linux-Maschine mit Load Balancer zu erhöhen. Bei einer solchen Maschine könnte es sich beispielsweise um einen Rechner mit Load Balancer handeln, der einen Lastausgleich für Firewalls durchführt.
Informationen zu dieser Task
Eine angemessene ipchains-Strategie für die Load-Balancer-Maschinen wäre, den gesamten Datenverkehr mit Ausnahme
des Verkehrs von oder zu den Back-End-Servern, den Partnermaschinen für hohe Verfügbarkeit, allen Erreichbarkeitszielen oder
Konfigurationshosts zu unterbinden.
Sie sollten iptables nicht aktivieren, wenn Sie Load Balancer mit einem
Linux-Kernel der Version
2.4.10.x ausführen. Eine Aktivierung unter diesem Linux-Kernel
kann im Laufe der Zeit zur
Beeinträchtigung des Durchsatzes führen.
Prozedur
- Wenn Sie iptables oder ipchains aktivieren möchten, müssen Sie sie mit vollständiger Einschränkung
konfigurieren, damit kein eingehender und kein abgehender Datenverkehr zugelassen wird.
Der Teil von Load Balancer, der
für die Paketweiterleitung verantwortlich ist, funktioniert weiterhin normal.
Ein gewisses Maß an Datenverkehr muss
erlaubt sein, da Load Balancer sonst nicht fehlerfrei
arbeiten kann. Nachfolgend sind einige Beispiele für eine solche Kommunikation aufgelistet:
- Die Advisor-Funktionen auf der Load-Balancer-Maschine und auf den Back-End-Servern kommunizieren miteinander.
- Load Balancer sendet Ping-Aufrufe an Back-End-Server, Erreichbarkeitsziele und Load-Balancer-Partnermaschinen für
hohe Verfügbarkeit.
- Die Benutzerschnittstellen (grafische Benutzerschnittstelle, Befehlszeile und Assistenten) verwenden
RMI.
- Die Back-End-Server müssen auf die Ping-Aufrufe der Load-Balancer-Maschine reagieren.
- Gehen Sie zum Inaktivieren von iptables wie folgt vor:
- Listen Sie die Module auf, die ip_tables und ip_conntrack verwenden.
Setzen Sie den folgenden Befehl ab:
lsmod
- Entfernen Sie sie mit den folgenden Befehlen:
rmmod ip_tables
rmmod ip_conntrack
Nach einem Warmstart der Maschine werden diese Module wieder hinzugefügt.
Sie müssen diese Schritte deshalb nach jedem Warmstart wiederholen.