Le pare-feu ipchains est intégré au noyau Linux.
Lors de l'exécution simultanée de Load Balancer et de ipchains, Load Balancer voit les paquets avant ipchains. Vous pouvez ainsi utiliser ipchains pour renforcer une machine Load Balancer Linux, tel qu'une machine Load Balancer permettant de charger des pare-feux d'équilibrage de charge.
A propos de cette tâche
En règle générale, la stratégie ipchains adaptée aux machines
Load Balancer consiste à refuser tout type de trafic, sauf celui à
destination et provenant des serveurs dorsaux, de la machine Load Balancer
haute disponibilité partenaire, des cibles à atteindre ou des hôtes
de configuration.
Il est recommandé de ne pas activer
les iptables lorsque vous exécutez Load Balancer sur le noyau Linux 2.4.10.x afin de ne pas affecter les performances dans le temps.
Procédure
-
Pour activer les iptables ou ipchains, configurez-les pour
qu'ils soient complètement restreints afin qu'aucun trafic entrant ou sortant ne soit
autorisé. La portion de Load Balancer qui transmet les paquets continue de fonctionner normalement.
Le
fonctionnement correct de l'ensemble de Load Balancer nécessite l'autorisation de trafic
supplémentaire. Voici quelques exemples de
communication :
- Les conseillers communiquent entre la machine Load Balancer et les serveurs dorsaux.
- Load Balancer envoie une commande ping aux serveurs dorsaux,
aux cibles à atteindre et aux machines Load Balancer à haute
disponibilité partenaires.
- Les interfaces utilisateur (interface graphique, ligne de
commande et assistants) utilisent les appels RMI.
- Les serveurs dorsaux doivent répondre aux commandes ping
provenant de la machine Load Balancer.
-
Pour désactiver les iptables :
-
Affichez la liste des modules qui utilisent ip_tables et ip_conntrack.
Exécutez la commande suivante :
lsmod
-
Supprimez-les à l'aide des commandes suivantes :
rmmod ip_tables
rmmod ip_conntrack
Lorsque vous réamorcez la machine, ces modules sont de nouveau ajoutés de sorte que vous devez
répéter cette procédure après chaque réamorçage.