Dans les firewall redondants, il faut utiliser conntrackd pour que le firewall de secours ait toutes les connexions suivies.

Parfois, on peut voir dans les logs :

conntrackd: (pid=4066) [ERROR] inject-upd1: Device or resource busy
conntrack-tools: inject-upd1: Device or resource busy
conntrack-tools: udp      17 30 src=10.8.255.35 dst=1.1.1.44 sport=48619 dport=123

Cela se produit lorsqu'un ordinateur du réseau envoie les paquets de sortie directement sur le firewall de secours au lieu d'utiliser le firewall principal. C'est dû à une table ARP des équipements mal remplie.

On va essayer de redémarrer le VRRP sur le firewall de secours : service keepalived restart.

Si cela ne fonctionne toujours pas, il faut forcer la mac adresse depuis le firewall principal en utilisant le paquet "iputils-arping" : arping -U -c 1 -I vrrp.5 10.8.255.254. Il faudra peut-être envoyer les adresses physiques aussi en utilisant l'interface de VLAN correspondant.

Une fois fait, il faut redémarrer le service conntrackd sur le firewall principal : service conntrackd stop ; service conntrackd start