Re: [ml] Rieccomi con FW High Availability

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Maggio 2004 ml@sikurezza.org
Soggetto: Re: [ml] Rieccomi con FW High Availability
Mittente: Alessandro Sappia
Data: Mon, 31 May 2004 21:22:50 +0200 (CEST)

Pignedoli Luca wrote:

Ciao a tutti, tempo fa' (Dicembre 2003) avevo scritto a questa ml per avere informazioni sull'implementazione di un Firewall HA e ringrazio tutti per le risposte che mi hanno "illuminato" molto. La situazione era ed e' ancora oggi questa:
Firewall con la seguente configurazione:
eth0 Internet con vpn eth1 Rete Server (Interni) eth2 Rete client eth3 dmz eth4 momentaneamente inutilizzata, c'e' forse un progetto per collegarci una rete WiFi.

Come gia' avevo detto l'altra volta (e smentito da tutti voi) il fornitore di questa macchina mi aveva detto che in caso di guasto della macchina principale dovevo intervenire manualmente per collegare i cavi della macchina secondaria. Dopo avergli detto che non era una gran soluzione HA (anche perché' se avviene un guasto Sabato sera chi collega i cavi?) mi ha detto che le soluzioni HA OpenSource (vedi linux-ha.org, che mi ha consigliato un suo tecnico :-? ) non funzionano molto bene ed e' consigliabile acquistare una soluzione gia' completa con cifre che partono da 15000 Euro in su.
Considerando le seguenti necessita':
1)Non mi interessa che vengano preservate le connessioni attive in caso di Crash della macchina primaria. 2)Non ho bisogno che i collegamenti vengano ripristinati in 30 secondi. 3)Mi interessa che i collegamenti vengano ripristinati autonomamente (senza interventi manuali tipo collegamento cavi di rete). 4)Il Firewall mi fa da NAT/Filtering, Proxy (semplicissimo), VPN con 4 sedi (FreeSWan) e direi che il NAT/Filtering e le VPN siano i servizi principali (oltre alle connessioni tra client e server).


OpenBSD 3.5 usa CARP
New tools for filtering gateway failover:

* CARP (the Common Address Redundancy Protocol) carp(4) allows multiple machines to share responsibility for a given IP address or addresses. If the owner of the address fails, another member of the group will take over for it. A discussion of the history of CARP can be found here. * Additions to the pfsync(4) interface allow it to synchronise state table entries between two or more firewalls which are operating in parallel, allowing stateful connections to cross any of the firewalls regardless of where the state was initially created.

così più macchine possono essere firewall (HA con failover di pochi sec o meno) oppure Heartbeat (classico)

Per schemi e doc google e i doc dei pacchetti (README e doc/) sono abbastanza. purtroppo non ne ho sottomano.

Ciao
Alx

In risposta a:
- [ml] Rieccomi con FW High Availability, Pignedoli Luca

Data:
- precedente: Re: [ml] Windows critical updates o service pack?, Flavio Visentin
- successivo: Re: [ml] DLGS - Periferiche, cerin0
- indice

Argomento:
- precedente: [ml] Rieccomi con FW High Availability, Pignedoli Luca
- successivo: Re: [ml] Rieccomi con FW High Availability, DrumFire
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005