Re: [ml] cluster iptable con passaggio di connessioni da un nodo all'alt

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Luglio 2005 ml@sikurezza.org
Soggetto: Re: [ml] cluster iptable con passaggio di connessioni da un nodo	all'altro
Mittente: Giuseppe Paternò
Data: Fri, 29 Jul 2005 11:38:13 +0200 (CEST)

Ciao a tutti.

innanzi tutto mi scuso con la ML per la mia poca presenza in
quest'ultimo periodo ... acc!!!!

In realta' avevo visto sul tree di netfilter un progetto di
sincronizzazione (netfilter-ha) in stile pfsync di *BSD.

see http://cvs.netfilter.org/cgi-bin/viewcvs.cgi/branches/netfilter-ha/

purtroppo mai avuto tempo di provarlo .....
dunno se ti ho risposto.

Banzai!
Ciao,
   Gippa 

P.S. Astaro ha la funzionalita' di ha per iptables, ma non so se si
basi su netfilter-ha. Qualcuno sa ?

On 7/27/05, Alessandro Fiorenzi <fiorenzi@xxxxxxxxxx> wrote:
> Il problema è dei più banali, costruire un cluster di iptables per avere
> firewall in ha, la soluzione se c'è è forse delle più difficili, abbiamo
> fatto un giro su google con un collega ma non abbiamo trovato niente o
> quasi.
> 
> Infatti il problema non è mettere su un cluster ma far si che quando il
> cluster switcha da un nodo all'altro passino le connessioni e non si
> interrompano sessioni, ftp, ssh, terminal server etc..
> 
> Qualcuno ha trovato una soluzione opensource a questo problema?
> 
> così per ragionarne io ho pensato le strade potrebbero essere due:
> 
> 1- trasferire parte della /proc/ dove c'è la tabella delle connessioni
> da una macchina all'altra in caso di switch. Server un sistema di sync
> continuo e un modulo kernel che possa scrivere le info provenienti dal
> nodo attivo sul nodo in standby, questo non è assolutamente banale e non
> saprei da che parte rifarmi
> 2- far si che il taffico visto dal nodo attivo sia visto anche dal nodo
> passivo. sul nodo attivo tcpdump delle interfacce su una pipe che monto
> dal noto in standby e rieseguo con tcpreplay
> 
> Qualche altra soluzione più funzionante e sicura?
> 
> grazie
> 
> Alessandro Fiorenzi
> 
> 
> --
> ---------------------------------------------------------
> DOTT. ALESSANDRO FIORENZI
> 
> Consulente Sicurezza Informatica
> Consulente Tecnico Tribunale di Firenze
> Iscritto Albo Consulenti e Esperti CCIAA di Firenze
> Socio Clusit
> Membro IEEE Computer Society
> 
> 
> Email: Alessandro.Fiorenzi@xxxxxxxxxx
> Tel. : 178 273 3850
> Fax. : 178 273 3850
> Cell.: 3487920172
> 
> ---------------------------------------------------------
> 
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List
>

Messaggi successivi:
- Re: [ml] cluster iptable con passaggio di connessioni da un nodo all'altro, straluna

In risposta a:
- [ml] cluster iptable con passaggio di connessioni da un nodo all'altro, Alessandro Fiorenzi

Data:
- precedente: Re: [ml] Certificazione EUCIP mod. 5, Stefano Zanero
- successivo: Re: [ml] fwd: formazione vulnerability assestment tool, Paolo Ottolino
- indice

Argomento:
- precedente: Re: [ml] cluster iptable con passaggio di connessioni da un nodo all'altro, Emiliano 'AlberT' Gabrielli
- successivo: Re: [ml] cluster iptable con passaggio di connessioni da un nodo all'altro, straluna
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005