Re: [ml] cluster iptable con passaggio di connessioni da un nodo all'alt

Alessandro Fiorenzi ha scritto:
> Il problema è dei più banali, costruire un cluster di iptables per avere 
> firewall in ha, la soluzione se c'è è forse delle più difficili, abbiamo 
> fatto un giro su google con un collega ma non abbiamo trovato niente o 
> quasi.
>
> Infatti il problema non è mettere su un cluster ma far si che quando il 
> cluster switcha da un nodo all'altro passino le connessioni e non si 
> interrompano sessioni, ftp, ssh, terminal server etc..

Io ho più di un cluster HA di firewall linux, ma sono cluster
non stateful: a tal scopo, utilizzo keepalived.

Harald Welte ci sta lavorando, comunque: ct_sync è il modulo
che consente la sincronizzazione degli stati tra i nodi del
cluster, ma è ancora disponibile solo in CVS ed ha una serie
di limitazioni non da poco.

Ad esempio:
"Currently, ct_sync is incompatible with protocol and NAT helper modules
of iptables. That is, any module which uses expectations won't work, and
may cause serious problems with ct_sync. Implementing replication of
expectations is high on our TODO list, so please be patient... :)"

In sintesi, al momento, se vuoi un cluster di firewall in HA stateful
basati su sistemi operativi open source, devi pensare a OPENBSD (o
anche FREEBSD), che utilizzano CARP per la gestione del failover
a livello IP e pfsync per la sincronizzazione degli stati.