Re: [ml] cluster iptable con passaggio di connessioni da un nodoall'altr

> Infatti il problema non è mettere su un cluster ma far si che quando il
> cluster switcha da un nodo all'altro passino le connessioni e non si
> interrompano sessioni, ftp, ssh, terminal server etc..
>
> Qualcuno ha trovato una soluzione opensource a questo problema?

C'e' il progetto ct_sync ma e' (tuttora) in fase di sviluppo.

> 1- trasferire parte della /proc/ dove c'è la tabella delle connessioni
> da una macchina all'altra in caso di switch.

Non basterebbe: in /proc AFAIK non c'è tutto quel che serve (es RELATED).

> 2- far si che il taffico visto dal nodo attivo sia visto anche dal nodo
> passivo. sul nodo attivo tcpdump delle interfacce su una pipe che monto
> dal noto in standby e rieseguo con tcpreplay

IMHO non funzionerebbe, perchè le interfacce non hanno gli stessi ip, e/o
il firewall non ha lo stesso ruleset. Ma non c'ho pensato molto.

> Qualche altra soluzione più funzionante e sicura?

Openbsd con pfsync. Il gia' citato carp è una soluzione di ip failover ma
non per la sincronizzazione dello stato tra i firewall. Può servire... ma
non basta.

Con netfilter è possibile gestire un semi-failover per le connessioni tcp
permettendo il traffico NEW anche se privo del flag SYN ed usando DROP al
posto di REJECT. Questo permette di ricreare lo stato ESTABLISHED per una
certa parte delle sessioni tcp senza farle cadere ma perderai il traffico
RELATED (che con openbsd, peraltro, neanche avresti AFAIK). Ovviamente ti
servirà pure una soluzione di ip failover, tipo... carp :-)


Fabio