Re: [ml] cluster iptable con passaggio di connessioni da un nodo all'alt

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Agosto 2005 ml@sikurezza.org
Soggetto: Re: [ml] cluster iptable con passaggio di connessioni da un nodo	all'altro
Mittente: Alessandro Fiorenzi
Data: Wed,  3 Aug 2005 22:51:22 +0200 (CEST)

Vedo che c'è molto interesse su questo argomento e questo mi fa piacere perchè vuol dire che in diversi usiamo iptables, e pf

Un amico ha sperimentato pf+carp e va che è una meraviglia, ma nell'ottica di avere firewall diversi su livelli diversi, accetto commenti critiche su questa mia visione, avere da una parte un pf e dall'altra iptable+carp su linux con passaggio di connessioni sarebbe l'ideale.

ho approfondito la mia ricerca e ho visto che il progetto ct_sync per il passaggio di connessioni su iptables, in sviluppo per kernel 2.6, è usato da alcuni in sistemi di produzione anche con 400Mbit di flusso, e poi in molti paper e documenti vari su ct_sync compaiono i credits per il supporto allo sviluppo ad astaro e whatcguard, allora loro stanno usando questa tecnologia per i loro firewall commerciali? se è così la tecnologia è matura!

Di recente ho aperto un Firewall Spiderwall, è un banale hardware di pc con lettore flash un disco per i log, il sistema linux è su flash. Sembra, e ribadisco sembra perchè ancora non ho avuto tempo di approfondire, che questo arnese faccia il passaggio di connessioni se in failover con un'altro gemello . Ora questi vendor di firewall linux box in failover che tecnologia usano per passare le connessioni da un nodo all'altro?

Alessandro Fiorenzi

Emiliano 'AlberT' Gabrielli wrote:

On Wednesday 27 July 2005 22:04, Alessandro Fiorenzi wrote:

Qualche altra soluzione più funzionante e sicura?

se come BW ti basta un 100Mb allora potresti mettere i due FW sotto lo stesso hub, in modo da far vedere ad entrambi le stesse connessioni ..

in tal modo non hai da trasferire proprio nulla, visto che ognuno dei due si crea le stesse identiche tabelle.

Su FW non "attivo" puoi mandare il traffico ricevuto nel "dimenticatoio" usando iproute (così non hai doppi pacchetti verso i server dietro il FW)

Avevamo testato un ambiente simile qui all'uni di Tor Vergata e funzionava molto bene, peccato però che a noi serviva un hub Geth ;-(

--
---------------------------------------------------------
DOTT. ALESSANDRO FIORENZI

Consulente Sicurezza Informatica
Consulente Tecnico Tribunale di Firenze
Iscritto Albo Consulenti e Esperti CCIAA di Firenze
Socio Clusit
Membro IEEE Computer Society


Email: Alessandro.Fiorenzi@xxxxxxxxxx
Tel. : 178 273 3850
Fax. : 178 273 3850
Cell.: 3487920172

---------------------------------------------------------

Messaggi successivi:
- Re: [ml] cluster iptable con passaggio di connessioni da un nodo all'altro, Michele Gardellin

Data:
- precedente: Re: [ml] client ftp beind firewall, GHERdO
- successivo: [ml] Anche Cisco censura......, azokram
- indice

Argomento:
- precedente: Re: [ml] @stake's webproxy, Gaetano Zappulla
- successivo: Re: [ml] cluster iptable con passaggio di connessioni da un nodo all'altro, Michele Gardellin
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005