Re: [ml] ridondanza stateful packet filter (Was: log iptables)

Domenico Viggiani wrote:
> Ogni volta che si parla di firewall HA, il dibattito si scatena.
> Mi rendo conto che non tutte le realta' sono uguali ma mi piace lanciare una
> provocazione "ferragostana":
> a chi serve davvero un firewall HA che mantenga lo stato delle sessioni?
> Al piu', interromperemo qualche download in corso, niente che non possa
> essere ripreso.

Bè, ad esempio potresti interrompere qualche decina di telefonate...
niente che non possa essere ripreso, naturalamente :)
A parte tutto, dipende ovviamente dal contesto e dai requisiti.
Nella stessa logica, perché avere il server web in HA? Tanto, se ti
si può interrompere la connessione perché va giù il firewall, ti si
può interrompere anche perché va giù il server web.
Il tutto in realtà si riduce ad avere dei punti di sincronizzazione
adeguati.
Tuttavia, penso che sia un approccio sbagliato sia per il firewall
che, ovviamente, per il server web. Una rete deve offrire dei
livelli di servizio adatti ai processi che deve supportare.
Tipicamente, questi livelli di servizio sono diversi per una
intranet o per una connessione verso Internet, ma comunque gli
aspetti di disponibilità comprendono anche i disservizi dovuti al
firewall. Quindi, tu dovresti garantire un certo tipo di
disponibilità di rete ai processi che la utilizzano. Se il tuo
firewall va giù e ne viene su subito un altro che non ha mantenuto
lo stato delle connessioni ma costringe il processo a ripartire da
un punto di sincronizzazione, secondo me non è vero che il tuo
disservizio è stato brevissimo: la durata del tuo disservizio
dovrebbe essere contato almeno per tutto il tempo necessario per
ripristinare la connessione, se non addirittura per il tempo
necessario per ripartire dal punto di sincronizzazione e ritornare
allo stato in cui li hai lasciati a piedi. Se questo è accettabile
per i livelli di servizio richiesti da quel processo, allora non c'è
bisogno di HA. Ovviamente il discorso non è così banale, almeno da
un punto di vista contrattuale, ma da un punto di vista di fornitura
del servizio la logica dovrebbe essere questa, particolarmente in
una intranet dove si spera che i rapporti fra fornitura dei servizi
di rete e processi aziendali non siano solo di natura contrattuale.
In sostanza, dovrebbe essere chi usa la rete a dirti se l'HA è
necessaria o no, tenendo presente del tempo che può perdere a causa
del disservizio, e se ti dice di sì, tu ovviamente gli presenti il
conto ;)

ciao

- Claudio

-- 

Claudio Telmon
claudio@xxxxxxxxxxx
http://www.next-hop.it