RE: [ml] ridondanza stateful packet filter (Was: log iptables)

On Fri, 2006-08-11 at 15:44 +0200, Domenico Viggiani wrote:

> a chi serve davvero un firewall HA che mantenga lo stato delle sessioni?
> Al piu', interromperemo qualche download in corso, niente che non possa
> essere ripreso.

premesso che dipende sempre dal contesto in cui analizzi la tua
"provocazione"... 
al di la' di situazioni che possono essere interpretate come capricci
(se cade la telefonata la rifai, se cade il download lo reinizi, etc
etc), mi vengono in mente ben due scenari drammatici:

- un cliente con una decina di macchine in una dmz che fanno da
front-end verso una macchina oracle (in realta' cluster)  in una altra
dmz ... le sessioni sono persistenti, quindi fare cadere la connessione
tra le macchine front-end ed il db prevede, per tornare up alla
velocita' della luce o il riavvio di alcuni servizi macchina per
macchina o un reboot a catena di n macchine

- hai un as400 e molti utenti remoti. se il tuo sistemista as400 non ha
impostato un timeout per il rilascio dei device basso, o hai una vecchia
release di os400, il cadere delle sessioni lascia i device bloccati, il
che si traduce nel dover resettare qualche decina di device se sei in
una piccola azienda,mentre il telefono suona continuamente....

quindi senza arrivare ad ambienti enterprise spesso soluzioni HA sono
indispensabili per una vita senza ulcera.

SPOT: io mi trovo molto bene con il gia' nominato OpenBSD proprio
perche' oltre a carp, oltre a pfsync ho il buon sasyncd ... che tiene su
pure le vpn ipsec.
scusami, ma io odio sentir suonare il telefono ;P

un mayhem che se suona ancora adesso lo butta a terra
-- 
Let's pick up the pace, make the parties longer, and the skirt shorter. 
Let's all go to hell in a fast car and keep it hot!
https://www.recursiva.org - Key on pgp.mit.edu ID B88FE057

Attachment: smime.p7s
Description: S/MIME cryptographic signature