Re: iptables e High Availability

> 1) Non e' possibile come e' stato gia' detto, preservare le connessioni gi?
> in corso
e` un lavoro che avevo in ballo qualche tempo fa', ho trovato ga` fatto 
il codice della "ctnetlink" ovvero un netlink device che riportava lo stato 
delle connessioni tracciate.

ci sono 2 "ma" :) non e` implementata ancora nelle release stable e per lo
piu' ho letto che volevano usarla per tirar fuori statistiche e parametri
riguardo il traffico, se si verificasse la necessita` cmq sarebbe semplice
far si che la tabella riporti TUTTE (e non solo alcune) informazioni riguardo 
le connessioni che sta` tracciando.

una volta messo a posto questo device, stavo pensando a 2 approci per poter
comunicare all'altro fw la mia tabella e tenerlo aggiornato il real time:

1) via seriale, simmetricamente ad heartbeat, senza pero` dover passare tutta
la connection table ogni volta vista la velocita` della seriale, stavo
pensando ad una spece di protocollo interno per dire "cancella la tabella n X"
"metti sta` tabella alla posizione Y" ecc...
2) via rete, appoggiandosi ad un demone infimo che monitora la ctnetlink,
prende tutto il contenuto e lo manda via udp al gemello in failover.

qui ci sarebbe da fare una modifica al device (basta implementare la write
relativa al device alla fine ...) in modo che tramite la ctnetlink sia
possibile aggiornare la CT di una macchina, senza che questa debba essere
toccata solo dal codice di netfilter.

questo lavoro una volta finito farebbe di iptables l'unico firewall free in
grado di tenere la connection table ridondata :)


avevo dato uno sguardo a questo ... purtroppo ho trovato nel tempo e nella
voglia 2 nemici imbattibili :) ma se qualcuno vuole darmi una mano puo'
anche darsi che insieme li vinciamo ... 

-- 
GPG key "pub 1024D/C2752D4B 2000-07-27 vecna <vecna@s0ftpj.org>"
http://www.s0ftpj.org/misc/vecna.gpg md5sum 232fd7a9bd8a4b4ed782f75c40008223
since 5/7/2002 any my email is signed, unsigned email could be fake.

PGP signature