Re: Firewall High Availability

> 4) Ho dato una occhiata a linux-ha.org e non mi e' ancora molto chiaro
> il funzionamento del Fail Over, le due macchine comunicano tra di loro
> attraverso una scheda di rete o la seriale?

Tra i due nodi puoi utilizzare sia la seriale con cavo nullmodem che
un'altra scheda di rete con un crosscable.

> 5) La macchina di backup interviene solo in caso di spegnimento di
> quella centrale o interviene anche se va' giu' una sola rete?

Accoppiando mon (http://www.kernel.org/software/mon/) a heartbeat
(http://linux-ha.org/) puoi agevolmente implementare anche il failover
delle schede di rete.

L'unica cosa che NON puoi fare, come gia' ti e' stato detto, e'
sincronizzare la state table di netfilter: in caso di failover, con
conseguente switch delle risorse da un nodo all'altro, le sessioni attive
in quel momento cadrebbero.

Sarebbe interessante lavorare alla questione HA su openbsd: su Open
abbiamo un daemon per la sincronizzazione della state table (pfsyncd), ma
nessun software di heartbeating. Ho letto di gente che sta cercando di
portare il codice di linux-ha, ma non so quali risultati abbiano
ottenuto...

Su http://disastro.cuore.org/~caff/ha/ puoi trovare i file di
configurazione per un Apache in HA che avevo realizzato presso un cliente
usando heartbeat+mon. L'architettura era composta da due pSeries con
Debian GNU/Linux PPC e uno storage SCSI condiviso.

> Grazie a tutti.|

Ciao!
caff



________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List