[ Home | Liste | F.A.Q. | Risorse | Cerca... ]


[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]


Archivio: openbsd@sikurezza.org
Soggetto: [openbsd] Re: Fwd: [ml] Rieccomi con FW High Availability
Mittente: Igor Falcomata'
Data: Wed,  2 Jun 2004 04:41:14 +0200 (CEST)
Questo invece piu' adatto a openbsd<at>.

bye
Koba (moderatore)

----- Forwarded message from ml-owner<at>sikurezza.org -----
Date: Tue, 01 Jun 2004 19:16:23 +0200
From: Pignedoli Luca <lpignedoli<at>interpumpgroup.it>
Subject: Re: Fwd: [ml] Rieccomi con FW High Availability
To: Francesco Toscan <francesco<at>toscan.biz>, Sikurezza <ml@xxxxxxxxxxxxx>
Organization: Interpump Group S.p.A.

Grazie per le dritte, vedo che siete in molti a cosigliare OpenBSD, 
visto che era tanto che lo volevo provare mi sa' che mi mettero' 
all'opera, qualcuno mi puo' consigliare un buon sito da dove iniziare 
(magari in italiano?), mi sono collegato su ww.openbsd.org e ho dato una 
letta veloce alla documentazione, non ho capito bene una cosa: Cosa devo 
scaricare per installare OpenBSD? Non ho trovato nessuna immagine ISO 
(lo voglio provare su macchine i386).

Tornando al Backup del Firewall:
Come ho gia' detto non mi interessa piu' di tanto se le connessioni 
attive rimangono su oppure "cadono", quello che mi interessa e' che il 
fw di backup si attivi in automatico senza interventi manuali, se poi un 
utente si ritrova disconnesso si riconnettera', non e' quello il male 
(anche perche' vista la situazione attuale...).
Sempre leggendo sul sito OpenBSD ho notato che questo SO utilizza 
isakmpd, se dall'altra parte c'e' un pc con slack che utilizza FreeS/WAN 
(o Openswan visto che FreeS e' stato "abbandonato") ci possono essere 
dei problemi per la configurazione?

P.S. x Francesco

Hai detto che tu utilizzi le DLINK DFE-570 TX 4 porte, ho guardato sul 
sito della dlink ma non le ho trovate, ci sono le DFE-580TX sono le 
stesse schede o no?

Grazie a tutti per l'interessamento.


Francesco Toscan ha scritto:

>Ehm l'ho spedito a openbsd<at> senza girarti la mail scusa.
>f.
>
>>
>>Ciao,
>>
>>già ti sono arrivate indicazioni per OpenBSD. CARP e pfsync fanno il 
>>proprio dovere per quanto riguarda ridondanza e mantenimento degli 
>>stati, va solo fatta una precisazione per quanto riguarda isakmpd 
>>(VPN): la vpn viene stabilita chiaramente fra il peer remoto e la 
>>macchina che al momento risponde all'IP del firewall. Nel momento in 
>>cui questa macchina non dovesse più essere raggiungibile l'altra 
>>,come da copione, prende in consegna IP, stati e tutta la baracca ma 
>>la VPN dev'essere ristabilita fra il peer remoto ed isakmpd che gira 
>>sulla macchina di backup.
>>Ti trovi quindi ad avere tutti gli stati mantenuti ma il tunnel 
>>inesistente. Il disservizio dovrebbe durare pochissimo, sappi 
>>comunque che c'è.
>>Mi sembra di aver letto da qualche parte che il team sta sviluppando 
>>un demone apposito per rimediare a questo problema e ad altri di 
>>natura simile.
>>
>>
>>Per l'hardware...le macchine attualmente a disposizione possono 
>>gestire MOLTO comodamente ampiezze di banda consistenti. Per quanto 
>>riguarda il filtraggio ciò che impegna un firewall non è tanto la 
>>banda, quanto piuttosto il numero di pacchetti. Le VPN invece 
>>impegnano la CPU, dipende comunque sempre dall'uso che ne fai. Mal 
>>che vada un acceleratore criptografico risolve buona parte dei problemi.
>>Un banale P3 con 256 MB di ram si fa delle grandi dormite. Volendo 
>>prova a dare un'occhiata ai prodotti soekris, evita però i 486, hanno 
>>le gambe troppo corte.
>>Scegli con attenzione le schede di rete, OpenBSD è rognoso su questo 
>>punto: ho avuto ottime esperienze con la DLINK DFE-570 TX, 4 porte, 
>>chipset DEC21143. Evita la 580, diverse voci la classificano come 
>>poco performante/mal supportata.
>>
>>f.
>
----- End forwarded message -----




[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005