-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Mario Vittorio Guenzi wrote: > Buongiorno a tutti, > sto preparando un cluster di firewall per poter avere alta affidabilita' > se cade il principale o se cade la linea principale. Sono due problemi nettamente distinti che vanno risolti in modo nettamente differente. > lo scenario e' il seguente macchina sangiorgio firewall principale > collegato (prossimamente) a una hdsl 8 Mb di fastweb > eth0 pubblica eth1 privata > macchina perseo firewall secondario collegata (prossimamente) a una > adsl telvia eth0 pubblica eth1 privata Metti da parte il discorso linee > la parte di cluster l'ho fatta con ucarp e ho creato su ambedue le > macchine la eth1:0 con indirizzo 192.168.2.241 che e' l'indirizzo > gateway, cosi funziona ma ovviamente se cade sangiorgio tutte le > connessioni che ho in essere al momento cadono. Cadono ugualmente se, da come ho capito io, tu hai un firewall collegato a una linea e uno collegato all'altra. > anche se lui virtualizza 2 indirizzi quindi basta commentare la parte > relativa al secondo indirizzo. Direi proprio di no. Tu DEVI gestire entrambi gli indirizzi, sia quello interno che quello esterno, altrimenti come fai a gestire le connessioni? La ridondanza del firewall con conntra > Quello che invece non ho capito e' nel file di configurazione di > conntrackd la parte chiamata IP of dedicated link cos'e? a cosa serve? > come funziona? Il link attraverso cui il demone sincronizza le due tabelle conntrack. > In sostanza io ho bisogno di replicare l'indirizzo 192.168.2.241 Non è questa la tua unica necessità. > Qualcuno puo' spiegarmi per cortesia? Salvo leggerti attentamente la documentazione di conntrackd, ti consiglio di leggerti la doc di pfsync (il tool omologo per openbsd) che per la teoria va bene. La soluzione al tuo problema non può essere quella da te prospettata, ma va realizzata una soluzione di questo tipo: ___ ______ / \ | | Fastweb ---| R 1 |---+ +---| FW 1 |---+ __ __ \___/ | ip2 | |______| | ip1 / \_/ \ |_____| H| |_____| LAN | ___ | | __B|__ | | _ | / \ | | | | | \__/ \__/ Telvia ---| R 2 |---+ +---| FW 2 |---+ \___/ |______| dove hai un indirizzo interno condiviso (ip1) gestito da ucarp, un indirizzo ip esterno condiviso (ip2), sempre gestito da ucarp, un link di "heartbeat", e i due router con indirizzo IP interno nella stessa classe di ip2. La fault tolerance del FW viene gestita da ucarp con conntrackd, la FT delle linee invece devi gestirla a livello di routing, impostando R1 come gateway principale e R2 come secondario (per esempio con metriche diverse o usando RIP/OSPF/BGP/ecc.ecc.) Ovviamente poi avrai un SPOF sullo switch tra FW e routers che puoi risolvere mettendo due switch e due schede su ciascun firewall. - -- Flavio Visentin GPG Key: http://www.zipman.it/gpgkey.asc There are only 10 types of people in this world: those who understand binary, and those who don't. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) iD8DBQFFWxbGusUmHkh1cnoRArSNAJ44cOTtecKaIp3I4+bYq/GxzROOtQCfT1Py 0q3dkuza80VJSU/nZ1rSm8M= =HitU -----END PGP SIGNATURE----- -- Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO "subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx