[Linuxtrent] Re: conntrackd e configurazione (lunghetta)
- From: Flavio Visentin <THe_ZiPMaN@xxxxxxxxx>
- To: linuxtrent@xxxxxxxxxxxxx
- Date: Wed, 15 Nov 2006 14:31:50 +0100
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Mario Vittorio Guenzi wrote:
> Buongiorno a tutti,
> sto preparando un cluster di firewall per poter avere alta affidabilita'
> se cade il principale o se cade la linea principale.
Sono due problemi nettamente distinti che vanno risolti in modo
nettamente differente.
> lo scenario e' il seguente macchina sangiorgio firewall principale
> collegato (prossimamente) a una hdsl 8 Mb di fastweb
> eth0 pubblica eth1 privata
> macchina perseo firewall secondario collegata (prossimamente) a una
> adsl telvia eth0 pubblica eth1 privata
Metti da parte il discorso linee
> la parte di cluster l'ho fatta con ucarp e ho creato su ambedue le
> macchine la eth1:0 con indirizzo 192.168.2.241 che e' l'indirizzo
> gateway, cosi funziona ma ovviamente se cade sangiorgio tutte le
> connessioni che ho in essere al momento cadono.
Cadono ugualmente se, da come ho capito io, tu hai un firewall collegato
a una linea e uno collegato all'altra.
> anche se lui virtualizza 2 indirizzi quindi basta commentare la parte
> relativa al secondo indirizzo.
Direi proprio di no. Tu DEVI gestire entrambi gli indirizzi, sia quello
interno che quello esterno, altrimenti come fai a gestire le
connessioni? La ridondanza del firewall con conntra
> Quello che invece non ho capito e' nel file di configurazione di
> conntrackd la parte chiamata IP of dedicated link cos'e? a cosa serve?
> come funziona?
Il link attraverso cui il demone sincronizza le due tabelle conntrack.
> In sostanza io ho bisogno di replicare l'indirizzo 192.168.2.241
Non è questa la tua unica necessità.
> Qualcuno puo' spiegarmi per cortesia?
Salvo leggerti attentamente la documentazione di conntrackd, ti
consiglio di leggerti la doc di pfsync (il tool omologo per openbsd) che
per la teoria va bene.
La soluzione al tuo problema non può essere quella da te prospettata, ma
va realizzata una soluzione di questo tipo:
___ ______
/ \ | |
Fastweb ---| R 1 |---+ +---| FW 1 |---+ __ __
\___/ | ip2 | |______| | ip1 / \_/ \
|_____| H| |_____| LAN |
___ | | __B|__ | | _ |
/ \ | | | | | \__/ \__/
Telvia ---| R 2 |---+ +---| FW 2 |---+
\___/ |______|
dove hai un indirizzo interno condiviso (ip1) gestito da ucarp, un
indirizzo ip esterno condiviso (ip2), sempre gestito da ucarp, un link
di "heartbeat", e i due router con indirizzo IP interno nella stessa
classe di ip2.
La fault tolerance del FW viene gestita da ucarp con conntrackd, la FT
delle linee invece devi gestirla a livello di routing, impostando R1
come gateway principale e R2 come secondario (per esempio con metriche
diverse o usando RIP/OSPF/BGP/ecc.ecc.)
Ovviamente poi avrai un SPOF sullo switch tra FW e routers che puoi
risolvere mettendo due switch e due schede su ciascun firewall.
- --
Flavio Visentin
GPG Key: http://www.zipman.it/gpgkey.asc
There are only 10 types of people in this world:
those who understand binary, and those who don't.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.5 (GNU/Linux)
iD8DBQFFWxbGusUmHkh1cnoRArSNAJ44cOTtecKaIp3I4+bYq/GxzROOtQCfT1Py
0q3dkuza80VJSU/nZ1rSm8M=
=HitU
-----END PGP SIGNATURE-----
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx
Other related posts:
