[linux] failover firewall
M.F. PSIkappa
psi na platon.atlantis.sk
Pátek Květen 10 11:29:55 CEST 2002
On 10 May 2002, Peter Ronai wrote:
> On Fri, 2002-05-10 at 09:36, M.F. PSIkappa wrote:
> > Zdravim,
> > takze nieco taketo sa da riesit napr. cez vrrp (Virtual Router Redundancy
> > Protocol), jedna z implementacii je tuto:
> > http://w3.arobas.net/~jetienne/vrrpd/index.html
> > Popripade sa to da riesit pomocou komponent z projektu linuxvirtualserver
> > http://www.linuxvirtualserver.org/HighAvailability.html
> >
> > Inak odporucam pouzit namiesto hub-u nejaky switch (najlepsie taky co nema
> > problemy s ucenym a zabudanim mac adries), nakolko nikdy nevies kolko
> > hub/switchov je pred tebou vramci tvojho segmentu a potom mozu nastat
> > timing problemy.
> >
> > A aby som nezabudol, pri prepinani ti bud vsetky connection padnu alebo
> > budes mat problem s urcenim stavu spojenia(new/establish).
>
> tiez sa da pouzit nejake HA riesenie (napr sgi)
> nieriesi to ale conntrack problemy
> vyhoda je v tom ze spare preberie vsetko od odideneho stroja a dokonca
> si zmeni mac addr takze vypadok je minimalny
> myslim ze by sa dalo urobit preberanie funkcnosti v 2 fazach kde prva by
> zahrnala viac relaxed rules pre filter bez conntracku a druha (po 2-3
> min) by zapla fw na full
> dalsia moznost je ospf a loadbalance cez tie linuxy, ale tam je asi viac
> problemov na riesenie (nutny dalsi router do sietky, podpora od
> providera ....) avsak zvysi sa troughput (teda ak je to nutne)
OSPF nieje alternativa pre firewall, ale len pre routre a v danom kontexte
je to kanon na vrabce. OSPF nezabezpeci zmenu MAC adresy.
> dz
inak v principe na tvoj ucel by sa dal pouzit velmi jednuchy shell skript,
ktory by kazdu minutu poslal ping a ak by nedostal odpoved, tak by prebral
nastavenie tej druhej masiny.
mac adresa sa meni napr. takto:
ip link set eth0 address 00:00:00:00:00:00
--
`)_|_(' PSIkappa
I k psi _at_ atlantis.sk
Další informace o konferenci linux