High Availability Firewall/Router

[Pavel Kankovsky]

On Sun, 5 Sep 2010, Dalibor Straka wrote:

> - aktivovat iptables pravidla pro nove IP

Pravidla tam můžete mít nahozená pořád.

> - pouzit na druhem routeru stejnou MAC? Nebo explicitne propagovat
>   prepnuti stroju (zmena MAC) kvuli arpu a cim?

arping -UA -I eth0 1.2.3.4

> - fencing/stonith - jak je dobre zabijet? (*)

Nejlépe tiše a nenadělat u toho moc velký svinčík. :)

Taková poměrně málo brutální metoda je instruovat síťové prvky, ke kterým 
je "zabíjený" stroj připojený, aby odpojily jeho porty. Ale musí se to 
dělat trochu s rozmyslem, aby nevznikaly situace, kdy první stroj odpojí 
ten druhý od vnitřní sítě, zatímco ten druhý odpojí ten první od spojení 
do Internetu.

> Je nejaka _rozumna_, elegantni moznost fungovani obou firewallu zaroven?
> Tady bych bral i s _mirnou_ dopomoci cisco switchu. Neco ve stylu
> "bonding" driveru pro dve sitovky.

Záleží na tom, za jakých podmínek to chcete dělat.

Na síťové vrstvě, pokud máte u sebe hodně veřejných adres rozdělených do
většího množství sítí, by si ty stroje mohly rozdělit práci podle těch
sítí a failover by mohl obstarat sám routovací protokol.

Na linkové vrstvě by se se ty stroje mohly hypoteticky tvářit jako že
dohromady tvoří agregovanou linku. Ale pochybuju, že by se to dalo vyrobit
bez většího než malého množství kutilství.

-- 
Pavel Kankovsky aka Peak                          / Jeremiah 9:21        \
"For death is come up into our MS Windows(tm)..." \ 21st century edition /