ifpw: state-tables auf Hot-Standby uebernehmen?

[indigo]

Hi,

ist irgendjemanden bekannt, ob man mit IPFW die State-Tables auf einen Hot-Standby Rechner uebernehmen kann?

Ich habe hier ein FirewallSystem unter FBSD 4.8 als Paerchen aufgebaut, das ganze ist mit freevrrpd am laufen, d.h. ein Rechner tut die Arbeit bis er evtl mal ausfallen sollte - dann springt der andere an seiner Stelle ein.

Arbeitet man mit den keep-states, werden erlaubte Verbindungen in die State-table geschrieben. Laed man die FWRegeln neu oder passiert eine Uebernahme gehen diese leider verloren. Ist jemanden bekannt wie ich dieses Tables staendig (Abstand von 1 Sekunde oder so) auf den anderen Rechner synchronisieren koennte? Ist sowas ueberhaupt vorgesehen dem ipfw states "unterzujubeln" ?
Gruss,
Ulli

 

[bensons]

Hey indigo,

also rein theoretisch ist es sicherlich moeglich so etwas zu machen. Die Frage ist nur, ob Du damit nicht einen point of failure mehr generierts (was ja durch deinen freevrrpd eigentlich vermieden werden soll ) Nichts destotrotz kannst Du auf Deiner aktiven Firewall ein Script laufen lassen, das mit ipfw -d und ein wenig ge'sh'elle eine Liste generiert, die Du nun nur noch auf dem Failoversystem einspielen musst. Nummeriert sind die dynamischen Rules ja logischerweise. Das ganze 1 mal pro Sekunde zu machen wuerd ich mir dennoch ueberlegen. Horrorszenarien sind da echt leicht auszumalen Abschliessend bleibt dennoch die Frage wieviel User von Dir (hinter der Firewall) auf diese dynamischen Rules (mit einer Existenz auf beiden Firewalls) angewiesen sind. Ein normaler Websurfer wuerde davon eh nur sehr bedingt etwas mitbekommen. Hoff ich hab Dir etwas helfen koennen.

Gruss Benny

 

[marzl]

hey, wer hat da mein avatar geklaut

 

[indigo]

Hi Bensons,

ich denke du hast Recht. Mit einem parsen der State-Table und das ganze auf der anderen MAschine als einzelne auf Hostbasierende Regeln reinzuschreiben macht irgendwie auch keinen Sinn. Das Kopieren mit z.B. ssh wuerde wohl auch irgendwie nen Overhead geben.
Ich kenne das ganze von Checkpoint (FW-1), dort werden die States bei Bedarf auf beiden Maschinen abgeglichen. Waere vielleicht nen Feature-Request fuer ipfw2 :-)

Die Webserververbindungen sind mir dabei nicht so ganz wichtig, allerdings fahren die Webserver selber noch Verbindungen zur Datenbank, die es nicht so moegen, falls eine Unterbrechung geschieht. Ssh-Verbindungen sind auch so ein Ding..nervt schon sehr :-)

Gibt es denn diesen State-sync mit anderen Firewall-tools? (ipf,etc)
Danke nochmal fuer die Antwort, vielleicht kann man das irgndwo als Denkansatz nehmen.

Gruss Ulli

 

[asg]

PF soll das können was Du willst.
In wie weit das Feature aber schon in FBSD implementiert ist entzieht sich, wegen nicht Nutzung, meiner Kenntniss.
Schau mal bei www.deadly.org vorbei, ich dachte ich hätte das sowas gelesen nach dem Du suchst.

 

[indigo]

Danke fuer den Link, asg
Cool, da wird doch wirklich an sowas gearbeitet..ist allerdings das falsche tool. Bin froh das ich die ganze Sache so gut laufen habe.
Vielleicht finden es andere Entwickler auch ne gute Idee und es fliesst in ipfw ein.
Weiss jemand wie lange es die ipfw-funktion schon im Kernel gibt?
Ulli

 

[olf]

Seit ca. Fri Oct 28 15:09:37 1994

gibt es ipfirewall im LINT

http://www.freebsd.org/cgi/cvsweb.cgi/src/sys/i386/conf/Attic/LINT.diff?r1=1.101&r2=1.102&f=h

man ipfw /HISTORY sagt

HISTORY
The ipfw utility first appeared in FreeBSD 2.0. dummynet(4) was intro-
duced in FreeBSD 2.2.8. Stateful extensions were introduced in
FreeBSD 4.0. ipfw2 was introduced in Summer 2002.