[MontelLUG] Ridondanza di firewall: dubbi, perplessità et similia

Daneel Olivaw daneel.olivaw.r a gmail.com
Mer 30 Maggio 2012 12:36:11 CEST


Salve lista.

Oggi argomento tennico, non spaventatevi :-)

Sotto le mie grinfie c'è un povero firewall pfSense, che fa il suo
sporco lavoro senza lamentarsi e senza creare problemi... fino a che
ci metto le mani.
La settimana scorsa ho avuto la stramba idea di aggiornarlo alla
versione successiva. Pareva fosse filato tutto liscio, ma dopo qualche
giorno ha deciso che non era proprio andato tutto per il meglio e ha
cominciato a dare di matto (no, non volete che scriva qui tutto quello
che è successo).

Per farla breve, ho attivato in emergenza il firewall secondario che
ho in macchina virtuale per ristabilire velocemente la connettività,
invocato ed insultato tutto il pantheon dalla preistoria ad oggi di
non so quante civiltà (incluse quelle scomparse) e alla fine sono
riuscito a ripristinare la macchina principale... grazie ad una
reinstallazione da 0 e ripristino delle regole che ero riuscito a
salvare.

Per evitarmi ciò, o almeno calare la pressione e il delirio dovuto al
piantamento, stavo pensando di sfruttare il cosiddetto "CARP", che
pfSense supporta nativamente... in pratica si tratta di avere due
macchine opportunamente collegate in modo che se una va giù l'altra in
automatico riprende il lavoro della principale in maniera trasparente
per il resto della rete; qui c'è la guida:
http://doc.pfsense.org/index.php/Configuring_pfSense_Hardware_Redundancy_%28CARP%29

I miei dubbi:
- lato verso rete esterna: nell'esempio escono su un router, quindi
possono avere due IP diversi, ma se io esco direttamente, cioè è il
mio firewall che mi fa da router, come faccio? Non posso avere due IP
pubblici e avere due schede con lo stesso è MALE... o il secondario
resta "dormiente" fino a che non succede la catastrofe e quindi avere
le interfacce con le stesse configurazioni va bene?

- lato rete dedicata tra i due firewall: quali inconvenienti può
provocare l'uso di un'interfaccia virtuale? Dalle ipotesi che mi sono
fatto, qualsiasi cosa possa accadere che provochi il non funzionamento
di questa interfaccia, determina anche il non funzionamento di uno dei
firewall e quindi l'altro deve intervenire... mi sfugge qualcosa?

- infine: il secondario sarà una macchina virtuale... ci sono
controindicazioni e/o particolari a cui prestare attenzione che con
macchine reali non si pongono?

Grassie e alla prossima :-)

Daneel Olivaw

-- 
"Chi è pronto a rinunciare alle proprie libertà fondamentali per
comprarsi briciole di temporanea sicurezza non merita né la libertà né
la sicurezza" - Benjamin Franklin




More information about the montellug mailing list