2 Transparante firewalls tussen WAN en LAN zonder failover - Internet en hosting

donderdag 12 juli 2007 15:10

Acties:

Verwijderd

Topicstarter

Zou het mogelijk kunnen zijn om 2 transparante firewalls beide actief met dezelfde ruleset actief naast elkaar tussen wan en lan te laten draaien zodat er geen "failover" setup gedaan hoeft te worden ?

Simpel gezien een wan switch met een uplink en een lan switch, knoop hier de firewalls tussen en klaar.

Aan de ene kant zou ik zeggen dat het kan, aan de andere kant absoluut niet wat die packages weten niet over welke poort ze terug zullen moeten als ze niet weten over welke ze zijn heen gekomen.

Ik zit namelijk aan failover te denken in het 2e geval met spanning tree, nu weet ik ook dat veel switches hier nog wel eens mee over hun nek kunnen gaan.

Wat is jullie opinie ?

donderdag 12 juli 2007 16:00

Acties:

Attilla

Zou je eens kunnen uitleggen wat je precies wilt bereiken, wat je budget is, wat voor setup je al hebt ?

Je zou met twee pix'en namelijk een statefull failover kunnen doen.

[ Voor 35% gewijzigd door Attilla op 12-07-2007 16:02 ]

donderdag 12 juli 2007 16:16

Acties:

Verwijderd

Topicstarter

Airwolf schreef op donderdag 12 juli 2007 @ 16:00:
Zou je eens kunnen uitleggen wat je precies wilt bereiken, wat je budget is, wat voor setup je al hebt ?

Je zou met twee pix'en namelijk een statefull failover kunnen doen.

Ik wil FreeBSD, pfsense of m0n0wall gebruiken hiervoor, puur als testopstelling, ik dus de firewalls door crosscables kunnen vervangen omdat transparant echt transparant is.

De reden dat ik deze 2 in failover wil draaien is omdat ik het gewoon niet op 1 firewall wil aan laten komen. Een switch is zo vervangen en ik wil iedere uplink setup toch dubbel gaan draaien.

Opzich maakt de hardware niet zoveel uit, het gaat mij eerder om de setup zonder teveel tussen nodes te moeten doen.

Ik wil eigenlijk dat de switch met spanningtree bepaalt of een link down/defect is en niet de firewalls dit laten doen omdat dit ook weer een extra "point" is en deze weer enkel is tussen beide firewalls.

donderdag 12 juli 2007 16:49

Acties:

Attilla

Maar wat bedoel jij dan precies met transparant ?

donderdag 12 juli 2007 16:51

Acties:

Verwijderd

Topicstarter

Airwolf schreef op donderdag 12 juli 2007 @ 16:49:
Maar wat bedoel jij dan precies met transparant ?

Firewall is niet zichtbaar, kan dus vergeleken worden met een crosscable waar kaboutertjes in zitten die poortjes voor gevraagde IP's open en dicht zetten.

donderdag 12 juli 2007 17:05

Acties:

Attilla

Een firewall is altijd zichtbaar, zelfs zoals jij wilt als je alleen maar op layer2 wilt gaan filteren. Op een linux doos kan je dat met brtables doen, hoe dat met bsd moet, zal je zelf even moeten zoeken. Maar hier zal natuurlijk ook een oplossing voor zijn.

Je kan een failover doen doormiddel van spanningtree natuurlijk, dan heb je geen single point of failure. Maar inderdaad zijn dan al je actieve sessies weg, dus heb je er weinig aan. Daarbij duurt een stp failover 50 seconden en rstp 30.

Ik zie het nut niet van je eis dat je het niet zichtbaar zou willen hebben. Je kan beter failover regelen met vrrp of met carp (volgens mij ondersteund pfsense dat ook).

donderdag 12 juli 2007 17:07

Acties:

Verwijderd

Topicstarter

Een bridge is echt niet zichtbaar, ik wil er namelijk gewoon publieke IP's achter gebruiken.

Opzich draait pfsense prima in testopstelling, alleen wordt CARP niet onderstreund in Bridge mode.

donderdag 12 juli 2007 17:15

Acties:

Attilla

Ook een brigde heeft gewoon een mac adres, en is daarmee zichtbaar in een netwerk. Omdat je gelijk layer 3 gaat doen als je carp of vrrp gaat gebruiken daarom werkt het niet. Daar valt niet aan te ontkomen.

Maar wat wil je nou precies doen met je publike ip's dan en waarom moet dat perse niet zichtbaar zijn dan ?