Kandu.dk - Firewall failover


/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

Linux

#	Navn	Point
1	o.v.n.	11177
2	peque	7911
3	dk	4814
4	e.c	2359
5	Uranus	1334
6	emesen	1334
7	stone47	1307
8	linuxrules	1214
9	Octon	1100
10	BjarneD	875

Firewall failover
Fra : SuperFly

Dato : 04-09-02 08:28

Hej NG

Jeg er i gang med at lave en redundant firewall som mit afsluttende
eksamensprojekt, men er gået lidt i stå.

En af delopgaverne er at kopiere de kørende forbindelser fra den primære
firewall over på den sekundære.

Jeg ved at jeg kan finde de kørende forbindelser i ip_conntrack, men hvordan
de kan kopieres over i den sekundære firewall's ip_conntrack, kan jeg sq
ikke helt gennemskue.

Umiddelbart kan ip_conntrack ikke overskrives, idet forbindelser bliver
hentet fra kernen og ikke bare ligger i en fil. Er der nogen, der ved
hvordan man kan opdatere forbindelserne i kernen?

Jeg har fundet ud af, at der er en kommando, der hedder ip_conntrack_put -
kan den bruges til formålet, og hvis ja, hvordan fungerer den?

Håber I kan hjælpe ;)

/Lasse

Rasmus Bøg Hansen (04-09-2002)

Kommentar
Fra : Rasmus Bøg Hansen

Dato : 04-09-02 09:27

SuperFly wrote:

> Jeg er i gang med at lave en redundant firewall som mit afsluttende
> eksamensprojekt, men er gået lidt i stå.

> Jeg ved at jeg kan finde de kørende forbindelser i ip_conntrack, men
> hvordan de kan kopieres over i den sekundære firewall's ip_conntrack, kan
> jeg sq ikke helt gennemskue.

Hvis du havde kigget lidt i netfilter-arkiverne, ville du vide, at det ikke
er muligt.

Der er nogle beskrivelser af, hvordan man laver redundans *uden* connection
tracking.

Netfilter-folkene har vist noget på todo-listen - men det er ikke engang
nået til tegnebrættet endnu (hvis det overhovedet sker).

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
When is it time to reinstall an operation system?
- When booted, the computer prints "Starting Windows..."
----------------------------------[ moffe at amagerkollegiet dot dk ] --

SuperFly (06-09-2002)

Kommentar
Fra : SuperFly

Dato : 06-09-02 09:15

"Rasmus Bøg Hansen" <moffe47@hotmail.com> skrev i en meddelelse >
> Hvis du havde kigget lidt i netfilter-arkiverne, ville du vide, at det
ikke
> er muligt.
>

Dvs. at c-funktionerner defineret i ip_conntrack.c, ip_conntrack_core.c osv.
ikke kan bruges til noget?

Jeg tænker her på ip_conntrack_get() og ip_conntrack_put(), som umiddelbart
henter og sætter ip_conntrack-tupler i ip_conntrack.

> Der er nogle beskrivelser af, hvordan man laver redundans *uden*
connection
> tracking.
>

Nogle direkte links ville være rart? - har fundet et par artikler, men de
går ikke helt så meget i dybden, som man kunne ønske sig..

> Netfilter-folkene har vist noget på todo-listen - men det er ikke engang
> nået til tegnebrættet endnu (hvis det overhovedet sker).
>

Yeps - Harald Welte er vidst ham der har tærene længest fremme i skoene ;)

> /Rasmus
>
> --
> -- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
> When is it time to reinstall an operation system?
> - When booted, the computer prints "Starting Windows..."
> ----------------------------------[ moffe at amagerkollegiet dot dk ] --

Rasmus Bøg Hansen (06-09-2002)

Kommentar
Fra : Rasmus Bøg Hansen

Dato : 06-09-02 09:39

SuperFly wrote:

>
> "Rasmus Bøg Hansen" <moffe47@hotmail.com> skrev i en meddelelse >
>> Hvis du havde kigget lidt i netfilter-arkiverne, ville du vide, at det
> ikke
>> er muligt.
>>
>
> Dvs. at c-funktionerner defineret i ip_conntrack.c, ip_conntrack_core.c
> osv. ikke kan bruges til noget?

Jo i kernel-mode. Men ikke fra userspace.

> Jeg tænker her på ip_conntrack_get() og ip_conntrack_put(), som
> umiddelbart henter og sætter ip_conntrack-tupler i ip_conntrack.

Så skal du kode noget kernekode, hvor to maskiner udveksler conntrack-info -
eller lave noget userspace-interaktion, hvor et program kan indsætte og
fjerne conntrack-info - så kan en dæmon udveksle det mellem de to maskiner.

> Nogle direkte links ville være rart? - har fundet et par artikler, men de
> går ikke helt så meget i dybden, som man kunne ønske sig..

Jeg ved ikke andet end hvad der er diskuteret på netfilter-listen (jeg
følger ikke -devel-listen).

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
Man invented language to satisfy his deep need to complain.
-- Lily Tomlin
----------------------------------[ moffe at amagerkollegiet dot dk ] --

SuperFly (06-09-2002)

Kommentar
Fra : SuperFly

Dato : 06-09-02 12:20

> > "Rasmus Bøg Hansen" <moffe47@hotmail.com> skrev i en meddelelse >

> > Jeg tænker her på ip_conntrack_get() og ip_conntrack_put(), som
> > umiddelbart henter og sætter ip_conntrack-tupler i ip_conntrack.
>
> Så skal du kode noget kernekode, hvor to maskiner udveksler
conntrack-info -
> eller lave noget userspace-interaktion, hvor et program kan indsætte og
> fjerne conntrack-info - så kan en dæmon udveksle det mellem de to
maskiner.
>

Yeps - det er lige netop det jeg vil. Ville bare være sikker på at det kunne
lade sig gøre ;)

Har kun rodet med Linux et par måneder, så jeg var lidt i tvivl.

/Lasse

Søg

Reklame

Statistik

Spørgsmål :	177557
Tips :	31968
Nyheder :	719565
Indlæg :	6408868
Brugere :	218888

Månedens bedste

Årets bedste

Sidste års bedste