Estimados
necesito hacer una implementacion de firewall en HA ¿alguna sugerencia o howto?
saludos a la lista.
Yo creo que lo primero es definir cómo va a ser tu monitoreo de los firewall. Vale decir, qué vas a revisar: carga del procesador, conexiones que está resolviendo, carga de la tarjeta de red, cantidad de RAM ocupada en la máquina, etc. Una vez definido eso, ahí podríamos darte ideas (según cómo lo veo), porque incluso podrías generar tus propios scripts para mantener el sistema funcionando, en vez de implementar soluciones como HeartBeat y/o demases...
2012/8/29 Hector Martínez Romo pelaomr@gmail.com
Estimados
necesito hacer una implementacion de firewall en HA ¿alguna sugerencia o howto?
saludos a la lista. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Gracias por contestar, no entiendo tu planteamiento, mi problema principal en este momento es como implementar un servicio de firewall en alta disponibilidad,el monitoreo no lo directamente relacionado con mi problema.
El 29 de agosto de 2012 13:01, Héctor Herrera hherreraa@gmail.comescribió:
Yo creo que lo primero es definir cómo va a ser tu monitoreo de los firewall. Vale decir, qué vas a revisar: carga del procesador, conexiones que está resolviendo, carga de la tarjeta de red, cantidad de RAM ocupada en la máquina, etc. Una vez definido eso, ahí podríamos darte ideas (según cómo lo veo), porque incluso podrías generar tus propios scripts para mantener el sistema funcionando, en vez de implementar soluciones como HeartBeat y/o demases...
2012/8/29 Hector Martínez Romo pelaomr@gmail.com
Estimados
necesito hacer una implementacion de firewall en HA ¿alguna sugerencia o howto?
saludos a la lista. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- Saludos
*Héctor Herrera Anabalón* Egresado ICCI UNAP Servicio Arquitectura y Oficina Técnica Galatea - http://www.galatea.cl Miembro USoLIX Victoria Registered User #548600 (LinuxCounter.net) +56983118902 _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Cómo veo este problema: Tienes que hacer que al menos 2 firewall trabajen de forma sincronizada e inteligente, resolviendo las peticiones que lleguen a tu sistema. Eso significa que *ambos deben estar activos, pero sólo 1 de ellos debe resolver las peticiones, mientras que el otro está inactivo, a la espera que el primero falle*. Si lo miramos en un diagrama, podría ser de la siguiente forma (a ver si con esto me explico más):
Nube --> *Firewall 1* ---> *Firewall 2* --> Red interna
El Firewall 1 debería hacer el filtro de tu red, mientras que el firewall 2 debería aceptar todas las conexiones entrantes. Y los roles deberían invertirse para cuando falle el firewall 1.
En este caso, debes decidir cómo monitorizar ambos firewall, y es aquí donde entran las categorías que te mencioné anteriormente: filtrar por cantidad de conexiones, por carga en la tarjeta de red, por cantidad de RAM utilizada por el dispositivo, etc. Si preguntas en la lista de CentOS, asumo que tienes 2 computadores, ambos con CentOS, haciendo el trabajo de firewall, cierto? Si este es el caso, puedes revisar los archivos de sistema y generar tranquilamente tu propia aplicación que controle esto, vale decir, que levante el firewall 2 como "firewall maestro" cuando el firewall 1 caiga, o por X motivo deje de responder peticiones. Ahora, si la arquitectura es distinta, creo que vale la pena mencionarlo, para poder ayudarte con más exactitud...
El 29 de agosto de 2012 14:17, Hector Martínez Romo pelaomr@gmail.comescribió:
Gracias por contestar, no entiendo tu planteamiento, mi problema principal en este momento es como implementar un servicio de firewall en alta disponibilidad,el monitoreo no lo directamente relacionado con mi problema.
El 29 de agosto de 2012 13:01, Héctor Herrera <hherreraa@gmail.com
escribió:
Yo creo que lo primero es definir cómo va a ser tu monitoreo de los firewall. Vale decir, qué vas a revisar: carga del procesador, conexiones que está resolviendo, carga de la tarjeta de red, cantidad de RAM ocupada en la máquina, etc. Una vez definido eso, ahí podríamos darte ideas
(según
cómo lo veo), porque incluso podrías generar tus propios scripts para mantener el sistema funcionando, en vez de implementar soluciones como HeartBeat y/o demases...
2012/8/29 Hector Martínez Romo pelaomr@gmail.com
Estimados
necesito hacer una implementacion de firewall en HA ¿alguna sugerencia
o
howto?
saludos a la lista. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- Saludos
*Héctor Herrera Anabalón* Egresado ICCI UNAP Servicio Arquitectura y Oficina Técnica Galatea - http://www.galatea.cl Miembro USoLIX Victoria Registered User #548600 (LinuxCounter.net) +56983118902 _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Estimado,
Quizás esto es lo que estas buscando:
http://www.linuxjournal.com/article/10964
http://conntrack-tools.netfilter.org/
Saludos.,
El día 29 de agosto de 2012 14:27, Héctor Herrera hherreraa@gmail.com escribió:
Cómo veo este problema: Tienes que hacer que al menos 2 firewall trabajen de forma sincronizada e inteligente, resolviendo las peticiones que lleguen a tu sistema. Eso significa que *ambos deben estar activos, pero sólo 1 de ellos debe resolver las peticiones, mientras que el otro está inactivo, a la espera que el primero falle*. Si lo miramos en un diagrama, podría ser de la siguiente forma (a ver si con esto me explico más):
Nube --> *Firewall 1* ---> *Firewall 2* --> Red interna
El Firewall 1 debería hacer el filtro de tu red, mientras que el firewall 2 debería aceptar todas las conexiones entrantes. Y los roles deberían invertirse para cuando falle el firewall 1.
En este caso, debes decidir cómo monitorizar ambos firewall, y es aquí donde entran las categorías que te mencioné anteriormente: filtrar por cantidad de conexiones, por carga en la tarjeta de red, por cantidad de RAM utilizada por el dispositivo, etc. Si preguntas en la lista de CentOS, asumo que tienes 2 computadores, ambos con CentOS, haciendo el trabajo de firewall, cierto? Si este es el caso, puedes revisar los archivos de sistema y generar tranquilamente tu propia aplicación que controle esto, vale decir, que levante el firewall 2 como "firewall maestro" cuando el firewall 1 caiga, o por X motivo deje de responder peticiones. Ahora, si la arquitectura es distinta, creo que vale la pena mencionarlo, para poder ayudarte con más exactitud...
El 29 de agosto de 2012 14:17, Hector Martínez Romo pelaomr@gmail.comescribió:
Gracias por contestar, no entiendo tu planteamiento, mi problema principal en este momento es como implementar un servicio de firewall en alta disponibilidad,el monitoreo no lo directamente relacionado con mi problema.
El 29 de agosto de 2012 13:01, Héctor Herrera <hherreraa@gmail.com
escribió:
Yo creo que lo primero es definir cómo va a ser tu monitoreo de los firewall. Vale decir, qué vas a revisar: carga del procesador, conexiones que está resolviendo, carga de la tarjeta de red, cantidad de RAM ocupada en la máquina, etc. Una vez definido eso, ahí podríamos darte ideas
(según
cómo lo veo), porque incluso podrías generar tus propios scripts para mantener el sistema funcionando, en vez de implementar soluciones como HeartBeat y/o demases...
2012/8/29 Hector Martínez Romo pelaomr@gmail.com
Estimados
necesito hacer una implementacion de firewall en HA ¿alguna sugerencia
o
howto?
saludos a la lista. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- Saludos
*Héctor Herrera Anabalón* Egresado ICCI UNAP Servicio Arquitectura y Oficina Técnica Galatea - http://www.galatea.cl Miembro USoLIX Victoria Registered User #548600 (LinuxCounter.net) +56983118902 _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- Saludos
*Héctor Herrera Anabalón* Egresado ICCI UNAP Servicio Arquitectura y Oficina Técnica Galatea - http://www.galatea.cl Miembro USoLIX Victoria Registered User #548600 (LinuxCounter.net) +56983118902 _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Lorenzo, es lo que necesito, muchas gracias.
El 29 de agosto de 2012 15:38, Lorenzo Perez jlorenzop@gmail.com escribió:
Estimado,
Quizás esto es lo que estas buscando:
http://www.linuxjournal.com/article/10964
http://conntrack-tools.netfilter.org/
Saludos.,
El día 29 de agosto de 2012 14:27, Héctor Herrera hherreraa@gmail.com escribió:
Cómo veo este problema: Tienes que hacer que al menos 2 firewall trabajen de forma sincronizada e inteligente, resolviendo las peticiones que
lleguen
a tu sistema. Eso significa que *ambos deben estar activos, pero sólo 1
de
ellos debe resolver las peticiones, mientras que el otro está inactivo, a la espera que el primero falle*. Si lo miramos en un diagrama, podría ser de la siguiente forma (a ver si con esto me explico más):
Nube --> *Firewall 1* ---> *Firewall 2* --> Red interna
El Firewall 1 debería hacer el filtro de tu red, mientras que el
firewall 2
debería aceptar todas las conexiones entrantes. Y los roles deberían invertirse para cuando falle el firewall 1.
En este caso, debes decidir cómo monitorizar ambos firewall, y es aquí donde entran las categorías que te mencioné anteriormente: filtrar por cantidad de conexiones, por carga en la tarjeta de red, por cantidad de
RAM
utilizada por el dispositivo, etc. Si preguntas en la lista de CentOS, asumo que tienes 2 computadores, ambos con CentOS, haciendo el trabajo de firewall, cierto? Si este es el caso, puedes revisar los archivos de sistema y generar tranquilamente tu propia aplicación que controle esto, vale decir, que levante el firewall 2 como "firewall maestro" cuando el firewall 1 caiga, o por X motivo deje de responder peticiones. Ahora, si
la
arquitectura es distinta, creo que vale la pena mencionarlo, para poder ayudarte con más exactitud...
El 29 de agosto de 2012 14:17, Hector Martínez Romo <pelaomr@gmail.com escribió:
Gracias por contestar, no entiendo tu planteamiento, mi problema
principal
en este momento es como implementar un servicio de firewall en alta disponibilidad,el monitoreo no lo directamente relacionado con mi problema.
El 29 de agosto de 2012 13:01, Héctor Herrera <hherreraa@gmail.com
escribió:
Yo creo que lo primero es definir cómo va a ser tu monitoreo de los firewall. Vale decir, qué vas a revisar: carga del procesador,
conexiones
que está resolviendo, carga de la tarjeta de red, cantidad de RAM
ocupada
en la máquina, etc. Una vez definido eso, ahí podríamos darte ideas
(según
cómo lo veo), porque incluso podrías generar tus propios scripts para mantener el sistema funcionando, en vez de implementar soluciones como HeartBeat y/o demases...
2012/8/29 Hector Martínez Romo pelaomr@gmail.com
Estimados
necesito hacer una implementacion de firewall en HA ¿alguna
sugerencia
o
howto?
saludos a la lista. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- Saludos
*Héctor Herrera Anabalón* Egresado ICCI UNAP Servicio Arquitectura y Oficina Técnica Galatea -
Miembro USoLIX Victoria Registered User #548600 (LinuxCounter.net) +56983118902 _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- Saludos
*Héctor Herrera Anabalón* Egresado ICCI UNAP Servicio Arquitectura y Oficina Técnica Galatea - http://www.galatea.cl Miembro USoLIX Victoria Registered User #548600 (LinuxCounter.net) +56983118902 _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- Se despide atte.,
Lorenzo Pérez A. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Hola Hector Martinez
Como dice Hector Herrera lo puedes hacer como el dice monitoreando varios recursos de el firewall, con script hacer un firewall en alta disponibilidad no es complicado si sabes BASH, si quieres ocupar algo como LVS te dejo esta ligar para empezar.
http://www.austintek.com/LVS/LVS-HOWTO/HOWTO/LVS-HOWTO.filter_rules.html
Daniel Ortiz Gutierrez
On 08/29/2012 01:17 PM, Hector Martínez Romo wrote:
Gracias por contestar, no entiendo tu planteamiento, mi problema principal en este momento es como implementar un servicio de firewall en alta disponibilidad,el monitoreo no lo directamente relacionado con mi problema.
El 29 de agosto de 2012 13:01, Héctor Herrera hherreraa@gmail.comescribió:
Yo creo que lo primero es definir cómo va a ser tu monitoreo de los firewall. Vale decir, qué vas a revisar: carga del procesador, conexiones que está resolviendo, carga de la tarjeta de red, cantidad de RAM ocupada en la máquina, etc. Una vez definido eso, ahí podríamos darte ideas (según cómo lo veo), porque incluso podrías generar tus propios scripts para mantener el sistema funcionando, en vez de implementar soluciones como HeartBeat y/o demases...
2012/8/29 Hector Martínez Romo pelaomr@gmail.com
Estimados
necesito hacer una implementacion de firewall en HA ¿alguna sugerencia o howto?
saludos a la lista. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- Saludos
*Héctor Herrera Anabalón* Egresado ICCI UNAP Servicio Arquitectura y Oficina Técnica Galatea - http://www.galatea.cl Miembro USoLIX Victoria Registered User #548600 (LinuxCounter.net) +56983118902 _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-
daniel -
Hector Martínez Romo -
Héctor Herrera -
Lorenzo Perez