Floppy Firewall Info

[Athlon]

Devo farmi un firewall/router e per risparmiare pensavo di utilizzare un vecchio PC ed una minidistro linux su floppy.

Il problema e' che non conosco per nulla Linux quindi non sono in grado di scegliere

dopo aver cercato in internet sono piu' indeciso di prima ...

quello che mi ispira di piu' e' questo
http://www.coyotelinux.com/products.php?Product=coyote

ma mi sembra troppo complicato e con troppe opzioni che non mi servono a nulla.

In pratica a me serve un floppy che non faccia null' altro che bootare il PC e caricare le (PIU O MENO) regole
iptables -A FORWARD -d eth0 -p tcp -m tcp --dport 80 -j allowed
iptables -A FORWARD -s eth0 -p tcp -m tcp --sport 80 -j allowed
iptables-A FORWARD -d eth0 -p tcp -m tcp --dport 443 -j allowed
iptables -A FORWARD -s eth0 -p tcp -m tcp --sport 443 -j allowed


cioe' che permetta solo il passaggio dei pacchetti sulla 80 e sulla 443 dalla ETH0 (internet) alla ETH1 (LAN)

[kingv]

penso che la scelta migliore (se vuoi qualcosa esclusivemente su floppy) l'hai già indicata.

le alternative possobili sono tutte su cd e molto piu' complicate

[Athlon]

Con coyote linux e' possibile fare un bilanciamento di carico semplice?

Ad esempio far finire gli IP pari su una macchina , quelli dispari sull' altra (mi serve che lo stesso utente sia sempre sulla stessa macchina)

e solo nel caso che una macchina non risponda al ping girare il tutto sulla supersite.

[kingv]

Quote:

Originariamente inviato da Athlon
Con coyote linux e' possibile fare un bilanciamento di carico semplice?

Ad esempio far finire gli IP pari su una macchina , quelli dispari sull' altra (mi serve che lo stesso utente sia sempre sulla stessa macchina)

e solo nel caso che una macchina non risponda al ping girare il tutto sulla supersite.

sei partito dalla cosa piu' semplice del mondo e adesso parli di bilanciamento di carico

forse e' meglio se recuperi un hd anche piccolo piccolo e ci metti una distro normale, hai molta piu' flessibilità.

con coyote probabilemente non si puo' fare (il kernel dovebbe essere compilato col supporto per un sacco di roba), ma non ne sono sicuro quando ho tempo ci guardo

[Athlon]

Quote:

Originariamente inviato da kingv
sei partito dalla cosa piu' semplice del mondo e adesso parli di bilanciamento di carico

e' che prima dietro c'era solo un server ... ora ce ne sono
2

Quote:

Originariamente inviato da kingv
forse e' meglio se recuperi un hd anche piccolo piccolo e ci metti una distro normale, hai molta piu' flessibilità.

Quello che non mi piace del hdd e' che si puo' rompere , e se si rompe e' un casino ripristinarlo , col floppy invece ne fai tante copie all' inizio e se ci sono problemi semplicemente cambi dischetto e riavvi

Quote:

Originariamente inviato da kingv
con coyote probabilemente non si puo' fare (il kernel dovebbe essere compilato col supporto per un sacco di roba), ma non ne sono sicuro quando ho tempo ci guardo

in teoria basterebbe crond e iptables

parti da una situazione dove gli IP pari finiscono su un server e quelli dispari su un altro (ogni user DEVE finire sempre sullo stesso server)

con crond fai uno scriptr che ad intervalli prestabiliti fa un GET HTTP page verso un server se la risposta e' uguale a quella che ci si aspetta vuol dire che il server e' a posto , altrimenti si carica una nuova iptables che gira tutto il traffico verso l'altro.

[kingv]

Quote:

Originariamente inviato da Athlon

con crond fai uno scriptr che ad intervalli prestabiliti fa un GET HTTP page verso un server se la risposta e' uguale a quella che ci si aspetta vuol dire che il server e' a posto , altrimenti si carica una nuova iptables che gira tutto il traffico verso l'altro.

crond ha una risoluzione di un minuto, penso che il dispatcher dovrebbe "pingare" il servizio un po' piu' frequentemente.


se il servizio come mi sembra di aver capito e' http puoi usare diverse soluzioni, come ad esempio un reverse proxy davanti ai due web

[kingv]

una soluzione generale potrebbe essere questa, ma ho dato un occhio alla documentazione e non si mette in piedi in 5 minuti,

http://www.linux-vs.org/

[Athlon]

il servizio e' HTTP ed HTTPS (per quello che lo stesso user deve finire sulla stessa macchina)


una risoluzione di un minuto va piu' che bene , crond serve a RILANCIARE lo script se per caso cade , e' lo script stesso che si occupa di "pingare in http" i server a cadense predefinite.

Anche se in effetti usare crond per il ping renderebbe molto piu' semplice lo script.

basterebbe farne 2
Ping web1 e
Ping web2

e lanciarli alternativamente ... nel peggiore dei casi si ha meta' utenti che restano fermi per neppure 2 minuti

[Athlon]

Quote:

Originariamente inviato da kingv
una soluzione generale potrebbe essere questa, ma ho dato un occhio alla documentazione e non si mette in piedi in 5 minuti,

http://www.linux-vs.org/

decisamente troppo ... come usare una portaerei per fare una gita in pedalo'.

Considera che il load balancing serve piu' per una questione politica di "fare figo" che non per un' effettiva necessita'

[kingv]

Quote:

Originariamente inviato da Athlon
decisamente troppo ... come usare una portaerei per fare una gita in pedalo'.

Considera che il load balancing serve piu' per una questione politica di "fare figo" che non per un' effettiva necessita'

infatti mi sembrava un po' troppo.

ho guardato mod_proxy su apache e non sembra che abbia la possibilità di associare piu' di un server di backend a ogni url.

il balancing per dividere le richieste potresti farlo anche molto semplicemente via DNS , solo che non otteresti l'alta affidabilità girando le richieste sul server rimasto in piedi.

[Athlon]

Quote:

Originariamente inviato da kingv
il balancing per dividere le richieste potresti farlo anche molto semplicemente via DNS , solo che non otteresti l'alta affidabilità girando le richieste sul server rimasto in piedi.

ma alta affidabilita' non e' proprio il garantire che se una machina muore il servizio continua perche' c'e' l'altra?

[kingv]

Quote:

Originariamente inviato da Athlon

ma alta affidabilita' non e' proprio il garantire che se una machina muore il servizio continua perche' c'e' l'altra?

infatti, io ho detto che utilizzando una soluzione semplice come due entry sul DNS per lo stesso alias otterresti solo di smistare le richieste (ottimizzando le prestazioni) ma non di avere il servizio in alta affidabilità perche' metà degli utenti si troverebbero il server giu' in caso di failure

[Zeno Cosini]

Quote:

Originariamente inviato da Athlon
Quello che non mi piace del hdd e' che si puo' rompere , e se si rompe e' un casino ripristinarlo

Guarda basta farne un backup con, ad esempio, Drive Image, e visto che l'HD in questione sarebbe piccolo ti occupa anche poco spazio...
Inoltre il programma consente anche di backuppare all'interno della rete, così non devi i salti mortali per inserire eventualmente fisicamente l'HD nel PC...

[kingv]

per la soluzione con iptables e lo script invece avresti il problema contrario, le richieste andrebbero o tutte su una macchina o tutte sull'altra, no?

[Athlon]

Quote:

Originariamente inviato da kingv
infatti, io ho detto che utilizzando una soluzione semplice come due entry sul DNS per lo stesso alias otterresti solo di smistare le richieste (ottimizzando le prestazioni) ma non di avere il servizio in alta affidabilità perche' metà degli utenti si troverebbero il server giu' in caso di failure

sarebbe solo un down temporaneo , giusto il tempo di riloggarsi (l'HTTPS se il server fisico cambia ti obbliga a reiniziare la sessione) e tutti gli utenti sarebbero sulla macchina superstite.

[Athlon]

Quote:

Originariamente inviato da Zeno Cosini
Guarda basta farne un backup con, ad esempio, Drive Image, e visto che l'HD in questione sarebbe piccolo ti occupa anche poco spazio...
Inoltre il programma consente anche di backuppare all'interno della rete, così non devi i salti mortali per inserire eventualmente fisicamente l'HD nel PC...

tramite rete sicuramente NO ... si tratta di un FIREWALL.

l'hdd ha il grosso svantaggio che devi aprire la macchina per ripristinarlo e ci mette del tempo , con il floppy invece basta tenere una scatoletta di floppy gia' fatti , in caso di problemi butti via il floppy corrente , ne pigli uno nuovo e riavvi la macchina ... in meno di 30 secondi anche un UTONTO e' in grado di aggiustare tutto.

[Athlon]

Quote:

Originariamente inviato da kingv
per la soluzione con iptables e lo script invece avresti il problema contrario, le richieste andrebbero o tutte su una macchina o tutte sull'altra, no?

no , con IPTABLES di norma farei andare le richieste meta' da una parte e meta' dall' altra , solo in caso di guasti si dirotta tutti da una parte o dall' altra.

[kingv]

Quote:

Originariamente inviato da Athlon
no , con IPTABLES di norma farei andare le richieste meta' da una parte e meta' dall' altra , solo in caso di guasti si dirotta tutti da una parte o dall' altra.

si puo' fare con iptables?

io non sono un esperto di iptables ma a sensazione dubito che implementi session affinity (per l'ssl o per eventualli applicazioni web) e tutto quanto necessario al load balancing.

[mykol]

Sul LUG di Asti c'è un firewall su floppy ed una miniguida

[Athlon]

ho trovato anche questo

http://www.gnu.org/directory/Securit.../floppyfw.html