Firewall Distribution inkl. HA

[dante]

Hi zusammen,

Firewall Distros gibts ja genug, allerdings suche ich eine Community Edition (für zu Hause) die HA-fähig ist.

Endian kann das wohl in der Enterprise Version, Astaro meine ich auch.


Vielleicht hat jemand noch nen heißen Tipp.

Gruß
dante

[ddm3ve]

Hi,

das Linux Magazin Ausgabe04/05 hatte einen Artikel zum Thema. Hier wurde wohl eine Verbindung über Serielle Schnittstelle mit den "beiden" System hergestellt.
Es ging zwar in erster Linie um VPN, lässt sich aber natürlich auch auf andere Dienste ausweiten.

Wenn ich mich noch richtig erinnere, stand aber die Heartbeat Implementierung bei icop bzw. generell bei shorewall wohl zur Debatte.
BTW: bei einem Blick in die Endian Firewall, dahinter hängt auch "nur" ein heartbeat. Mit etwas Muse und Geschick bekommt man das auch selbst konfiguriert.

http://www.pfsense.org/ soll hingegen gleich mit einer HA Lösung daher kommen. BTW: eine entsprechende Appliance, wie z.B. Endian liegt in einer "kleinen" Lösung die meist ausreichend ist, in einem bezahlbaren Rahmen.

[dante]

PF-Sense habe ich vorhin auch noch gefunden, sieht wirklich gut aus und es wäre ein trifftiger Grund, um sich mal mit BSD zu beschäftigen ;)

Ein heartbeat oder corosync Unterbau für Endian könnte auch denkbar sein, im Prinzip reicht mir ein einer Failover voll und ganz, ob jetzt bei Ausfall meine aktiven HTTP-Sessions rübergeschwenkt werden oder nicht ist egal.

Zu den UTM-Boxen: Meine Intention ist folgende: wir haben 3 Sonicwall 2040 rausgeschmissen und die ziehen jetzt in mein Heim ein ;)
Und da mir Sonicwall (als Software) nicht sondernlich gefällt, hätte ich gerne eine andere Lösung.

[daemotron]

OpenBSD kann das (fast) ootb. Der mitgelieferte Paketfilter pf kann mittels pfsync Regeln zwischen verschiedenen Maschinen synchron halten. Wie man so etwas aufsetzt, ist hier beschrieben:

http://www.linux-magazin.de/Heft-Abo/Au ... -abtauchen

Der Artikel ist zwar schon etwas betagter, aber die Konfiguration von OpenBSD im Allgemeinen und pf im besonderen hat sich seither nicht nennenswert geändert; pf ist im Umfang etwas gewachsen und mächtiger geworden (siehe http://www.openbsd.org/faq/pf/index.html).

[papabaer]

OpenBSD kann mit carp sogar echtes HA. Ich bin da gerade noch am ausführlich lernen, testen und probieren, deswegen bin ich noch nicht in der Lage, belastbare Antworten zu geben. Aber das Ganze fühlt sich so weit richtig sauber und durchdacht an, macht Spaß. Gerade, wenn man von Linux und IPTables kommt.

[dante]

Moin zusammen,

erstmal vielen Dank an alle.

Mein Plan sieht viel folcht aus:
pfSense auf die 3 Büchsen spielen (ist direkt embedded fähig, mit How-To bezüglich Installation auf CompactFlash Card).

Wenn das läuft, werde ich das Ganze sichern und versuchen, solch eine Lösung from Scratch auf OpenBSD Basis zu bauen.

Gruß
dante

[bkxxl]

Ich kann dir uneingeschrenkt www.astaro.com empfehlen.

[dante]

Wenn die Community Edition bloß HA könnte ;)

Aber in der Firma bin ich durchaus zufrieden. Wir haben ein 2-Node Setting auf eigener Hardware realisiert. Nach anfänglichen Schwierigkeiten wegen unserer additiven NICs hats dann auch hingehauen (Top Support bei Astaro).

Gruß
dante