![\"\"](\"http:\/\/clark.tipistrani.it\/wp-content\/uploads\/reti.png\" "\\"reti\\"")
<\/a><\/p>\nLegenda:
\nR1= router Colt
\nR2= route kpnqwest
\nFW1=sangiorgio bastion host principale
\nFW2=perseo bastion host secondario
\nip1=indirizzo virtualizzato\u00a0 che \u00e8 il gateway di tutta la LAN
\nLAN=192.168.2.0\/24<\/p>\n
Con il termine bastion host si identificano tutti quei Firewall host critici per la sicurezza della rete in questione; data la sua importanza nella sicurezza di rete, tale host deve essere ben fortificato e l’accesso diretto a tale host deve essere massimamente controllato.
\nIl bastion host effettua la funzione di interfaccia tra la rete interna e quella esterna e per questo \u00e8 spesso soggetto di attacchi dall’esterno ma del resto la sua pi\u00f9 classica configurazione d’uso \u00e8 quella di primo ed unico punto di contatto tra privato e pubblico dominio.
\nPremetto che essendo i 2 firewall connessi a ISP diversi in caso di caduta del principale le connessioni in essere cadranno tutte.
\nCi sono 2 modi essenzialmente di affrontare la questione, e pi\u00f9 precisamente:
\na)virtualizzare solo gli indirizzi che servono per poter lavorare e configurare separatamente le 2 macchine e in caso di caduta del computer principale farli passare al secondario
\nb)creare una partizione che “salta” da un computer all’altro quando il nodo principale (Master) per un qualsiasi motivo non \u00e8 disponibile, e li scrivere tutte le configurazioni.
\nla soluzione a) \u00e8 piu’ facile e leggera ma offre lo svantaggio di dover sempre curare le configurazioni di ambo le macchine visto che devono essere speculari.
\nla soluzione b) prevede un tuning molto pi\u00f9 delicato del sistema ma una volta definitivamente a posto le modifiche alle configurazioni sono valide per ambo le macchine, idem per gli aggiornamenti delle blacklists e per i log della navigazione che sostanzialmente diventano unici, come svantaggio richiede una scheda di rete preferibilmente gigaethernet supplementare.
\nLa soluzione a) prevede l’utilizzo soltanto di ucarp, che \u00e8 il porting sotto linux del protocollo carp di bsd.
\nLa soluzione b) prevede l’utilizzo di drbd e di heartbeat, ho lungamente tentato di fare l’accoppiata drbd\/ucarp ma non c’\u00e8 stato verso di farla funzionare decentemente, credo che sia dovuto al fatto che drbd \u00e8 sviluppato in sincrono con heartbeat e mal digerisce altri prodotti.
\nDi seguito entrambe le soluzioni che possono essere usate tranquillamente a seconda delle esigenze, per fare un esempio se si trattasse solo di tenere un gateway<\/a> sempre su e non ci fossero dietro servizi accessori ucarp sarebbe l’ottimale, l’altra soluzione molto piu’ complessa \u00e8 invece secondo me pi\u00f9 indicata se si tratta di far saltare una serie di configurazioni che altrimenti diventerebbe pazzesco tenere allineate.<\/p>\n