
<div>Hi there!</div><div><br></div><div>I'm working on a statefull firewall HA cluster (active/pasive) with conntrackd as a ms resource. I'm sure some of you guys remember me from the IRC channel :P</div><div><br></div>


<div>Some questions:</div><div><br></div><div>I'm doing some failback/failover test with the connection tracking systems. </div><div><br></div><div>CASE A: One of that test do the next:</div><div><br></div><div>1) Initialisation of a connection with a big file transfer with SCP across the cluster.</div>


<div>2) "halt" the primary node. All resources moves to another node. That works really fine.</div><div>3) The file transfer still working. Transparent to the end user.</div><div><br></div><div>CASE B: I want to be sure that the failback/failover is thanks to conntrackd flow's-state-replication, so</div>


<div><br></div><div>1) Stop the conntrackd resource. All go fine.</div><div>2) Start the file transfer across the cluster.</div><div>3) Failover the node that has the IPVs. All resources moves to another node. </div><div>


4) The file transfer still working. Transparent to the end user. їїїїїї?????? WTF</div><div><br></div><div><br></div><div>In the CASE B, without the conntrackd MS resource running, I supposed that the new node being owner of IPVs will not have any knowlege about the state of the flow (you know, NEW, ESTABLISHED,etc..). And this mean the firewall has to block the transference.</div>


<div>But still transfering and the iptables rule being aplied.</div><div><br></div><div><div>Chain FORWARD (policy DROP 42 packets, 3336 bytes)</div><div> pkts bytes target     prot opt in     out     source               destination         </div>


<div> 741K 1075M ACCEPT     tcp  --  eth0   eth2    10.0.0.128           192.168.100.100     tcp spts:1024:65535 dpt:22 state NEW,ESTABLISHED </div><div>37498 2400K ACCEPT     tcp  --  eth2   eth0    192.168.100.100      10.0.0.128          tcp spt:22 dpts:1024:65535 state ESTABLISHED </div>


</div><div><br></div><div><br></div><div>Any idea?</div><div><br></div><div>Regards!</div><meta http-equiv="content-type" content="text/html; charset=utf-8"><div><br clear="all"><br>-- <br>/* Arturo Borrero Gonzalez || <a href="mailto:cer.inet@linuxmail.org" target="_blank">cer.inet@linuxmail.org</a> */<br>


/* Use debian gnu/linux! Best OS ever! */<br><br>

</div>