<br><div class="gmail_quote">On 15 October 2010 09:47, Marcel Hauser <span dir="ltr"><<a href="mailto:marcel_hauser@gmx.ch">marcel_hauser@gmx.ch</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
<br><div class="im"><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
But that is no problem. firewalling is no hard job any more. A reasonable<br>
machine can firewall 1 GBit/s traffic.<br>
</blockquote>
<br></div>
valid point. my only "concern" is/was that i don't like the idea of a passive firewall.... because when you need it to failover (maybe after 2 years :-) ).... you may just realize that it's somehow broken too.<br>
</blockquote><div> </div><div>a monitor system should help you out on this.<br> </div><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
<br>
In an active-active like setup you basically know that both system are actually working as expected.<div class="im"><br>
<br>
<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;"><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">

- how would you guys detect a firewall failure on any node (pingd ??)...<br>
and if a failure occurs... will the crm automatically unconfigure the<br>
cloned ip's on that node ?<br>
</blockquote>
<br>
pingd to check the availability of the attached network. The cluste resource<br>
manager takes care for the failover. See the "from the scratch" doc.<br>
</blockquote>
<br></div>
Yes i've read that in the docs. But is this really common practice for firewall clusters ? i don't want the firewall to failover if i'm having "internal problems with internal hosts/pingable addresses"!?<br>

<br>
otherwise i have to build an internal ping cluster ;-)<br></blockquote><div> </div><div>I have always believed that you should only trigger a failover when something that is needed to offer the service is not available (disk, a filesystem, a NIC etc)<br>
<br>Having said that, I believe a firewall in order to be operational needs access to common elements like disk/fs/nic and on top of that to uplink routers or to any routers that are part of its routing table. Furthermore, a firewall needs access to any layer2 switch which gives him access to the attached LANs<br>
<br>But, deciding which element should be part of the "health system" has to do with the network design and if layer 2 or layer 3 redundancy exists in your environment. If the layer 2 or layer 3 redundancy is not available, then make little sense to add them in your "health system", because in a case of failure this element wont be accessible by the standby firewall as well.<br>
</div><br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
<br>
why did you choose to run conntrackd and heartbeat over a dedicated bonding interface in your pdf, compared to the FW builder docs which say to run heartbeat over every interface of the firewall, which therefore might enable the cluster to detect network card failures... because the heartbeat is not received over a given failed interface anymore ?<div class="im">
<br>
<br>
<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
Rumors say that the is a good German book about clusters from O'Reilly. In the<br>
examples chapter the author exactly describes the setup you mentioned. ;-)<br>
</blockquote>
<br></div>
:-).... i've seen that... but i hate reading books (no matter on what topic)... and my learning curve is much more efficient if i learn it myself :-)<br></blockquote><div><br>I didn't quick search and I couldn't find it, what is the name of the book? <br>
<br></div><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
<br>
but thanks for the hint... any i really appreciate your and any other help!<div><div></div><div class="h5"><br></div></div></blockquote></div>