<div dir="ltr">Allen:<div class="gmail_extra"><br><div class="gmail_quote">On Wed, Sep 18, 2013 at 1:43 PM, Allen Pomeroy <span dir="ltr"><<a href="mailto:a@pomeroy.us" target="_blank">a@pomeroy.us</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Why don't you consider something like OpenBSD's packet filter (pf), pfsync, and CARP?  That would provide a better (hitless) HA solution for firewalls.  I also use <a href="http://fwbuilder.org" target="_blank">fwbuilder.org</a> to graphically manage the firewall rules.  </blockquote>
<div><br></div><div>I am tied to CentOS-6.3</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">The best use for a cluster is services that can take a hit while the cluster migrates resources from a failed node to a healthy node.  Firewalls are a special case where you want the 'failover' to happen in near realtime including the in memory firewall state table and the IP MAC addresses on each segment.<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div class="h5"><br></div></div></blockquote></blockquote><div>I was looking at conntrackd .</div><div><br></div><div>
thanks,</div><div>Jeff</div><div> </div></div></div></div>