Firewall HA ad alte prestazioni

Presso un centro di calcolo abbiamo realizzato con due server dotati di schede Ethernet multiporta una soluzione di firewall ridondata e ad alte prestazioni.

Utilizzando software libero (iptables, ucarp, openvpn) abbiamo realizzato un firewall ad alte prestazioni con due server rack dotati di due schede Ethernet multiporta (per un totale, con le schede integrate, di 10 interfacce). Le interfacce sono poi messe in bonding a coppie, in modo che ogni firewall sia connesso a due switch in trunking, per avere un sistema che abbia ogni componente duplicata.

La realizzazione del sistema ha presentato due difficoltà differenti:

  1. il grande numero di indirizzi di rete del sistema, e la conseguente complessità delle regole;
  2. la mancanza di informazioni attendibili sul sistema da sostituire.

La prima difficoltà è stata risolta strutturando le regole in modo modulare, mentre la seconda è stata affrontata in modo originale, utilizzando dei server virtuali nelle varie reti dotati di un servizio Jenkins. I vari flussi di traffico corrispondevano ciascuno ad un diverso test in esecuzione sui server Jenkins, in modo che ad ogni funzionalità richiesta  corrispondesse un modo canonico di verificarla. La rete di test ha permesso di passare dalla soluzione legacy ad una soluzione più efficiente con il minimo tempo di down, e in  aggiunta vi è ora la possibilità, quando si modifica il sistema, di verificare tempestivamente che non siano state introdotte delle regressioni.

Un’altra parte di test è stata realizzata mettendo dei controlli Check_MK su un server esterno che verificasse la raggiungibilità dei servizi esposti su Internet.