[FUG-BR] Problemas com PF+balanceamento+bancos

[Aristeu Gil Alves Jr]

Em 25/01/07, Renato Frederick<frederick em dahype.org> escreveu:
> Se não me engano o famoso "balanceamento" do PF não irá funcionar com SSL
> porque é round-robin, o 1o pacote fecha uma negociação SSL do IPX para o
> cliente Z do servidor Y.
> Daí a resposta já vem com outro IP de cliente, o que o SSL foi feito para
> barrar (man in the midle, etc etc).
>
> Logo, você tem que tirar a porta https do round-robin.

Com o "keep state" vc faz que a comunicação daquela sessão TCP
(cliente interno - servidor externo) fique OK - ou seja, com o mesmo
IP,

O problema é que os browsers não abrem apenas uma sessão TCP, mas
várias. Ou seja, para uma mesma sessão da aplicação bancária, são
feitas várias sessões TCP de diferentes IPs, fazendo as aplicações
registrarem a anomalia e rejeitarem a sessão bancária.

Na minha opinião, a limitação neste caso não é imposta pelo https, mas
pela aplicação bancária.

Limitar o round-robin para HTTPS não resolve especificamente o
problema (que seria identificar os sites com as aplicações que estão
restringindo), mas evita essa trabalheira, haja vista que os sites que
fazem isto normalmente usam https,

Abs
-- 
Aristeu Gil Alves Jr