[FUG-BR] balanceamento de trafego de jail

Wanderson Tinti wanderson em bsd.com.br
Sábado Abril 11 20:59:39 BRT 2009


2009/4/6 Anderson J. de Souza <anjoel.s em gmail.com>:
> Ola a todos.
>
>     Estou com um um probleminha meio simples mas chato pra mim resolver,...
> Um firewall com 4 placas de rede, dmz, intranet1 intranet2 e internet,..
> Alem das minhas redes tenho uma jail com um proxy squid com ip
> atribuido na dmz ,..
> Agora vem o problema,... para a internet tenho 2 links ligados na
> placa, e como o conteudo da intranet 1 e da intranet 2 passam pelo
> mesmo proxy ( jail ),. eles saem com o mesmo ip,.. contudo preciso
> identificar e separar o trafego destas duas redes.
> Inicialmente estou atribuindo tos pelo proxy para as requisições da
> intranet 1, contudo não consigo identificar isto para fazer o nat
> correto.
>
> Estas sao minhas regras de saida:
> pass out quick on net0 route-to (net0 <gw0>) proto tcp from <net0> to
> any modulate state label "OUT $srcaddr ($proto)"
> pass out quick on net0 route-to (net0 <gw1>) proto tcp from <net1> to
> any modulate state label "OUT $srcaddr ($proto)"
>
> Estas minhas regras de Nat
> nat on net0 from <int0> to any -> <eip0>
> nat on net0 from <int1> to any -> <eip1>
> ### ESTA E A REGRA QUE EU GOSTARIA DE USAR  ###
> ### nat on net0 from <dmz0> to any port 80 tos 0x4 -> <eip1> ###
> nat on net0 from <dmz0> to any port 80 -> net0 sticky-address
> nat on net0 from <dmz0> to any -> <eip0>
>
> Se o proxy tiver 2 ips tenho como selecionar pelo ip ,.. mas ai como
> eu faço pra colocar um alias na minha jail ?
>
>
> --
> ___________________
> Anderson J. de Souza
> - Networking and Security -

Boa noite.
Se entendi bem, você tem 2 links internet e quer que cada intranet sai
por um link, certo? Pensei no seguinte cenario, com 2 placa de rede
internet:

ext_if1="192.168.1.2" # xl0
ext_if2="192.168.2.2" # xl1
ext_gw1="192.168.1.1"
ext_gw2="192.168.2.1"
if_intranet1=" rede1 "
if_intranet2=" rede2 "

pf.conf

nat on $ext_if1 from $intranet1 to any -> $ext_if1
nat on $ext_if2 from $intranet2 to any -> $ext_if2

pass in quick on $if_intranet1 route-to ($ext_if1 $ext_gw1) proto tcp from
$intranet1 to any flags S/SA keep state

pass in quick on $if_intranet2 route-to ($ext_if2 $ext_gw2) proto tcp from
$intranet2 to any flags S/SA keep state

pass out on $ext_if1 route-to ($ext_if1 $ext_gw1) from $ext_if1 to any
keep state
pass out on $ext_if2 route-to ($ext_if2 $ext_gw2) from $ext_if2 to any
keep state


squid.conf

acl link1 src "intranet1"
acl link2 src "intranet2"

tcp_outgoing_address 192.168.1.2 link1
tcp_outgoing_address 192.168.2.2 link2


É uma dica, infelismente não posso afirmar que vá funcionar, somente
testando mesmo.

Boa noite a todos.


Mais detalhes sobre a lista de discussão freebsd