[FUG-BR] balanceamento de trafego de jail
Fabricio Archanjo
farchanjo em gmail.com
Domingo Abril 12 02:16:30 BRT 2009
Um cliente lá da nossa empresa tem um firewall com pf. Ele pediu que
balancessemos o link dele, que tudo que viesse pelo proxy jogassemo
para o velox. Para não afogar o link principal dele. Porém não
consegui fazer com que o squid saísse pelo velox, mesmo eu botando o
route-to na saída ele obedecia somente a rota default na tabela de
roteamento, me parece que o pf só consegue balancear com trafego de
entrada. Nossa solução foi montar um servidor squid na rede interna, e
usamos o route-to no pass in para rotear a saída.
Se alguem tiver solução para isso também, eu agradecia.
Obs: Uma coisa que eu pensei, foi marcar o os pacotes. Porém não tive
tempo para implementar. Será que funcionaria?
Att.
2009/4/11 Wanderson Tinti <wanderson em bsd.com.br>:
> 2009/4/6 Anderson J. de Souza <anjoel.s em gmail.com>:
>> Ola a todos.
>>
>> Estou com um um probleminha meio simples mas chato pra mim resolver,...
>> Um firewall com 4 placas de rede, dmz, intranet1 intranet2 e internet,..
>> Alem das minhas redes tenho uma jail com um proxy squid com ip
>> atribuido na dmz ,..
>> Agora vem o problema,... para a internet tenho 2 links ligados na
>> placa, e como o conteudo da intranet 1 e da intranet 2 passam pelo
>> mesmo proxy ( jail ),. eles saem com o mesmo ip,.. contudo preciso
>> identificar e separar o trafego destas duas redes.
>> Inicialmente estou atribuindo tos pelo proxy para as requisições da
>> intranet 1, contudo não consigo identificar isto para fazer o nat
>> correto.
>>
>> Estas sao minhas regras de saida:
>> pass out quick on net0 route-to (net0 <gw0>) proto tcp from <net0> to
>> any modulate state label "OUT $srcaddr ($proto)"
>> pass out quick on net0 route-to (net0 <gw1>) proto tcp from <net1> to
>> any modulate state label "OUT $srcaddr ($proto)"
>>
>> Estas minhas regras de Nat
>> nat on net0 from <int0> to any -> <eip0>
>> nat on net0 from <int1> to any -> <eip1>
>> ### ESTA E A REGRA QUE EU GOSTARIA DE USAR ###
>> ### nat on net0 from <dmz0> to any port 80 tos 0x4 -> <eip1> ###
>> nat on net0 from <dmz0> to any port 80 -> net0 sticky-address
>> nat on net0 from <dmz0> to any -> <eip0>
>>
>> Se o proxy tiver 2 ips tenho como selecionar pelo ip ,.. mas ai como
>> eu faço pra colocar um alias na minha jail ?
>>
>>
>> --
>> ___________________
>> Anderson J. de Souza
>> - Networking and Security -
>
> Boa noite.
> Se entendi bem, você tem 2 links internet e quer que cada intranet sai
> por um link, certo? Pensei no seguinte cenario, com 2 placa de rede
> internet:
>
> ext_if1="192.168.1.2" # xl0
> ext_if2="192.168.2.2" # xl1
> ext_gw1="192.168.1.1"
> ext_gw2="192.168.2.1"
> if_intranet1=" rede1 "
> if_intranet2=" rede2 "
>
> pf.conf
>
> nat on $ext_if1 from $intranet1 to any -> $ext_if1
> nat on $ext_if2 from $intranet2 to any -> $ext_if2
>
> pass in quick on $if_intranet1 route-to ($ext_if1 $ext_gw1) proto tcp from
> $intranet1 to any flags S/SA keep state
>
> pass in quick on $if_intranet2 route-to ($ext_if2 $ext_gw2) proto tcp from
> $intranet2 to any flags S/SA keep state
>
> pass out on $ext_if1 route-to ($ext_if1 $ext_gw1) from $ext_if1 to any
> keep state
> pass out on $ext_if2 route-to ($ext_if2 $ext_gw2) from $ext_if2 to any
> keep state
>
>
> squid.conf
>
> acl link1 src "intranet1"
> acl link2 src "intranet2"
>
> tcp_outgoing_address 192.168.1.2 link1
> tcp_outgoing_address 192.168.2.2 link2
>
>
> É uma dica, infelismente não posso afirmar que vá funcionar, somente
> testando mesmo.
>
> Boa noite a todos.
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
Mais detalhes sobre a lista de discussão freebsd