[FUG-BR] balanceamento de varios links

[Luiz Otavio O Souza]

On Feb 24, 2010, at 10:44 AM, Welkson Renny de Medeiros wrote:

> Giancarlo Rubio escreveu:
>> Em 24 de fevereiro de 2010 10:31, Neerlan Amorim <neerlan em gmail.com> escreveu:
>> 
>>> Com esse exemplo do PF tambem terá o mesmo problemas com site de bancos.
>>> 
>> 
>> No próprio manual do pf explica como contornar isso.
>> 
>> #  keep https traffic on a single connection; some web applications,
>> #  especially "secure" ones, don't allow it to change mid-session
>> pass in on $int_if route-to ($ext_if1 $ext_gw1) \
>>    proto tcp from $lan_net to port https
>> 
>> 
>> 
> 
> No pfsense é o que chamam de "Stick-connections" não é isso?
> 
> (não sei se digitei o nome correto)

Sim a idéia é essa... manter as conexões fixas em um único IP de saída por toda duração da comunicação.

Mas até onde entendo a única peça do sistema que pode fazer isso é o próprio NAT (quando se utiliza NAT, clarooo)...

Ele é o único que tem o IP interno do cliente e o IP de destino, então ali é o local certo para criar uma tabela de estados e utilizar essa tabela para manter os endereços de conexão fixos entre uma maquina da rede interna e o endereço de destino.

Sempre que houver um entrada nessa tabela (quando a maquina já esta conectada a outros serviços/portas do servidor) sempre se usa o mesmo IP para o NAT.

Quando não houver entradas nessa tabela, se faz o balanceamento de acordo com a proporção desejada.

Eu tinha um patch que fazia isso no NAT de 1900 e bolinha... funcionava MUITO bem ;) infelizmente não se aplica mais ao codigo atual.

O pfsense deve ter caminhado nesse sentido...

Se alguem tiver interesse nessa implementação podemos conversar em pvt... porém no momento ENOTIME... e ENOFUNDS pra fazer isso...

[]'s
Luiz
PS: isso se aplica ao ipfw+nat, o pf tambem pode ser modificado pra fazer isso, mas sou um tanto clueless quanto ao pf