[GTER] Balanceamento de entrada sem AS

Leonardo Rodrigues leolistas at solutti.com.br
Sat Jan 29 19:36:33 -02 2011 


     em linux você poderia usar roteamento avançado (iproute) pra fazer 
regras baseadas em MARK e regras de CONNMARK no iptables (na tabela 
mangle) pra conseguir fazer esse layout funcionar.

     Como você parece ter 2 IPs distintos pro seu servidor web, um pra 
cada ISP, você pode usar esse IP de destino como critério pro CONNMARK 
fazer a marcação. Se porventura tivesse um único IP, talvez seria 
necessário separar os ISPs em 2 interfaces de rede diferente para poder 
usar a interface de entrada como critério, já que o IP não seria opção.

     Em Cisco funcionaria sim, basta configurar roteamento por origem 
adequadamente (idéia parecida com o que você precisará fazer com iproute 
no linux)


     Pergunta crucial que pode definir a forma exata de fazer: os IPs 
que vão no seu servidor Web são IPs públicos ofertados pelos ISPs, ou é 
IP inválido e seu pfsense faz redirecionamento de porta ??


Em 28/01/11 10:54, spiderslack escreveu:
> Ola pessoal.
>
> Tive a experiência de confrontar uma situação nunca passada. Vou 
> tentar explicar a infraestrutura conforme abaixo:
>
> ISP 1 --------------|  roteador |_________|  Servidor |
> ISP 2 --------------|  pfsense  |             |     web    |
>
> Tenho o rota padrão configurada para o ISP2, porém temos o servidor 
> web publicado nos 2 endereços tanto do ISP 1 como ISP 2. Com isso 
> quando um fluxo entra pelo ISP 1 volta pelo ISP 1 se o fluxo entra 
> pelo ISP2 volta pelo ISP2 e caso uma conexão se origine no servidor 
> web saia pela rota default. Isso e conseguido no FreeBSD com o comando 
> binat, abaixo tem uma descrição de como funciona da documentação oficial.
>
> http://www.openbsd.org/faq/pf/nat.html#binat
>
> A minha pergunta é existe algum outro SO/equipamento que faça isso? Eu 
> testei com um cisco não funciona mesmo eu fazendo nat um para um, a 
> volta sempre sai pela rota default. Linux também mesmo marcando 
> pacotes com iproute. Consigo marcar a entrada mas quando a conexão 
> volta como vou saber por qual conexão ela entrou, talvez via tabela de 
> estados, mas pelo menos por meu conhecimento não ser possivel. Então 
> existe alguma configuração que consiga esse comportamento do comando 
> binat ?
>


-- 


	Atenciosamente / Sincerily,
	Leonardo Rodrigues
	Solutti Tecnologia
	http://www.solutti.com.br

	Minha armadilha de SPAM, NÃO mandem email
	gertrudes at solutti.com.br
	My SPAMTRAP, do not email it

More information about the gter mailing list