[GTER] Balanceamento de entrada sem AS

Leonardo Rodrigues leolistas at solutti.com.br
Mon Jan 31 09:31:02 -02 2011 

     MARK não, você precisa usar o CONNMARK .... são totalmente 
diferentes, apesar do nome parecido.

     não sei exatamente como ficariam as regras, nunca configurei nada 
exatamente igual como você precisa, apesar de já ter feito parecidos e 
ter certeza que funciona.

     mas o módulo correto a ser utilizado é o CONNMARK. Com MARK você 
não conseguirá fazer isso funcionar não.

     a diferença básica entre o MARK e o CONNMARK é que a marcação feita 
pelo MARK perde-se quando o pacote sai da máquina. O CONNMARK consegue 
manter essa marcação e te permite restaurar, permitindo assim utilizá-lo 
para pacotes que 'vem e vão' pela rede. o MARK você geralmente só usa 
pra roteamento interno, decisões de roteamento, marcação de QoS, essas 
coisas, mas NADA que precise 'sair' da máquina


Em 31/01/11 02:17, spiderslack escreveu:
> Hum.
>
> Como ficaria a regra? Porque como irei identificar por onde a conexão 
> entrou?
>
> por exemplo uma maquina qualquer na internet com endereço 
> 100.100.100.1 tenta acessar meu servidor web atras de um linux com ip 
> 90.90.90.1 e neste existe o redirecionamento de porta 80 para o 
> servidor web interno com ip 192.168.0.10. Tudo bem até ai tenho 2 
> interfaces uma como disse com o ip 90.90.90.1 outra com 80.80.80.1 a 
> rota default sempre sera pela interface com o ip 80.80.80.1 porem tudo 
> que entra pelo 90.90.90.1 sai por 90.90.90.1 e tudo que entra por 
> 80.80.80.1 sai por ele. Nesse caso via iproute como criaria uma regra 
> para tratar isso, o problema e a volta. Por exemplo a entrada ocorre 
> pelo 90.90.90.1 e na volta mesmo eu marcando pacotes com a seguinte regra
>
> iptables -t mangle -I PREROUTING -m state --state ESTABLISHED,INVALID 
> -i interface_LAN -s 192.168.0.10 -p tcp --sport 80 -j MARK --set-mark 1
>
> Tabela 1 - 90.90.90.1
> Tabela 2 - 80.80.80.1
>
> Tudo bem para as conexoes que entra por 90.90.90.1, mas as conexões 
> que vem por 80.80.80.1 ? mesmo a conexao entrando por 80.80.80.1 vai 
> sair por 90.90.90.1 e nao vai funcionar. O que eu poderia fazer 
> sobrecarregar IP na interface e fazer um SNAT na saida para LAN. Mas o 
> binat do ipf não precisa disso faz automatico. E oque eu queria se no 
> linux tivesse uma feature igual ao binat.

-- 


	Atenciosamente / Sincerily,
	Leonardo Rodrigues
	Solutti Tecnologia
	http://www.solutti.com.br

	Minha armadilha de SPAM, NÃO mandem email
	gertrudes at solutti.com.br
	My SPAMTRAP, do not email it

More information about the gter mailing list