[GTER] Configuração de strong x weak host model para servidores

Carlos Ribeiro cribeiro at telbrax.com.br
Sun Oct 5 15:19:42 -03 2014


Uma observação curiosa: ao estudar essa questão do "weak host model" no
Linux, acabei entendendo melhor algumas coisas que eu nunca tinha entendido
na arquitetura do iptables. As consequências dessa escolha de arquitetura
são bem pervasivas na implementação da pilha TCP/IP.

*Carlos Ribeiro*
*Sócio*
Cel: +55 (31) 9303-3366
Tel: +55 (31) 3305-5620
Geral: +55 (31) 3305-5600
cribeiro at telbrax.com.br
www.telbrax.com.br

Em 5 de outubro de 2014 15:18, Carlos Ribeiro <cribeiro at telbrax.com.br>
escreveu:

> Rubens,
>
> É mais ou menos isso mesmo. A receita de bolo é mais ou menos essa:
>
> 1) Configuração básica
>
> eth0: 172.19.0.200
> eth1: 172.27.0.200
> Rota default: 172.19.0.1 (via eth0)
>
> 2) Política de roteamento
>
> A rede 172.19.0.0/24 atende o tráfego recebido em BH
> A rede 172.27.0.0/24 atende o tráfego recebido em SP
>
> (Desse jeito, um único servidor - esteja em BH ou em SP - pode responder
> requests recebidos por qualquer um dos dois lados da rede e irá devolver
> para o firewall correto).
>
> 3) Criar uma nova tabela de roteamento
>
> echo 200 upstreamsp >> /etc/iproute2/rt_tables
>
> 3) Criar regras de "source routing" associadas ao tráfego originado do IP
> 172.27.0.200
>
> ip rule add from 172.27.0.200 lookup upstreamsp
> ip route add default via 172.27.0.1 dev eth1 table upstreamsp
>
> 4) Salvar a configuração de forma persistente
>
> post-up ip rule from 172.27.0.200 lookup upstreamsp
> post-up ip route add default via 172.27.0.1 dev eth1 table upstreamsp
>
> *Carlos Ribeiro*
> *Sócio*
> Cel: +55 (31) 9303-3366
> Tel: +55 (31) 3305-5620
> Geral: +55 (31) 3305-5600
> cribeiro at telbrax.com.br
> www.telbrax.com.br
>
> Em 4 de outubro de 2014 20:15, Rubens Kuhl <rubensk at gmail.com> escreveu:
>
> 2014-10-04 19:22 GMT-03:00 Carlos Ribeiro <cribeiro at telbrax.com.br>:
>>
>> > Rubens,
>> >
>> > Tem outro jeito de fazer isso, criando duas tabelas de roteamento e
>> > associando rotas default diferentes para cada interface. Peguei um
>> exemplo
>> > hoje e vou testar durante a semana. Estou fora de casa, chegando mais
>> tarde
>> > eu posto aqui.
>> >
>>
>> Para quem só sabe usar martelo, todo problema é um prego... iptables é
>> parte da zona de conforto, mas mesmo com iptables precisa de duas tabelas
>> de roteamento. O que você deve estar citando é fazer source-routing direto
>> no "ip rule", que de fato funciona também, e já usei uma vez.
>>
>>
>> Rubens
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
>
>



More information about the gter mailing list