Obrigado Trober, Irei testar em um ambiente virtual.
2009/4/12 Trober <tro...@trober.com>: > > Olá Fabricio! > > Acredito que a mensagem > http://www.fug.com.br/historico/html/freebsd/2009-02/msg00451.html possa > contribuir para sua necessidade. A lógica é muito próxima com a proposta > do Wanderson, porém com IPFW. > > Nesta mensagem descrevo um cenário onde está funcionando o que você deseja > implementar. O cliente tem dois links de internet, sendo uma fibra (Copel) > e outro um ADSL (BrT/Oi). > > Com base nos critérios adotados pelo cliente, ele determina o que é > produtivo, improdutivo ou neutro. > > Os destinos produtivos, como bancos, terminais remotos, correio > eletrônico, mensageiros instantâneos corporativos, sites militares e > governamentais saem pelo link dedicado. > > Os improdutivos (sites de comunidades, "pr0n", *tube, streaming toscos, > mensageiros/webmail gratuitos, *share, blablabla) são bloqueados. > > O restante que não se enquadra em produtivo, nem improdutivo, é "neutro", > e sai pelo ADSL. > > Torço para que a solução seja aplicável ao seu caso. > > Saudações, > > Trober > - > - > - > - > - > > >> Um cliente lá da nossa empresa tem um firewall com pf. Ele pediu que >> balancessemos o link dele, que tudo que viesse pelo proxy jogassemo >> para o velox. Para não afogar o link principal dele. Porém não >> consegui fazer com que o squid saísse pelo velox, mesmo eu botando o >> route-to na saída ele obedecia somente a rota default na tabela de >> roteamento, me parece que o pf só consegue balancear com trafego de >> entrada. Nossa solução foi montar um servidor squid na rede interna, e >> usamos o route-to no pass in para rotear a saída. >> Se alguem tiver solução para isso também, eu agradecia. >> >> Obs: Uma coisa que eu pensei, foi marcar o os pacotes. Porém não tive >> tempo para implementar. Será que funcionaria? >> >> >> Att. >> >> 2009/4/11 Wanderson Tinti <wander...@bsd.com.br>: >>> 2009/4/6 Anderson J. de Souza <anjoe...@gmail.com>: >>>> Ola a todos. >>>> >>>> Estou com um um probleminha meio simples mas chato pra mim >>>> resolver,... >>>> Um firewall com 4 placas de rede, dmz, intranet1 intranet2 e >>>> internet,.. >>>> Alem das minhas redes tenho uma jail com um proxy squid com ip >>>> atribuido na dmz ,.. >>>> Agora vem o problema,... para a internet tenho 2 links ligados na >>>> placa, e como o conteudo da intranet 1 e da intranet 2 passam pelo >>>> mesmo proxy ( jail ),. eles saem com o mesmo ip,.. contudo preciso >>>> identificar e separar o trafego destas duas redes. >>>> Inicialmente estou atribuindo tos pelo proxy para as requisições da >>>> intranet 1, contudo não consigo identificar isto para fazer o nat >>>> correto. >>>> >>>> Estas sao minhas regras de saida: >>>> pass out quick on net0 route-to (net0 <gw0>) proto tcp from <net0> to >>>> any modulate state label "OUT $srcaddr ($proto)" >>>> pass out quick on net0 route-to (net0 <gw1>) proto tcp from <net1> to >>>> any modulate state label "OUT $srcaddr ($proto)" >>>> >>>> Estas minhas regras de Nat >>>> nat on net0 from <int0> to any -> <eip0> >>>> nat on net0 from <int1> to any -> <eip1> >>>> ### ESTA E A REGRA QUE EU GOSTARIA DE USAR ### >>>> ### nat on net0 from <dmz0> to any port 80 tos 0x4 -> <eip1> ### >>>> nat on net0 from <dmz0> to any port 80 -> net0 sticky-address >>>> nat on net0 from <dmz0> to any -> <eip0> >>>> >>>> Se o proxy tiver 2 ips tenho como selecionar pelo ip ,.. mas ai como >>>> eu faço pra colocar um alias na minha jail ? >>>> >>>> >>>> -- >>>> ___________________ >>>> Anderson J. de Souza >>>> - Networking and Security - >>> >>> Boa noite. >>> Se entendi bem, você tem 2 links internet e quer que cada intranet sai >>> por um link, certo? Pensei no seguinte cenario, com 2 placa de rede >>> internet: >>> >>> ext_if1="192.168.1.2" # xl0 >>> ext_if2="192.168.2.2" # xl1 >>> ext_gw1="192.168.1.1" >>> ext_gw2="192.168.2.1" >>> if_intranet1=" rede1 " >>> if_intranet2=" rede2 " >>> >>> pf.conf >>> >>> nat on $ext_if1 from $intranet1 to any -> $ext_if1 >>> nat on $ext_if2 from $intranet2 to any -> $ext_if2 >>> >>> pass in quick on $if_intranet1 route-to ($ext_if1 $ext_gw1) proto tcp >>> from >>> $intranet1 to any flags S/SA keep state >>> >>> pass in quick on $if_intranet2 route-to ($ext_if2 $ext_gw2) proto tcp >>> from >>> $intranet2 to any flags S/SA keep state >>> >>> pass out on $ext_if1 route-to ($ext_if1 $ext_gw1) from $ext_if1 to any >>> keep state >>> pass out on $ext_if2 route-to ($ext_if2 $ext_gw2) from $ext_if2 to any >>> keep state >>> >>> >>> squid.conf >>> >>> acl link1 src "intranet1" >>> acl link2 src "intranet2" >>> >>> tcp_outgoing_address 192.168.1.2 link1 >>> tcp_outgoing_address 192.168.2.2 link2 >>> >>> >>> É uma dica, infelismente não posso afirmar que vá funcionar, somente >>> testando mesmo. >>> >>> Boa noite a todos. >>> >> > > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd