[FUG-BR] RES: balanceamento ipfw
Srs,
Desculpe a demora em responder,
Estava sem ler meus emails da lista a alguns dias.
Quando falei de CARP + FAILOVER no PFSENSE foi pra ilustrar as possibilidades e
facilidades dele.
Utilizo as duas, ou seja o CARP para fazer a redundância de firewall com ips
virtuais e o LOAD BALANCE configurado em algumas regras para FailOver(ex https)
e em outras para LoadBalance(ex: http).
No pfsense você configura ips de monitoria para verificar o status dos links.
Quando o ip não responde a icmp, todas a regras configuradas para usar o
gateway (FailOverBRT) automaticamente saem pelo outro link que esta no ar.
Quando a configuração for LoadBalance mesmo, todas as regras direcionadas para
o gateway (LoadBalanceBRT) automaticamente param de ser balanceadas entre os
dois links e passam a sair só pelo link que esta no ar.
Att,
Marcello Coutinho
-Mensagem original-
De: freebsd-boun...@fug.com.br [mailto:freebsd-boun...@fug.com.br] Em nome de
Alex de A. Souza
Enviada em: quinta-feira, 16 de abril de 2009 09:30
Para: freebsd@fug.com.br
Assunto: Re: [FUG-BR] balanceamento ipfw
Conseguir fazer o balanceamento com essas regras logo abaixo, mas o problema
é o cliente pinga pra fora quando simulo que o link principal parou, mas ele
não navega, alguém me ajuda ai, estou chegando bem perto da solução.
NATD
/sbin/natd -u -dynamic -interface rl0 -p 8668
/sbin/natd -u -dynamic -interface rl2 -p 8669
IPFW
${fwcmd} add 199 check-state
${fwcmd} add 200 divert 8668 ip from any to any in via rl0
${fwcmd} add 205 divert 8669 ip from any to any in via rl2
${fwcmd} add 210 prob 0.55 skipto 220 ip from 192.168.0.0/16 to any out
keep-state
${fwcmd} add 215 skipto 230 ip from 192.168.0.0/16 to any out keep-state
${fwcmd} add 220 divert 8668 ip from 192.168.0.0/16 to any in
${fwcmd} add 225 divert 8668 ip from 192.168.0.0/16 to any out
${fwcmd} add 230 divert 8669 ip from 192.168.0.0/16 to any out
${fwcmd} add 235 divert 8669 ip from 192.168.0.0/16 to any in
${fwcmd} add 240 fwd 187.169.0.254 ip from 187.169.231.1 to any
${fwcmd} add 250 fwd 200.99.88.81 ip from 200.99.88.86 to any
rl0 -> LINK PRINCIPAL = 187.169.234.1/16
rl1 -> CLIENTE = 192.168.0.1/16
rl2 -> LINK SECUNDARIO = 200.99.88.86
RC.CONF
GATW DEFAULT -> 187.169.0.254
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RES: balanceamento ipfw
Resumindo, você configura os IP's na interface CARP e define a prioridade de cada interface em cada firewall. E liga um firewall ao outro via crossover se quiser ter continuidade das sessões do PF(assim se um cair as conexões ativas não são resetadas). O carp irá assumir caso o outro host deixe de funcionar, transparente para a rede. Exemplo, em um firewall com fxp0(externa) fxp1(dmz) ao invés de subir os ip's na interface FXP0, você sobe na CARP0 e associa a CARP0 á FXP0. E cria a carp1 associada á fxp1. Na FXP0 e FXP1 voce pode colocar um IP para monitoramento ou acesso remoto que ficará ativa independente do carp, mas o IP do gateway que os clientes usarão será carp1. Daí você pega um servidor e coloca a carp0(interface física fxp0) ligada ao roteador com advskew 100 e o outro host com a carp0(fxp0) também ligada ao roteador com advskew 200. Repete o mesmo processo com a carp1(fxp1), liga ambas á rede dmz, mas aponta o gateway dos clientes para o IP da carp1. O host com 100 será ativo e o outro backup. Caso o host 200 não consiga comunicar com o host 100 em um determinado tempo, ele deixará de ser backup e assumirá. Quando o host 100 voltar a se comunicar, ele volta a ser backup. O sincronismo você faz pela interface pfsync0, uma interface especial que sincroniza as tabelas de estado do PF. Não sei se para o IPFW tem algo assim, acho que não. >> > Marcello, > > Poderia dar mais detalhes sobre essa implementação de balanceamento com > CARP? sempre vejo o pessoal usando CARP para failover de firewall. > > Alguém pode comentar sobre essa minha pergunta? CARP para balanceamento (dois links)? -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes welk...@focusautomacao.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RES: balanceamento ipfw
Veja a possibilidade de testar o PFSense, Ele já tem load balance, carp, fail over, tudo pronto e fácil de instalar,configurar,fazer backup,restaurar,gráficos. Em algumas situações deixar o firewall em um "appliance" te da muito mais tempo para outros projetos. Att, Marcello Coutinho -Mensagem original- De: freebsd-boun...@fug.com.br [mailto:freebsd-boun...@fug.com.br] Em nome de Alex de A. Souza Enviada em: terça-feira, 14 de abril de 2009 17:26 Para: freebsd@fug.com.br Assunto: [FUG-BR] balanceamento ipfw Existe alguma forma de fazer balanceamento com ipfw? Eu tenho dois links, um da embratel e outro da telemar. Estou com o seguinte problema, quando um cai eu tenho que entrar no firewall e mudar o IP e a rota manualmete para o outro link. Eu utilizo o freebsd 7.1 com IPFW, NATD e SQUID. Gostaria de balancear dois links fixo reais. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
