[FUGSPBR] Load Balance com Natd
TEC Meganet
tec em mega.net.br
Qua Nov 19 14:07:22 BRST 2003
acho que o check-state não tem efeito sobre o natd
fiz de curioso aqui e nada aconteceu mas par ir mais fundo o check-state deve
estar ANTES e
depois deve ter as regras com keep-state
o próximo pacote então será captado pelo check-state quando entra e assim nem
chega mais no natdd ...
o ipfw fwd não altera pacotes, chega do mesmo jeito no destino, acredito que hoje
nenhum servidor web sabe descartar e na verdade nem diferenciar entre acesso
direto e fwd
se não me engano pode tentar assim
ipfw add check-state
ipfw add fwd "ips_servidores", 80 tcp from any to "ip_do_GW" 80 setup keep-state
ipfw add fwd "ips_servidores", 80 tcp from any to "ip_do_GW" 80 keep-state
ipfw add deny tcp from any to any established
ipfw add deny tcp from any to any 80
Mário Augusto Cardia (mario em cardia.com.br) wrote*:
>
>O Problema é fazer o balanceamento. Talvez com o prob dê, mas outra coisa
>a se considerar é que o nem todo sistema aceita um pacode fwd.
>
>Agora sobre fazer o check-state para o natd, como seria isso?
>colocar o keep-state na regra do natd?
>
>[]'s
>
>On Wed, 19 Nov 2003 12:37:31 +0000
>"TEC Meganet" <tec em mega.net.br> wrote:
>
>> O natd não usa regras dinamica, acho que ele mantém uma tabela interna, mas não
>> sou muito chegado em natd, acredito que o problema é que ele faz um divert em
>> todos os pacotes e portas e assim tem uma boa salada na memória, também quando
>> essa memória está cheia ele joga os antigos fora, me parece que funciona fi-fo
>>
>> o check-state é rigoroso, porque ele atua somente no protocolo e porta que vc
>> configura, o primeiro pacote cria a regra dinâmica e assim que aparece um
pacote
>> com esta identificação o check-state processa ele entre estes dois IPs como
fosse
>> uma conexão direta, ou seja tem praticamente nenhuma falha
>>
>> talvez com ipfw não consegue um equilibrio muito exato, mas isso também com
natd
>> não acontece, mas com ipfw pode em qq momento tirar um servidor ou colocar um
novo
>> ou até distribuir a carga entre eles manualmente
>>
>> e o mais importante acho que o check-state realmente mantém e lembra da conexão
>> entre os dois IPs que iniciaram a conexão
>>
>> eu nunca experimentei check-state com natd mas se usar deve colocar ele antes
do
>> natd e daí já não sei se o natd vai funcionar, mas se o check-state aparece
depois
>> ele não pega as conversões do divert, bom, experimente para ver, mas me parece
que
>> não vai porque o natd não cria regras identificaveis pelo ipfw
>>
>>
>>
>>
>>
>>
>>
>>
>>
>>
>> Vini (vini em veloxmail.com.br) wrote*:
>> >
>> >Olá,
>> >
>> >Eu não entendi bem o que vc quiz dizer.
>> >
>> >Como assim não use o NATD?
>> >
>> >Se vc não usa ele não vai conseguir fazer o balanceamento.
>> >
>> >A ideia acho que seria justamente usar o NATD e usar as regras de state
>> >pra fazer a conexão que já foi feita ir pro lugar certo, no caso o
>> >servidor no qual ela já está estabelecida, acho que pra isso basta
>> >colocar um check-state logo depois da regra que faz o DIVERT pro NATD.
>> >
>> >Eu não sei se tem como fezer algo semelhante só com regras de forward.
>> >
>> >Como vc faz ai?
>> >
>> >Até mais
>> >Vini
>> >
>> >
>> >TEC Meganet escreveu:
>> >> vc precisa fazer isso com ipfw fwd rules e depois não esquecer o check-state
e
>> >> depois keep-state para que o servidor de entrada lembrar e manter o IP
destino
>> >> igual para cada conexão remota. Não use o NATD
>> >> precisa compilar o kernel com IPDIVERT mas já deveria estar se usa natd
>> >> dependendo da carga precisa auemntar ou alterar alguns parametros do kernel
ref
>> as
>> >> regras dinâmicas tb
>> >>
>> >>
>> >> Mário Augusto Cardia (mario em cardia.com.br) wrote*:
>> >>
>> >>>
>> >>>Basicamente meu natd.conf está assim:
>> >>>
>> >>>----
>> >>>n xl0
>> >>>m yes
>> >>>redirect_address 192.168.0.1,192.168.0.2 200.X.X.X
>> >>>----
>> >>>
>> >>>Existem varios redirect_address sem balanceamento...
>> >>>
>> >>>Grato.
>> >>>
>> >>>
>> >>>On Tue, 18 Nov 2003 15:20:13 -0200 (EDT)
>> >>>Helio Luchtenberg Junior <hlj em viamidia.com> wrote:
>> >>>
>> >>>
>> >>>>-----BEGIN PGP SIGNED MESSAGE-----
>> >>>>Hash: SHA1
>> >>>>
>> >>>>Ola,
>> >>>>
>> >>>>ja usei um setup semelhante ao seu (com o pound), mas atualmente estou
>> >>>>utilizando o natd.
>> >>>>
>> >>>>Como exatamente voce inicia o seu natd ? quais as opcoes que voce utiliza ?
>> >>>>
>> >>>>Helio.
>> >>>>
>> >>>>On 18-Nov-2003 M_rio Augusto Cardia wrote:
>> >>>>
>> >>>>>ol_,
>> >>>>>
>> >>>>>Fiz um load balance como natd. funciona super bem exceto
>> >>>>>pelo fato de n_o manter o mesmo servidor para o mesmo cliente.
>> >>>>>
>> >>>>>Explico melhor:
>> >>>>>
>> >>>>>Tenho dois servidores (IIS) com v_rios sites funcionando como um cluster.
>> >>>>>Hoje uso um programa (pound) para fazer o balanceamento, mas eu
>> >>>>>queria fazer um teste para saber se com o natd o desempenho ficaria
melhor.
>> >>>>>E ficou. Mas o problema _ que o load balance com o natd perde a session
dos
>> >>>>>sites
>> >>>>>pois a mesma conexao hora vai pra um servidor, hora pra outro.
>> >>>>>
>> >>>>>Tem como fazer o natd tratar a conex_o para manter o mesmo servidor para o
>> >>>>>mesmo cliente?
>> >>>>>
>> >>>>>[]'s
>> >>>>>
>> >>>>>--
>> >>>>>Mario Augusto Cardia
>> >>>>>
>> >>>>>_______________________________________________________________
>> >>>>>Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
>> >>>>>Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
>> >>>>
>> >>>>
>> >>>>Helio Luchtenberg Junior
>> >>>>
>> >>>>- ----------------------------------
>> >>>>E-Mail: Helio Luchtenberg Junior <hlj em viamidia.com>
>> >>>>Date: 18-Nov-2003
>> >>>>Time: 15:15:06
>> >>>>"Essa mensagem _ destinada exclusivamente ao seu destinat_rio e pode
>> >>>>conter informa__es confidenciais, protegidas por sigilo profissional ou
>> >>>>cuja divulga__o seja proibida por lei. O uso n_o autorizado de tais
>> >>>>informa__es _ proibido e est_ sujeito _s penalidades cab_veis.
>> >>>>
>> >>>>This message is intended exclusively for its addressee and may contain
>> >>>>information that is confidential, protected by a professional
>> >>>>privilege or which disclosure is prohibited by law. Unauthorized use of
>> >>>>such information is prohibited and subject to applicable penalties."
>> >>>>- ----------------------------------
>> >>>>
>> >>>>
>> >>>>-----BEGIN PGP SIGNATURE-----
>> >>>>Version: PGPfreeware 5.0i for non-commercial use
>> >>>>Charset: noconv
>> >>>>
>> >>>>iQA/AwUBP7pUzOsZMj73tJziEQKPjwCgp/omBwwH7Z5yOwTugJRPCIsvR9MAoNLm
>> >>>>HLRQf5PWUZGN6Rjx7+da6LRG
>> >>>>=9u5L
>> >>>>-----END PGP SIGNATURE-----
>> >>>
>> >>>
>> >>>
>> >>>_______________________________________________________________
>> >>>Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
>> >>>Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
>> >>>
>> >>
>> >>
>> >> _______________________________________________________________
>> >> Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
>> >> Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
>> >>
>> >>
>> >
>> >
>> >_______________________________________________________________
>> >Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
>> >Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
>> >
>>
>> _______________________________________________________________
>> Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
>> Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
>
>
>
>_______________________________________________________________
>Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
>Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
>
_______________________________________________________________
Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
Mais detalhes sobre a lista de discussão freebsd