[FUG-BR] balanceamento ipfw

Welkson Renny de Medeiros welkson em focusautomacao.com.br
Quarta Abril 15 18:33:36 BRT 2009 

Entendi Wanderson!

No caso para usar setfib eu teria que voltar a usar NATD certo? hoje uso NAT do PF... 

Via PF existe algo parecido? hoje uso ROUTE-TO para alguns hosts passar pelo segundo link (voip, etc).

Obrigado.

-- 
Welkson Renny de Medeiros
Focus Automação Comercial
Desenvolvimento / Gerência de Redes
welkson em focusautomacao.com.br




Wed, 15 Apr 2009 17:03:09 -0300, Wanderson Tinti <wanderson em bsd.com.br> escreveu:

> 2009/4/15 Welkson Renny de Medeiros <welkson em focusautomacao.com.br>:
> > Wanderson Tinti escreveu:
> >> 2009/4/15 Welkson Renny de Medeiros <welkson em focusautomacao.com.br>:
> >>
> >>> Welkson Renny de Medeiros escreveu:
> >>>
> >>>> Marcello escreveu:
> >>>>
> >>>>
> >>>>> http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/carp.html
> >>>>>
> >>>>> []'s
> >>>>>
> >>>>> Em Ter, 2009-04-14 às 17:26 -0300, Alex de A. Souza escreveu:
> >>>>>
> >>>>>
> >>>>>
> >>>>>> Existe alguma forma de fazer balanceamento com ipfw?
> >>>>>> Eu tenho dois links, um da embratel e outro da telemar.
> >>>>>> Estou com o seguinte problema, quando um cai eu tenho que entrar no firewall
> >>>>>> e mudar o IP e a rota manualmete para o outro link.
> >>>>>> Eu utilizo o freebsd 7.1 com IPFW, NATD e SQUID.
> >>>>>> Gostaria de balancear dois links fixo reais.
> >>>>>>
> >>>>>> -------------------------
> >>>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >>>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>>>>>
> >>>>>>
> >>>>>>
> >>>>> -------------------------
> >>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>>>>
> >>>>>
> >>>>>
> >>>>>
> >>>>>
> >>>> Marcello,
> >>>>
> >>>> Poderia dar mais detalhes sobre essa implementação de balanceamento com
> >>>> CARP? sempre vejo o pessoal usando CARP para failover de firewall.
> >>>>
> >>>>
> >>>>
> >>> Alguém pode comentar sobre essa minha pergunta? CARP para balanceamento
> >>> (dois links)?
> >>>
> >>> --
> >>>
> >>
> >> Welkson, Bom dia.
> >> O objetivo do carp é criar redundância entre dois servidores ou mais,
> >> fazendo com que cada um deles seja respónsavel por um único endereço
> >> na rede. O que os colegas quiseram dizer é, usando o pfsense com todas
> >> essas ferramentas que ele oferece, dar para montar um cluster de
> >> firewall usando o carp e sincronizar as regras de firewall e o estado
> >> da conexão usando o pfsync.
> >>
> >> Dessa forma se uma maquina do cluster cair você não perde nada, pois a
> >> segunda maquina automaticamente ira assumir a posição de mestre(acho
> >> que é isso) e dar continuidade ao trabalho, até uma transferência de
> >> dados que estiver ocorrendo não sofre perda, porque a tabela de estado
> >> da conexão é sincronizada entre os servidores do cluster.
> >>
> >> Acredito que seja essa sua duvida.
> >>
> >> De uma lida nesse link:
> >> http://www.fug.com.br/index2.php?option=com_content&do_pdf=1&id=124
> >> http://under-linux.org/wiki/index.php/Tutoriais/OpenBSD/firewall-carp-pfsync
> >> -------------------------
> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>
> >>
> >>
> > Entendi... como eu imaginei.
> >
> > Agora uma solução mais simples, com um único pc seria usando o setfib
> > que você sugeriu não é isso?
> >
> > Agora a pergunta que não quer calar... usando setfib, quando uma das
> > intefaces cair (um dos links de internet), ele vai continuar TENTANDO
> > mandar para esse link certo? ou ele detecta a queda e automaticamente
> > manda somente para o outro?
> >
> > Desculpa a quantidade de perguntas, mas é algo que sempre vejo o pessoal
> > comentar, e nunca vejo uma solução.
> >
> > Abraço,
> >
> Boa tarde.
> Sim, você pode ter dois links ou mais e usar a tabela fib pra
> distribuir as requisições para cada link. Quando um dos link estiver
> fora, algumas requisições terão problemas(desconheço alguma opção
> própria para contorna isso). Um solução que pensei, resume em um
> script pra verificar se os links estão ativo ou não, se link1 estiver
> ativo e link2 não, toda requisição sairia pelo link1 e vice versa, até
> volta ao modo estável, algo tipo:
> 
> add 1000 set 1 prob 0.5 skipto 3000 all from any to any out //metade
> pra fib0, resto fib1
> add 2000 set 2 setfib 0 all from any to any out
> add 2100 set 2 allow all from any to any out keep-state
> add 3000 set 3 setfib 1 all from any to any out
> add 3100 set 3 allow ip from any to any out keep-state
> 
> script
> Os dois links estão ok, então:
> ipfw set enable 1 2 3
> link 1 (setfib 0) tá fora, então:
> ipfw set disable 1 2
> ipfw set enable 3
> link 2 (setfib 1) tá fora, então:
> ipfw set disable 1 3
> ipfw set enable 2
> 
> Seria mais ou mesmo isso, metade pra cada link. Seria bom se alguém
> que já usa oferecer alguma informação.
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> 
> 
> 
>

Mais detalhes sobre a lista de discussão freebsd