El Jueves, 3 de Mayo de 2007 04:05, Juan Manuel R. escribió:
Saludos
Tengo recien instalado un sles 10 en un servidor dell con tres tarjetas de red broadcom netxtreme. ademas tendo dos canales de internet uno con adsl y otro con xdsl( inalambrico)
se me pide implementar un proxy squid + firewall y balanceo de enlaces .
* El proxy http es una complicacion seria a mayores yo te recomendaria que de momento te centres en el balanceo saliente por routing.
me surgen dos inquietudes :
1.- En el tutorial de francisco javier crespo nos dice que por lo menos debemos activar IP avanced router -> IP: equal cost multipath En sles 10 no hay una variable en sysconfig o en /proc/sys/net que podamos encender ( colocar en 1 o yes etc ) y no haya necesidad de compilar kernel o sles 10 ya trae activa esta opcion. habra algun tutorial suse para balanceo de enlaces ?
* Esa es una opcion de compilacion del kernel. * Ni en 10.1 y 10.2 es preciso activar nada asi que dudo que lo necesites en SLES 10 que no la tengo, en la 9 si que habia que parchear para la cache de rutas con los parches de anastasov.
2.- Como puedo implementar una regla de SNAT con suse firewall2. Es posible que con el susefirewall2 se pueda ejecutar scripts externos y retorne el control nuevamente al susefirewall2.
* No veo la necesidad si es para insertar rules de routing ten en cuenta el fichero /etc/sysconfig/network/config los parametros GLOBAL_POST_UP_EXEC="yes o no" GLOBAL_PRE_DOWN_EXEC="yes o no" a colocar en /etc/sysconfig/network/if-down.d y if-up.d * En cualquier caso salvo que SuSEfirewall2, en esa version, tenga caracteristicas para manejar varias wan te dara mas problemas que Beneficios y no es lo apropiado para SNAT, esta basado como casi todos los front-ends en DNAT.
Como podria insertar, en el susefirewall2 una linea como : ip route add default equalize scope global nexthop via $P2 dev $IF2 weight 1 nexthop via $P1 dev $IF1 weight 2
* Yo lo meteria mejor en /etc/sysconfig/routes * Echale un ojo a la documentacion de iproute2 en particular al fichero /etc/iproute2/rt_tables y rt_scopes * Yo seguiria el orden siguiente dar un nombre unico a cada interfaz, wan0 wan1, lan0 lan1, lan2, crear a mano las tablas, rules, y rutas para todas las redes, interfaces y localhost para las diferentes vias, activar el balanceo con la linea que propones, que esta configurada para usar desde un script de cortafuegos con variables definidas en el y que deberas ajustar a las interfaces (yo no mezclaria en suse el levantamiento de interfaces y rutas desde el script de cortafuegos), hacer traceroutes por las dos vias para ver que las rutas funcionan, lanzar peticiones y ver que el balanceo funciona y que la cache de rutas se refresca en tiempo razonable, si ok darle un ip route show y copy&paste a /etc/sysconfig/routes, un reinicio para ver que la jugada se mantiene y entonces aplicar el script de cortafuegos, que seria una llamada desde el punto de inicio que mas te convenga y empezar con el asunto del proxy.
quiero saber que tan flexible es el susefirewall2 , pues normalmente uso scripts de iptables o fwbuilder.
* Pues bastante menos flexible que un script logicamente, para este caso yo no lo usaria, que yo recuerde el unico front-end de iptables instalable que contempla el balanceo de carga (por ip/rutas) para varias wan es shorewall. * De todas maneras embocar el servidor a internet para que haga de gateway no lo veo practico ya que precisas SuSE, si me apuras que sea el proxy, yo instalaria una maquina con PfSense o ClarkConnect (version pagoware) para estos menesteres, Collax tambien parece una opcion potable. * Al final iras al balanceo por marcado, origen, destino, pesos, QoS, etc...., el balanceo por rutas es bastante menos eficiente.