Muchas gracias jose maria
Te entiedo lo de no mezclar las rutas con el corta
fuegos . pero como haria , despues de crear la rutas y
hacer el balanceo de enlaces , para enviar el trafico
que no me maneja el squid . como por ejemplo los
puertos 25, 110,chats(8080) etc. normalmente lo que yo
hago es un redirect o DNAT al puerto del squid de todo
el trafico que viene al puerto 80 y una regla snat
para trafico diferente al 80, algo asi :
echo 1 > /proc/sys/net/ipv4/ip_forward
# $LAN_IN entrada de mi lan.
iptables -t nat -A PREROUTING -i $LAN_IN -p tcp
--dport 80 -j DNAT --to $SQUID_SERVER:$SQUID_PORT
# despues a los puertos diferentes le aplico el snat
iptables -t nat -A POSTROUTING -o $INTERNET -j SNAT
w.x.y.z
# donde w.x.y.z es la ip que me da mi proovedor, en
# este caso una privada fija
# activo el forward para la entrada
iptables -A FORWARD -i $LAN_IN -j ACCEPT
ahi esta la duda , pues al hacer balanceo de enlaces
como hago para natear los de el otro proveedor. puedo
hacer esto :
iptables -t nat -A POSTROUTING -o $INTERNET -j SNAT
w.x.y.z - a.b.c.d donde a.b.c.d es la ip privada fija
de mi 2do proveedor. o el - solo se usa para rangos ?.
Lo debo hacer con masquerade ? . No lo necesito
me acaba de surgir otra duda , para el squid
normalmente yo configuro los dns colocando en la linea
forwarders, del archivo named.conf, los que me da mi
proveedor. pero en este caso tengo 2 proovedores
entonces colocaria las 4 ips de los dns de mi
proveedor1 y 2 intercaladas ?
De primera vista lo que veo es que podria dejar la
salidas fijas . es decir los puertos 25,110 etc enlace
1 y el puerto 80 enlace 2 , y me pregunto para que me
servirian entonces mis reglas de balanceo de rutas ?
nuevamente muchas gracias y me disculpas este enredo
atte ,
juan manuel r
--- jose maria
El Jueves, 3 de Mayo de 2007 04:05, Juan Manuel R. escribió:
Saludos
Tengo recien instalado un sles 10 en un servidor dell con tres tarjetas de red broadcom netxtreme. ademas tendo dos canales de internet uno con adsl y otro con xdsl( inalambrico)
se me pide implementar un proxy squid + firewall y balanceo de enlaces .
* El proxy http es una complicacion seria a mayores yo te recomendaria que de momento te centres en el balanceo saliente por routing.
me surgen dos inquietudes :
1.- En el tutorial de francisco javier crespo nos dice que por lo menos debemos activar IP avanced router -> IP: equal cost multipath En sles 10 no hay una variable en sysconfig o en /proc/sys/net que podamos encender ( colocar en 1 o yes etc ) y no haya necesidad de compilar kernel o sles 10 ya trae activa esta opcion. habra algun tutorial suse para balanceo de enlaces ?
* Esa es una opcion de compilacion del kernel. * Ni en 10.1 y 10.2 es preciso activar nada asi que dudo que lo necesites en SLES 10 que no la tengo, en la 9 si que habia que parchear para la cache de rutas con los parches de anastasov.
2.- Como puedo implementar una regla de SNAT con suse firewall2. Es posible que con el susefirewall2 se pueda ejecutar scripts externos y retorne el control nuevamente al susefirewall2.
* No veo la necesidad si es para insertar rules de routing ten en cuenta el fichero /etc/sysconfig/network/config los parametros GLOBAL_POST_UP_EXEC="yes o no" GLOBAL_PRE_DOWN_EXEC="yes o no" a colocar en /etc/sysconfig/network/if-down.d y if-up.d
* En cualquier caso salvo que SuSEfirewall2, en esa version, tenga caracteristicas para manejar varias wan te dara mas problemas que Beneficios y no es lo apropiado para SNAT, esta basado como casi todos los front-ends en DNAT.
Como podria insertar, en el susefirewall2 una linea como : ip route add default equalize scope global nexthop via $P2 dev $IF2 weight 1 nexthop via $P1 dev $IF1 weight 2
* Yo lo meteria mejor en /etc/sysconfig/routes
* Echale un ojo a la documentacion de iproute2 en particular al fichero /etc/iproute2/rt_tables y rt_scopes
* Yo seguiria el orden siguiente dar un nombre unico a cada interfaz, wan0 wan1, lan0 lan1, lan2, crear a mano las tablas, rules, y rutas para todas las redes, interfaces y localhost para las diferentes vias, activar el balanceo con la linea que propones, que esta configurada para usar desde un script de cortafuegos con variables definidas en el y que deberas ajustar a las interfaces (yo no mezclaria en suse el levantamiento de interfaces y rutas desde el script de cortafuegos), hacer traceroutes por las dos vias para ver que las rutas funcionan, lanzar peticiones y ver que el balanceo funciona y que la cache de rutas se refresca en tiempo razonable, si ok darle un ip route show y copy&paste a /etc/sysconfig/routes, un reinicio para ver que la jugada se mantiene y entonces aplicar el script de cortafuegos, que seria una llamada desde el punto de inicio que mas te convenga y empezar con el asunto del proxy.
quiero saber que tan flexible es el susefirewall2 , pues normalmente uso scripts de iptables o fwbuilder.
* Pues bastante menos flexible que un script logicamente, para este caso yo no lo usaria, que yo recuerde el unico front-end de iptables instalable que contempla el balanceo de carga (por ip/rutas) para varias wan es shorewall.
* De todas maneras embocar el servidor a internet para que haga de gateway no lo veo practico ya que precisas SuSE, si me apuras que sea el proxy, yo instalaria una maquina con PfSense o ClarkConnect (version pagoware) para estos menesteres, Collax tambien parece una opcion potable.
* Al final iras al balanceo por marcado, origen, destino, pesos, QoS, etc...., el balanceo por rutas es bastante menos eficiente.
____________________________________________________________________________________ LLama Gratis a cualquier PC del Mundo. Llamadas a fijos y móviles desde 1 céntimo por minuto. http://es.voice.yahoo.com --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org