Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • Balanceamento de Carga

    Enviado por

    dedegof
    94 visualizações4 páginas

    Título original

    balanceamento de carga

    Direitos autorais

    © Attribution Non-Commercial (BY-NC)

    Formatos disponíveis

    PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento

    Direitos autorais:

    Attribution Non-Commercial (BY-NC)
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    94 visualizações4 páginas

    Balanceamento de Carga

    Enviado por

    dedegof

    Direitos autorais:

    Attribution Non-Commercial (BY-NC)
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 4

    Firewall Linux - Roteamento avançado usando iproute2 e iptables (load balance) [A...

    Página 1 de 4

    Firewall Linux - Roteamento avançado usando iproute2 e iptables (load balance)

    Autor: Fabricio Ferreira - Guzzy <guzzy at bol.com.br>


    Data: 28/03/2007

    Introdução

    Olá amigos(as)...

    Certo tempo atrás escrevi um script usando iproute2 e iptables que desenvolvi na ocasião, já que
    havia a necessidade de utilizar 2 links de internet distintos. Desta vez reescrevi com muito mais
    detalhes mostrando exatamente como funciona cada passo.

    Lembrando que este script foi desenvolvido no Slackware, mas acredito que funcione em qualquer
    outra distribuição Linux com Kernel 2.4.x e superiores, com algumas poucas modificações.

    Quanto aos links, vamos chamá-los de LINK1 e LINK2...

    Imagine que você queira que determinado protocolo use o LINK1 e outro protocolo use o LINK2.

    Um exemplo fácil seria dizer que mensagens de e-mail SMTP e POP (portas 110 e 25) utilizam o
    LINK1, enquanto o tráfego de internet (portas 80, 21, 53, 443...) utiliza o LINK2. Isto permitiria
    que usuários fizessem downloads pesados sem comprometer o tráfego de mensagens, ou ainda,
    enviar e receber mensagens de e-mail grandes sem interferir na velocidade dos usuários que
    navegam na Internet.

    Um outro exemplo para quem tem Vlans em suas redes seria dizer que a REDE 192.160.0.X
    utiliza o Link1, enquanto a REDE 192.170.0.X utiliza o LINK2.

    Basicamente o processo funciona marcando pacotes que entram e saem do FIREWALL onde o
    script será implementado com o comando IPTABLES usando Mark, um artifício que faz com que
    o firewall monte uma tabela dinâmica de todos os pacotes que passam por ele.

    Imagine que você tenha um firewall com 4 interfaces, assim vamos chamá-las de: ETH0, ETH1,
    ETH2 e ETH3, onde ETH0 está conectada à sua LAN interna, a ETH1 conectada em uma DMZ e
    as interfaces ETH3 e ETH4 conectadas a 2 links distintos.

    Se um pacote entrou pela interface ETH0 e saiu pela interface ETH3, é necessário que ele retorne
    para o mesmo lugar de onde veio. Eis o motivo de marcar os pacotes; caso contrário, eles se
    utilizarão do DEFAULT GATEWAY do Firewall, que pode não ser o mesmo que você deseja.

    Entendendo isto, podemos seguir adiante com nosso script.

    Implementando o firewall

    http://www.vivaolinux.com.br/artigos/impressora.php?codigo=6315 21/02/2011
    Firewall Linux - Roteamento avançado usando iproute2 e iptables (load balance) [A... Página 2 de 4

    Abaixo descrevo detalhadamente como fazer cada configuração no script para que você tenha
    sucesso na implementação.

    Entendam que os IPs aqui utilizados são fictícios, bem como seus default gateways. Você deverá
    trocá-los pelos IPs da sua rede conforme a necessidade.

    Eis um exemplo de um script pronto em um firewall com 3 interfaces apenas. A primeira - ETH0
    é a interface conectada à rede interna. A interface ETH1 é a interface ligada ao LINK1, e por
    último, a interface ETH2, ligada ao LINK2.

    Vejamos:

    # Nesta parte denominamos variáveis para as interfaces como segue.


    # Denominamos que o nome LAN seja referente à Interface ETH0 que no nosso
    # script é a da rede interna. Verifique no seu Firewall qual é a interface
    # correta.

    IF_LAN='eth0'

    # Aqui denominamos as variáveis dos LINKS 1 e 2, e os chamamos de LINK1 e LINK2


    # É claro que você poderá chamá-los do que quiser. Exemplo: ADSL1 e ADSL2,
    # mas não esqueça de alterar as variáveis no restante do script.

    IF_LINK1='eth1'
    IF_LINK2='eth2'

    # Aqui colocamos os Gateways dos Links de Internet.


    # Geralmente, os Default Gateways dos Links são os IP´S dos roteadores de
    # Internet.
    GW_LINK1='200.70.0.1'
    GW_LINK2='200.80.0.1'

    # Nesta parte, utilizamos o comando IPTABLES para mascarar os IPs, ou seja,


    # fazemos um NAT (Network Address Translation) para que os pacotes que venham da
    # Interface ETH0 com IPs da rede interna, ou mesmo pacotes gerados dentro do
    # próprio Firewall, possam sair para a Internet com endereços trocados, usando
    # os IPs das interfaces ligadas aos Links de Internet.
    # O MASQUERADE ao final do comando faz exatamente isto.
    # Caso contrário, utilizaria ACCEPT, mas aí os pacotes sairiam para a Internet
    # com IPs da rede interna e jamais retornariam ao Firewall.

    iptables -t nat -A POSTROUTING -o $IF_LINK1 -j MASQUERADE


    iptables -t nat -A POSTROUTING -o $IF_LINK2 -j MASQUERADE

    # Aqui começamos a marcar os pacotes diferenciando-os pela porta utilizada.


    # Observe que escolhemos os pacotes com destino às portas 80 (HTTP) 443 (HTTPS)
    # 25 (SMTP) 110 (POP)
    # Todo pacote que passar pelo Firewall com estas particularidades receberão
    # uma "marca", uma espécie de carimbo. Pacotes destinados à porta 80
    # recebem "carimbo" de número 2, pacotes com destino à porta 25
    # recebem "carimbo" número 3.
    # Desta forma, podemos diferenciá-los para que mais à frente no script tenhamos
    # controle do que saiu/entrou e por onde saiu/entrou.

    http://www.vivaolinux.com.br/artigos/impressora.php?codigo=6315 21/02/2011
    Firewall Linux - Roteamento avançado usando iproute2 e iptables (load balance) [A... Página 3 de 4

    iptables -t mangle -A PREROUTING -i $IF_LAN -p tcp --dport 80 -j MARK --set-mark 2

    iptables -t mangle -A PREROUTING -i $IF_LAN -p tcp --dport 443 -j MARK --set-mark 2

    iptables -t mangle -A PREROUTING -i $IF_LAN -p tcp --dport 25 -j MARK --set-mark 3

    iptables -t mangle -A PREROUTING -i $IF_LAN -p tcp --dport 110 -j MARK --set-mark 3

    # A diferença entre o PREROUTING e o OUTPUT é que, PREROUTING abrange os


    # pacotes que foram originados fora do FIREWALL, por exemplo Interface ETH0
    # ($IF_LAN), enquanto OUTPUT são os pacotes originados no Firewall, ou seja, na
    # própria console.

    iptables -t mangle -A OUTPUT -p tcp --dport 80 -j MARK --set-mark 2


    iptables -t mangle -A OUTPUT -p tcp --dport 443 -j MARK --set-mark 2
    iptables -t mangle -A OUTPUT -p tcp --dport 25 -j MARK --set-mark 3
    iptables -t mangle -A OUTPUT -p tcp --dport 110 -j MARK --set-mark 3

    # Aqui montamos as tabelas dinâmicas a partir das marcas (carimbos) que fizemos
    # lá em cima no nosso script.
    # Pacotes que foram marcados com 2 vão para a tabela "table 20" e os marcados
    # com 3, vão para a tabela "table 21", com a mesma prioridade. Perceba o PRIO 20
    # após os comandos.

    ip rule add fwmark 2 table 20 prio 20


    ip rule add fwmark 3 table 21 prio 20

    # se quisermos condicionar esta marcação de outra forma, podemos utilizar o


    # comando das seguintes formas:

    # Este condiciona que todos os pacotes que vierem da rede 192.160.0.0 vão para
    # a tabela 20.
    # O comando está comentado. Caso queira utilizá-lo, apenas retire o sinal de "#"
    # da frente.

    # ip rule add from 192.160.0.0/24 table 20

    # Este outro condiciona os pacotes da rede 192.170.0.0 a irem para a tabela 21


    # O comando está comentado. Caso queira utilizá-lo, apenas retire o sinal de
    # "#" da frente do comando.

    # ip rule add from 192.170.0.0/24 table 21

    # Agora sim daremos rumo aos pacotes que foram marcados e cadastrados na tabela
    # dinâmica.
    # Veja que os pacotes que foram enviados para a tabela 20 têm como DEFAULT
    # GATEWAY o LINK1. Sendo assim, os pacotes serão enviados para o LINK1 na
    # Interface ETH1 com o IP 200.70.0.1.
    # Já os pacotes da tabela 21 serão enviados para o LINK2 na Interface ETH1, com
    # o IP 200.80.0.1

    ip route add default via $GW_LINK1 dev $IF_LINK1 table 20


    ip route add default via $GW_LINK2 dev $IF_LINK2 table 21

    http://www.vivaolinux.com.br/artigos/impressora.php?codigo=6315 21/02/2011
    Firewall Linux - Roteamento avançado usando iproute2 e iptables (load balance) [A... Página 4 de 4

    # Este último comando limpa a tabela, caso ela já tenha sido utilizada
    # anteriormente, ou apenas para termos certeza de que quando você resetar as
    # regras todas, o Firewall não guarde nenhum tipo de informação na
    # memória (cache). Daí o nome FLUSH CACHE.

    ip route flush cache

    Você pode utilizar parte do script, se necessário. Por exemplo, se quiser apenas rotear pacotes pela
    origem, utilize:

    ip rule add from 192.160.0.0/24 table 20


    ou
    ip rule add from 192.160.0.0/24 table 21

    Conforme o Link que deseja utilizar.

    Onde 192.160.0.0/24 é a origem. Neste exemplo, a rede em questão tem a máscara 255.255.255.0
    (/24).

    Desta forma, não há necessidade de marcar pacotes e você poderá deletar as linhas do script.

    É isso aí...
    Espero que o SCRIPT seja útil....

    Até a próxima...

    Fabrício Ferreira - GUZZY


    Especialista em Segurança Digital
    MCP - Microsoft Certified Professional
    Linux Specialist

    http://www.vivaolinux.com.br/artigo/Firewall-Linux-Roteamento-avancado-usando-iproute2-e-
    iptables-(load-balance)

    Voltar para o site

    http://www.vivaolinux.com.br/artigos/impressora.php?codigo=6315 21/02/2011

    Você também pode gostar