Tutorial load balance (paralelo) + Debian + ThunderCache + servidor MK 3.13-3.22
Então pessoal,iria continuar agora a noite o tuto,mas a energia akee ficou num vai e vem maluco,tive que desligar akee lagumas coisas para o meu nobreak segurar a onda...infelizmente normalizou muito tarde,então amanhã continuarei o trabalho...
Uma Dica!
Estava fazendo uns testes e me deparei com a seguinte cena:
Conectado à rede como um cliente,eu tinha acesso aos modens que estavão roteados,ja que eles também estavão adicionados ao MK Controle e MK LB.Então eu podia pingar e até mesmo acessa-los via browser ou qualquer outro programa que busca redes.
Então para resolver o problema bloquiei o acesso aos ip's dos modens e tudo ficou resolvido!
Bom,comentarei isso amanhã durante a outra parte do tuto..
Boa noite a todos...
E aos amigos que quiserem comentar algo sobre o tuto ou até mesmo fazer alguma correção ou dar alguma dica,fique a vontade,que eu farei a alteração caso necessário...
Tutorial load balance (paralelo) + Debian + ThunderCache + servidor MK 3.13-3.22
11º Parte:
Regras para o LoadBalance:
É isso ai pessoal,tamuh ae em pé acordado e deitado sem dormir!!!
Vamos continuar com o tuto...
Bom,nesse momento ja temos nosso servidor MK LB ou BL como preferir,então vamos às regras:
/ip firewall filter
add action=drop chain=forward comment="Bloqueio de acesso ao modem DSL2 pela rede." \
disabled=no src-address=192.168.2.1
add action=drop chain=forward comment="Bloqueio de acesso ao modem DSL3 pela rede." \
disabled=no src-address=192.168.3.1
add action=accept chain=forward comment=\
"Total do Trafego gerado entre todos os Links" disabled=no out-interface=\
Link-Gerenciado
Regras 1 e 2: São para impedir o acesso ao modem pela rede.
(Nosso amigo Demo Bill,sugeriu logo acima um tipo de regra um pouco mais complexa para o bloqueio de acesso aos modens.Estas citadas por mim estão correspondendo perfeitamente.).
Regra 3: É para mostrar apenas o trafego total gerado pelos links.(Opcional)
Vejam que não adicionei o modem DSL1 para a regra de bloqueio,uma vez que não consegui acessa-lo via browser nem pinga-lo.Deve ser pelo fato dele estar em modo bridge ou até mesmo porque não foi adicionado ao /ip address(Por estar sendo discado pelo MK,não é necessário adicionar ao /ip address).Irei fazer mais alguns testes e caso necessário teremos que adicionar ele às regras de bloqueio.
Obs.:
REGRAS ABERTAS A COMENTÁRIOS
/ip firewall nat
add action=masquerade chain=srcnat comment="NAT - Modem DSL-1" disabled=no \
out-interface=Internet
add action=masquerade chain=srcnat comment="NAT - Modem DSL-2" disabled=no \
out-interface=Modem-DSL2
add action=masquerade chain=srcnat comment="NAT - Modem DSL-3" disabled=no \
out-interface=Modem-DSL3
/ip firewall mangle
add action=mark-routing chain=prerouting comment="Navegacao em FTP-Downloads" \
disabled=no dst-port=21 new-routing-mark=Link-2 passthrough=yes protocol=tcp
add action=mark-routing chain=prerouting comment="" disabled=no dst-port=22 \
new-routing-mark=Link-2 passthrough=yes protocol=tcp
add action=mark-routing chain=prerouting comment="" disabled=no dst-port=23 \
new-routing-mark=Link-2 passthrough=yes protocol=tcp
add action=mark-routing chain=prerouting comment="" disabled=no dst-port=25 \
new-routing-mark=Link-2 passthrough=yes protocol=tcp
add action=mark-routing chain=prerouting comment=\
"Protocolo responsavel por resolucao de DNS" disabled=yes dst-port=53 \
new-routing-mark=Link-2 passthrough=yes protocol=udp
add action=mark-routing chain=prerouting comment=\
"Navegacao em sites http e downloads" disabled=no dst-port=80 new-routing-mark=\
Link-2 passthrough=yes protocol=tcp
add action=mark-routing chain=prerouting comment="" disabled=no dst-port=110 \
new-routing-mark=Link-2 passthrough=yes protocol=tcp
add action=mark-routing chain=prerouting comment="" disabled=no dst-port=1080 \
new-routing-mark=Link-2 passthrough=yes protocol=tcp
add action=mark-packet chain=prerouting comment="Pacotes marcados para o Link-2" \
disabled=no new-packet-mark=Link-2 passthrough=yes routing-mark=Link-2
add action=mark-routing chain=prerouting comment=\
"Navegacao em sites https-encriptados" disabled=no dst-port=443 new-routing-mark=\
Link-3 passthrough=yes protocol=tcp
add action=mark-routing chain=prerouting comment=\
"Navegacao em messenger - Windows Lime Messenger" disabled=no dst-port=1863 \
new-routing-mark=Link-3 passthrough=yes protocol=tcp
add action=mark-routing chain=prerouting comment=\
"Navegacao em WebCam - Windows Live Messenger" disabled=no dst-port=6891 \
new-routing-mark=Link-3 passthrough=yes protocol=tcp
add action=mark-packet chain=prerouting comment="Pacotes marcados para o Link-3" \
disabled=no new-packet-mark=Link-3 passthrough=yes routing-mark=Link-3
Repare que a marcação para a regra da porta 53 esta desativada,em testes que estou realizando aqui,achei por bem deixar esta porta saindo pelo link default mesmo.REGRA EM TESTES
Veja abaixo como ficara nossa tabela filter rules:
http://img132.imageshack.us/img132/2785/tutorial14.jpg
e...
Veja abaixo como ficara nossa tabela Nat:
http://img7.imageshack.us/img7/5981/tutorial13hrc.jpg
e...
Veja abaixo como ficara nossa tabela mangle:
http://img406.imageshack.us/img406/6260/tutorial12.jpg
Foi adicionando alguns comentários em algumas portas,então os colegas podem sugerir comentários para as que estão sem e até mesmo alguma correção para algum comentário feito.
"Sugiro desabilitar o redirecionamento da porta 21(FTP),em testes aqui,percebi que alguns downs não estavam sendo iniciados devido a este redirecionamento,então caso alguém encontre problemas com FTP,deixe esta porta saindo pelo link default mesmo,ou seja,não faça nenhum redirecionamento desta porta"
Continua...
Tutorial load balance (paralelo) + Debian + ThunderCache + servidor MK 3.13-3.22
12º Parte:
Bom,não sei se sera necessário essa dica,então fica a pergunta:
Devo colocar as regras para redirecionamento de Downloads???
:itsme:
Tutorial load balance (paralelo) + Debian + ThunderCache + servidor MK 3.13-3.22
13º Parte:
Bom pessoal, a idéia de redirecionar os downloads funcionaria da seguinte forma:
Na marcação seria usado o modo content,onde iriamos simplesmente marcar as extensões dos arquivos que serão redirecionados para um link especeficado no mangle.
Então podemos marcar arquivos do tipo:
- exe (Encontrado em 90% dos arquivos disponíveis para Down).
- rar (Encontrado mais em sites de hospedagem ,megaupload por exemplo").
- zip (Pessoalmente tenho encontrado pouco,ja que o .rar tomou conta do mercado).
- iso (Mais difícil de encontrar).
- mp3 (Em muitos sites que podemos baixar o arquivo mp3,a extensão no final do link fica como html,então não estranhe se alguns mp3 não baixarem no link especificado.Por favor não va sair marcando extensão HTML).
Essas são apenas algumas das estensões que podemos redirecionar.
Da para fazer isso pelo squid também,porém não sei como,caso alguém se cantidate a disponibilizar a informação ,esteja a vontade!
Abaixo segue uma amostra do balanceamento dos links.Só para relembrar a nossa marcação do mangle, as portas distribuidas na figura abaixo são:
LINK1: Porta 53 e tudo o que não for marcado para os outros links,por exemplo:P2P,Jogos Online,Serviços de Audio e Vídeo(desde que esses serviços não usem as portas que estejam marcadas para outros links) etc.
LINK2: Portas 21,22,23,25,80,110 e 1080 (Basicamente a navegação limpa)
LINK3: Portas 443,1863,6891-6901(Essas creio que não estão exatas)
Veja abaixo como ficaria essa divisão na pratica:
http://img13.imageshack.us/img13/6061/tutorial16.jpg
Onde: 3.3Mpbs / 380.1kbps é a velocidade total dos links de Internet,ja o proxy esta la do outro lado fazendo a parte dele.
Coloquei em testes ontem as regras e até agora obtive exelentes resultados.
Mas fica um detalhe no ar,e o Thunder??? Ele puxa muito não é!!!
Então nos deparamos na situação em que ele vai usar muito do nosso link 2,link o qual esta nossa navegação "limpa",então como marcariamos os downs feitos por ele,uma vez que por exetensao do tipo flv não adiantaria,ja que um link de vídeo por exemplo do youtube seria sem extensão com final .flv:
http://www.youtube.com/watch?v=rjFxS26sAgQ
[ame]http://www.youtube.com/watch?v=rjFxS26sAgQ[/ame]
O Content não identifica a extensão flv,ele identifica apenas o final do link,então teriamos que marcar na fonte dele ,nesse caso o google.com.
Então teriamos uma marcação para os vídeos do youtube usando no content:google.com
Obs.:
Na imagem acima,apenas extensões .exe , .rar , .iso , .zip estão redirecionadas para o Link3.
Caso alguém discorde do que foi descrito acima,por favor é só dizer.Pois estou aqui para aprender junto com vocês!!!
Amanhã se eu tiver pouco serviço coloco as regras...