+ Responder ao Tópico



  1. Ola iuredaluz...


    Obviamente... cada um é cada um.
    Eu, particularmente... nao gosto muito de particularidades. Gosto de regras genéricas sempre que possivel.

    Entao... por partes:

    1) tcp_dst_port:443 (https)
    Muito bancos... ou quase todos... verificam se a conexão é proveniente de um UNICO IP... Isso é feito para garantir segurança na conexão a nivel de sessão e aplicação... da cada OSI.

    Entao... **EU** nao particularizaria a regra colocando uma LISTA DE IPs para ser analisada a cada momento. Isso consome CPU e seu voce estiver usando um RouterBoard... piorou.

    Então... esteja bem DITO: Eu usaria a regra tcp_dst_port:443 generica para TODAS as conexoes. Nao somente para BB... como voce diz e quer. E amanha... quem vai fazer manutencao dessa lista? (Lembre-se: "Quem planta vento... colhe tempestade!" Faça a coisa MAIS CORRETA E GENERICA POSSIVEL E SEMPRE)

    2) tcp_dst_port:1863 (MSN)
    AGORA... hoje... ano 2008... segue a mesma tendencia do https (bancos).

    3) Lentidão. Há que se diagnosticar a causa. Onde está a causa?
    Possiveis respostas:
    Na resolucao do nome (DNS);
    Na rota (no seu caso... LINK de saida)
    ==> crie uma regra estática e teste cada link
    ...e, essa lentidao é SEMPRE? Ou somente agora? Seu sistema está congestionado?... váaaarias coisas para observar.

    4) Seu /ip route... é somente isso que voce postou?
    Não está FALTANDO mais nada?
    Não tem as regras de cada rede... de cada interface?


    Infelizmente... PERDEMOS muito tempo até voce compreender como as REGRAS ditam tudo. Eu devo ter parecido CRUEL e RUDE. Peço que não veja sob essa ótica. Pense que alguem chegou a voce e perguntou:

    "Meu carro nao funciona mais! Me ajuda a resolver?"

    POSTOU esse abacaxi... e foi embora. Parece entao que essa pessoa é CARENTE DE CONVERSA... nao de solucao. Se fosse de solucao... postaria o MAXIMO DE INFORMACAO... de uma vez... para que TODOS POSSAM LER E AJUDAR NA HORA.

    É isso.





    Abraços,

  2. Citação Postado originalmente por mson77 Ver Post
    Ola iuredaluz...


    Obviamente... cada um é cada um.
    Eu, particularmente... nao gosto muito de particularidades. Gosto de regras genéricas sempre que possivel.

    Entao... por partes:

    1) tcp_dst_port:443 (https)
    Muito bancos... ou quase todos... verificam se a conexão é proveniente de um UNICO IP... Isso é feito para garantir segurança na conexão a nivel de sessão e aplicação... da cada OSI.

    Entao... **EU** nao particularizaria a regra colocando uma LISTA DE IPs para ser analisada a cada momento. Isso consome CPU e seu voce estiver usando um RouterBoard... piorou.

    Então... esteja bem DITO: Eu usaria a regra tcp_dst_port:443 generica para TODAS as conexoes. Nao somente para BB... como voce diz e quer. E amanha... quem vai fazer manutencao dessa lista? (Lembre-se: "Quem planta vento... colhe tempestade!" Faça a coisa MAIS CORRETA E GENERICA POSSIVEL E SEMPRE)

    2) tcp_dst_port:1863 (MSN)
    AGORA... hoje... ano 2008... segue a mesma tendencia do https (bancos).

    3) Lentidão. Há que se diagnosticar a causa. Onde está a causa?
    Possiveis respostas:
    Na resolucao do nome (DNS);
    Na rota (no seu caso... LINK de saida)
    ==> crie uma regra estática e teste cada link
    ...e, essa lentidao é SEMPRE? Ou somente agora? Seu sistema está congestionado?... váaaarias coisas para observar.

    4) Seu /ip route... é somente isso que voce postou?
    Não está FALTANDO mais nada?
    Não tem as regras de cada rede... de cada interface?


    Infelizmente... PERDEMOS muito tempo até voce compreender como as REGRAS ditam tudo. Eu devo ter parecido CRUEL e RUDE. Peço que não veja sob essa ótica. Pense que alguem chegou a voce e perguntou:

    "Meu carro nao funciona mais! Me ajuda a resolver?"

    POSTOU esse abacaxi... e foi embora. Parece entao que essa pessoa é CARENTE DE CONVERSA... nao de solucao. Se fosse de solucao... postaria o MAXIMO DE INFORMACAO... de uma vez... para que TODOS POSSAM LER E AJUDAR NA HORA.

    É isso.



    Abraços,
    Opa não tinha pensando em atuar em todas as portas 443, uma otima ideia sua isso, assim não preciso sair atras dos ips dos bancos.

    Possiveis respostas:
    Na resolucao do nome (DNS);
    Vou analisar isto

    Na rota (no seu caso... LINK de saida)
    ja tentei com os 3 links

    ==> crie uma regra estática e teste cada link

    ...e, essa lentidao é SEMPRE? Ou somente agora? Seu sistema está congestionado?... váaaarias coisas para observar.

    Essa lentido não ocorre quando estou so com 1 link ativado, se eu desativar o balanceamento, vai normal ok?

    Abraços e desculpe pelo mal entendido.

    o /ip route quando dou um export so aparece aquilo, mais quando dou um print aparece mais coisas.

    Vou mostrar aqui

    # DST-ADDRESS PREF-SRC G GATEWAY DISTANCE INTERFACE
    0 A S 0.0.0.0/0 r 192.168.64.17 1 Hispamar
    1 A S 0.0.0.0/0 r 192.168.64.17 1 Hispamar
    2 A S 0.0.0.0/0 r 192.168.27.2 1 StarONE
    3 X S 0.0.0.0/0 r 10.246.21.1 1 Comsat
    4 A S 0.0.0.0/0 r 10.246.21.1 1 Comsat
    5 ADC 10.246.21.0/24 10.246.21.6 0 Comsat
    6 ADC 192.168.26.0/24 192.168.26.1 0 Local
    7 ADC 192.168.27.0/24 192.168.27.1 0 StarONE
    8 ADC 192.168.64.0/24 192.168.64.18 0 Hispamar

    aqui vai o export

    / ip route
    add dst-address=0.0.0.0/0 gateway=192.168.64.17 distance=1 scope=255 \
    target-scope=10 comment="" disabled=no
    add dst-address=0.0.0.0/0 gateway=192.168.64.17 distance=1 scope=255 \
    target-scope=10 routing-mark=odd comment="" disabled=no
    add dst-address=0.0.0.0/0 gateway=192.168.27.2 distance=1 scope=255 \
    target-scope=10 routing-mark=jump comment="" disabled=no
    add dst-address=0.0.0.0/0 gateway=10.246.21.1 distance=1 scope=255 \
    target-scope=10 comment="" disabled=yes
    add dst-address=0.0.0.0/0 gateway=10.246.21.1 distance=1 scope=255 \
    target-scope=10 routing-mark=even comment="" disabled=no


    Quero lembrar que existe uma regra desativada ai no meio do routes ok?

    como posso criar uma regra estatica para usar sempre 1 link só? seria usando src nat?

    Última edição por iuredaluz; 05-03-2008 às 23:14.



  3. Para ajudar a você enxergar o erro de distração ja comentado pelo mson


    Veja o que voce tem (agora identificado em vermelho).
    add chain=prerouting action=mark-connection new-connection-mark=odd passthrough=yes connection-state=new in-interface=Local nth=2,1,0 comment="" disabled=no
    add chain=prerouting action=mark-routing new-routing-mark=even passthrough=no in-interface=Local connection-mark=odd comment="" disabled=no



    add chain=prerouting action=mark-connection new-connection-mark=even passthrough=yes connection-state=new in-interface=Local nth=2,1,1 comment="" disabled=no
    add chain=prerouting action=mark-routing new-routing-mark=even passthrough=no in-interface=Local connection-mark=even comment="" disabled=no

  4. Citação Postado originalmente por liandrocarniel Ver Post
    Para ajudar a você enxergar o erro de distração ja comentado pelo mson


    Veja o que voce tem (agora identificado em vermelho).
    add chain=prerouting action=mark-connection new-connection-mark=odd passthrough=yes connection-state=new in-interface=Local nth=2,1,0 comment="" disabled=no
    add chain=prerouting action=mark-routing new-routing-mark=even passthrough=no in-interface=Local connection-mark=odd comment="" disabled=no



    add chain=prerouting action=mark-connection new-connection-mark=even passthrough=yes connection-state=new in-interface=Local nth=2,1,1 comment="" disabled=no
    add chain=prerouting action=mark-routing new-routing-mark=even passthrough=no in-interface=Local connection-mark=even comment="" disabled=no
    Opa amigo, ja passamos dessa parte kkkk, obrigado, estou tentando resolver agora o problema com bancos, eles não abrem. Voce sabe como solucionar? Olhe meus posts e do mson para ver onde paramos pra ver você pode ajudar.



  5. Aqui resolvi o problema de bancos pelo Mangle


    Geral
    chain=prerouting protocol=tcp dst-port=443 action=mark-routing new-routing-mark=bancos passthrough=no

    Conectividade Social da Caixa
    chain=prerouting dst-address=200.201.174.0/24 action=mark-routing new-routing-mark=bancos passthrough=no

    Bradesco
    chain=prerouting dst-address-list=bradesco action=mark-routing new-routing-mark=bancos passthrough=no


    Porque várias? Para o sistema de conectividade da Caixa, nem sempre usa a porta 443, entao descobrimos o ip/faxia de destino e resolveu.

    No caso do Bradesco também tivemos problemas, pois as vezes somente com a porta 443 direcionando, nao funcionava. Acompanhei alguns clientes e identificamos os ips do banco.

    Estamos com isso funcionando há uns 8 meses, sem nenhuma reclamação






Tópicos Similares

  1. Gostaria de saber se é possível?
    Por Marcos_Duda no fórum Servidores de Rede
    Respostas: 5
    Último Post: 05-07-2004, 17:16
  2. ALGUEM AQUI GOSTARIA DE DAR CURSO ON-LINE?
    Por copynow no fórum Servidores de Rede
    Respostas: 31
    Último Post: 18-06-2004, 08:19
  3. gostaria de saber como fazer pro meu servidor rodar isso
    Por bouncer no fórum Linguagens de Programação
    Respostas: 1
    Último Post: 10-08-2003, 23:25
  4. GOSTARIA DE SABER COMO CONFIGURAR O BIND
    Por no fórum Servidores de Rede
    Respostas: 3
    Último Post: 10-07-2003, 17:40
  5. Respostas: 2
    Último Post: 02-11-2002, 07:34

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L