Página 3 de 9 PrimeiroPrimeiro 12345678 ... ÚltimoÚltimo
+ Responder ao Tópico



  1. #13

    Padrão

    Desculpe a ignorância mas não consegui compreender essa falha citada.


    Comparando a sua:
    chain=prerouting in-interface=hotspot connection-state=new nth=1,1,0 action=mark-connection new-connection-mark=con110 passthrough=yes

    e a minha
    chain=prerouting connection-state=new nth=1,1,0 src-address-list=ADSLlista dst-address-list=!valido action=mark-connection new-connection-mark=bancos passthrough=yes


    Seria a questão de definir "in-interface"? Fiz isso, mas o resultado foi o mesmo ainda..
    Ou é outra diferença que não consegui identificar na sua explicação.
    Não seria definir a interface de saida? (OUT) ao inves de entrada?


    REGRAS definindo a In-interface
    chain=prerouting in-interface=SAIDA_LINK99 connection-state=new nth=1,1,0 src-address-list=ADSLlista dst-address-list=!valido action=mark-connection new-connection-mark=bancos passthrough=yes

    chain=prerouting in-interface=SAIDA_LINK99 connection-
    mark=bancos src-address-list=ADSLlista dst-address-list=!valido action=mark-routing new-routing-mark=bancos passthrough=no



    chain=prerouting in-interface=SAIDA_LINK99 connection-state=new nth=1,1,1 src-address-list=ADSLlista dst-address-list=!valido action=mark-connection new-connection-mark=teste2 passthrough=yes

    chain=prerouting in-interface=SAIDA_LINK99 connection-mark=teste2 src-address-list=ADSLlista dst-address-list=!valido action=mark-routing new-routing-mark=teste3 passthrough=no

  2. #14

    Padrão

    amigo vou aproveitar o embalo de vcs e colocar uma questao em duvida: como fazer pra o web-proxy funcionar corretamente com o balanceamento por nth?

    desde de ja agradeço a quem participar



  3. #15

    Padrão

    Ola liandrocarniel...


    Vá com calma que voce entende.
    Vc é bom!

    Vc diz que fez... mas nao funcionou... **DEVE TER COMETIDO ALGUM EQUIVOCO**.

    Editado por mson77:
    **** porque voce faz seleção para marcar pacotes? Por que usar dos criterios src/dst_addresses....nesse momento?
    **** voce **REALMENTE** precisa fazer essa marcacao baseado em src e dst address?
    **** voce nao pode fazer essa selecao... (nao sei porque vc faz isso)... na tabela filter rules?
    **** qual a diferença entre a "mangle" e a "filter rules"....????
    SUGESTÃO: remova src/dst address dessas regras na mangle e se preciso aplique/use/reaplique na filter rules. Use apenas in-interface para fazer marcacao de "new connections".



    ==========================


    Ola schramm...

    Veja esse LINK abaixo:Peço que dê **CONTINUIDADE** no outro tópico.
    Dessa forma ORGANIZAREMOS melhor os topicos iniciados aqui nesse forum.



    Abracos,
    Última edição por mson77; 20-02-2008 às 09:07. Razão: Separar TOPICOS...

  4. #16

    Padrão

    Bom..
    Vamos tentar explicar a minha situação:

    Por que usar marcação de src e dst?
    em SRC aponto para uma address list onde escolho quais faixas de ip's ou clientes irão passar na regra. Tem algumas redes que deixo fora, pois sao importantes para nós, ou alguns serviços especificos, que podem trazer problemas.


    Ainda tenho em dst negando alguns ip's validos (do nosso servidor ou outros) ip's validos de clientes (ex:. Tenho um cliente que tem um servidor com ip valido com servidor de email, e esse mesmo cliente tem uma acesso em casa, e sem essa negacao ao ip valido, ele passaria pelo balanceamento, o que nao é necessario).

    Obs.: Tenho ainda algumas outras regras que fazem com que alguns destinos especificos (Caixa, Bradesco, etc) não cheguem às regras de balanceamento.

    NAo sei se somente com Filter Rules, conseguirei fazer todas essas regras (deixar clientes fora do balanceamento, negar balanceamento para alguns ips validos, etc).

    Todas essas regras foram sendo implantadas durante meses, diante de problemas que vinham surgindo, e aplicando as mesmas, foram resolvidas, portanto se faz necessário algo semelhante a isso (não sei se por filter Rules dá para fazer)



  5. #17

    Padrão

    Olá....



    Simples.

    Baseado na IN_INTERFACE:
    1) Faça **APENAS** marcação pacotes sobre as new-connections;
    2) faça marcação de routing sobre os pacotes já marcadas em (1).

    PRONTO.

    ==========================================
    E agora?

    Nas regras de NAT... voce iria distribuir para LINK1, LINK2... conforme pacotes marcados... correto?
    Pois bem... é aqui que voce vai PRESTAR ATENÇÃO.
    Na tabela NAT do firewall... a ordem das regras é RELEVANTE. Entao tome cuidado.
    a) Para sites de bancos (tcp/443) em geral... evite LB fazendo src_nat num link especifico que vc escolher. Pronto! Acabaram-se os seus "pobremas".

    b) Qto a fazer LB de source_IP especificos... ou nao.. coloque todas as regras aqui... e nessa ordem.

    Problemas resolvidos!!!

    Abraços,
    • nao deseja visitar minha wish list?
    • com certeza essas informações resolveram todos os seu problemas empresariais... e te poupou de muitas horas.
    • Solução GARANTIDA com as informações acima.
    ============
    editando:
    • mangle é mangle...
    • nat é nat...
    • filter rules é filter rules...
    C'est tout!!!
    Time to pass by the mson77's wish list...
    Última edição por mson77; 20-02-2008 às 10:58.

  6. #18

    Padrão nth

    quando crio a regra nao aceita nth=2,1,0 ou qualquer outra combinaçao nao so aceita um unico numero nth = 1