Olá Pessoal, Tenho uma pequena grande dúvida. Estou tentando colocar aqui onde eu trabalho o seguinte 2 links, um Velox e o outro embratel, funcionando juntos na mesma rede. A minha configiração etá assim :
eth0 - Velox (roteada) - ip 192.168.14.242 gt 192.168.14.1
eth1 - embratel - ip 192.168.15.242 gt 192.168.15.1
eth2 - rede interna - ip 192.168.0.1
ao invés de balancear dois links quero dividir, fazendo assim: as maquinas da diretoria (192.168.0.10 192.168.0.9 ) saiam pela embratel e o outros ips saiam restante pela velox. Mas não encontrei nenhum exemplo prático sobre como dividir so encontrei para balancear ...
Lembrando que as maquinas da rede aqui estão com ip fixo.
e esqueci de mensionar que utilizo o squid ...
Alguém poderia me ajudar ?
-
30-01-2009, 11:26 #1
- Ingresso
- Jan 2009
- Posts
- 4
dividir 2 links
-
02-02-2009, 07:44 #2
Cara, você pode fazer isso com facilidade utilizando o roteamento por origem do iproute2.
Aqui tem o link de uns tutos de como utilizar o iproute2:
Roteamento avançado com Linux
[Dicas-L] Roteamento avançado - Linux - utilizando IPROUTE e IPTABLES - Load Balance
Se quiser mais opções:
iproute2 roteamento por origem - Pesquisa Google
Até mais..
-
02-02-2009, 09:25 #3
- Ingresso
- Jan 2009
- Posts
- 4
Ola Magnum e encontrei um script que parece ser exatamente o que preciso, porém acho que ele deve ter alguma coisa de errado pois quando coloco ele para funcionar só uma faixa de ip funciona (ex 192.168.0.10 ate 0 20) e a outra faixa de ip não acessa. Não fui eu quem desenvolveu o script mas adaptei e ele roda certinho a sem da erro na minha maquina, mas eu não tenho conhecimento para ver se tem algo faltando para que ele faça o que diz que faz vou postá-lo na esperança de alguem poder me ajudar
#!/bin/bash
clear
echo "------------ FIREWALL ------------"
## iptables
ipt=iptables
## link1
link1_iface=eth1 # interface do seu link1
link1_rede=192.168.15.0/24 # aqui você coloca sua rede, com máscara
link1_gw=192.168.15.1 # o gateway do seu link1
link1_ip_local=192.168.15.242 # o ip do seu server do link1
## link2
link2_iface=eth0 # interface do seu link2
link2_rede=192.168.14.0/24 # aqui você coloca sua rede, com máscara
link2_gw=192.168.14.1 # o gateway do seu link2
link2_ip_local=192.168.14.242 # o ip do seu server do link2
## rede local
lan_iface=eth2
lan_rede=192.168.0.0/24 # aqui você coloca sua rede com máscara
lan_gw=192.168.0.254 # aqui coloca o gw da rede local
# carregar módulos
echo "Carregando módulos..."
modprobe ip_tables
modprobe iptable_nat
modprobe iptable_mangle
modprobe ip_nat_ftp
modprobe ip_nat_h323
modprobe ipt_limit
modprobe ipt_tos
# limpar regras
echo "Limpando regras antigas..."
$ipt -F
$ipt -t nat -F
$ipt -t mangle -F
$ipt -X
$ipt -t nat -X
$ipt -t mangle -X
# ação padrão - dropar tudo
$ipt -P INPUT DROP
$ipt -P FORWARD DROP
$ipt -P OUTPUT ACCEPT
# aceitar pacotes de retorno
$ipt -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$ipt -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# proteções
# anti-ip spoofing - desativar por causa do iproute2
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]; then
for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 0 > $f
done
fi
$ipt -A INPUT -i $link1_iface -s 192.168.0.0/255.255.0.0 -j DROP
$ipt -A INPUT -i $link2_iface -s 192.168.0.0/255.255.0.0 -j DROP
$ipt -A INPUT -i $link1_iface -s 172.0.0.0/255.0.0.0 -j DROP
$ipt -A INPUT -i $link2_iface -s 172.0.0.0/255.0.0.0 -j DROP
$ipt -A INPUT -i $link1_iface -s 10.0.0.0/255.0.0.0 -j DROP
$ipt -A INPUT -i $link2_iface -s 10.0.0.0/255.0.0.0 -j DROP
# ativando repasse de pacotes
echo 1 > /proc/sys/net/ipv4/ip_dynaddr
echo 1 > /proc/sys/net/ipv4/ip_forward
# QoS
$ipt -I FORWARD -p tcp --tcp-flags SYN,RST SYN --dport 1863 -j TCPMSS --clamp-mss-to-pmtu
$ipt -I FORWARD -p tcp --tcp-flags SYN,RST SYN --dport 5190 -j TCPMSS --clamp-mss-to-pmtu
$ipt -I FORWARD -p tcp --tcp-flags SYN,RST SYN --dport 7001 -j TCPMSS --clamp-mss-to-pmtu
# liberar acesso interno
echo "Liberando acesso local..."
$ipt -A INPUT -i loopback -j ACCEPT
$ipt -A INPUT -s 127.0.0.1 -j ACCEPT
$ipt -A INPUT -s $link1_ip_local -j ACCEPT
$ipt -A INPUT -s $link2_ip_local -j ACCEPT
# serviços externos
echo "Liberando acesso aos serviços..."
# dns
$ipt -A INPUT -p tcp --dport 53 -j ACCEPT
$ipt -A INPUT -p udp --dport 53 -j ACCEPT
$ipt -A INPUT -p tcp --sport 53 -j ACCEPT
$ipt -A INPUT -p udp --sport 53 -j ACCEPT
# retorno proxy
$ipt -A INPUT -p tcp --dport 3128 --sport 80 -j ACCEPT
$ipt -A INPUT -p tcp --dport 3128 --sport 8080 -j ACCEPT
$ipt -A INPUT -i $lan_iface -p tcp --dport 22 -j ACCEPT
$ipt -A INPUT -i $lan_iface -p tcp --dport 53 -j ACCEPT
$ipt -A INPUT -i $lan_iface -p udp --dport 53 -j ACCEPT
$ipt -A INPUT -i $lan_iface -p tcp --dport 80 -j ACCEPT
$ipt -A INPUT -i $lan_iface -p tcp --dport 3128 -j ACCEPT
echo "255 local" > /etc/iproute2/rt_tables
echo "254 main" >> /etc/iproute2/rt_tables
echo "253 default" >> /etc/iproute2/rt_tables
echo "0 unspec" >> /etc/iproute2/rt_tables
echo "30 link1" >> /etc/iproute2/rt_tables
echo "30 link2" >> /etc/iproute2/rt_tables
# remover rotas padrão - se houver
ip route del default &> /dev/null
ip route del default &> /dev/null
ip route del default &> /dev/null
ip rule del lookup link1 &> /dev/null
ip rule del lookup link1 &> /dev/null
ip rule del lookup link1 &> /dev/null
ip rule del lookup link2 &> /dev/null
ip rule del lookup link2 &> /dev/null
ip rule del lookup link2 &> /dev/null
for ip in `cat /etc/ips.link1`
do
ip rule del from $ip &> /dev/null
done
ip rule del from $link1_ip_local &> /dev/null
# adicionar regras
# detalhe antes de cat é uma crase "`" e não uma aspas simples
for ip in `cat /etc/ips.link1`
do
ip rule add from $ip table link1 prio 30 &> /dev/null
done
ip rule add from $link1_ip_local table link1 prio 30
# adicionar rotas
ip route add $link1_ip_local via $link1_gw dev $link1_iface table link1
ip route add default via $link1_gw table link1
for ip in `cat /etc/ips.link2`
do
ip rule del from $ip &> /dev/null
done
ip rule del from $link2_ip_local &> /dev/null
for ip in `cat /etc/ips.link2`
do
ip rule add from $ip table link2 prio 30 &> /dev/null
done
ip rule add from $link2_ip_local table link2 prio 30
# adicionar rotas
ip route add $link2_ip_local via $link2_gw dev $link2_iface table link2
ip route add default via $link2_gw table link2
# aplicar mudanças no iproute
ip route flush cache
echo -n "Liberando acesso para clientes..."
# clientes link1
for ip in `cat /etc/ips.link1`
do
# liberação de FORWARD
$ipt -A FORWARD -s $ip -j ACCEPT
# marcar pacotes para gráfico de consumo de banda
$ipt -t mangle -A PREROUTING -s $ip -j ACCEPT # down
$ipt -t mangle -A POSTROUTING -d $ip -j ACCEPT # up
# mascaramento - radio uol
$ipt -t nat -A PREROUTING -p tcp -s $ip -d 200.221.5.71 -j ACCEPT
$ipt -t nat -A PREROUTING -p tcp -s $ip -d 200.221.8.74 -j ACCEPT
$ipt -t nat -A PREROUTING -p tcp -s $ip -d 200.221.8.75 -j ACCEPT
$ipt -t nat -A PREROUTING -p tcp -s $ip -d 200.221.8.118 -j ACCEPT
# nat caixa econômica federal (conectividade)
$ipt -t nat -A PREROUTING -p tcp -s $ip -d 200.201.0.0/16 --dport 80 -j ACCEPT
# redirecionamento para o proxy
$ipt -t nat -A PREROUTING -p tcp -s $ip --dport 80 -j REDIRECT --to-port 3128
$ipt -t nat -A PREROUTING -p tcp -s $ip --dport 8080 -j REDIRECT --to-port 3128
$ipt -t nat -A POSTROUTING -s $ip -d 0/0 -j SNAT --to $link1_ip_local
echo -n "."
done
for ip in `cat /etc/ips.link2`
do
$ipt -A FORWARD -s $ip -j ACCEPT
# marcar pacotes para gráfico de consumo de banda
$ipt -t mangle -A PREROUTING -s $ip -j ACCEPT # down
$ipt -t mangle -A POSTROUTING -d $ip -j ACCEPT # up
# mascaramento - radio uol
$ipt -t nat -A PREROUTING -p tcp -s $ip -d 200.221.5.71 -j ACCEPT
$ipt -t nat -A PREROUTING -p tcp -s $ip -d 200.221.8.74 -j ACCEPT
$ipt -t nat -A PREROUTING -p tcp -s $ip -d 200.221.8.75 -j ACCEPT
$ipt -t nat -A PREROUTING -p tcp -s $ip -d 200.221.8.118 -j ACCEPT
# nat caixa econômica federal (conectividade)
$ipt -t nat -A PREROUTING -p tcp -s $ip -d 200.201.0.0/16 --dport 80 -j ACCEPT
# redirecionamento para o proxy
$ipt -t nat -A PREROUTING -p tcp -s $ip --dport 80 -j REDIRECT --to-port 3128
$ipt -t nat -A PREROUTING -p tcp -s $ip --dport 8080 -j REDIRECT --to-port 3128
$ipt -t nat -A POSTROUTING -s $ip -d 0/0 -j SNAT --to $link2_ip_local
echo -n "."
done
echo ""
echo "----------------------------------"
Notem que ele faz a chamada de dois aquivos com duas faixas de ips ... Mas somente um dos aquivos funciona ... este script peguei em
Linux: Controlando 2 links de internet (roteados) em um gateway Linux com SQUID [Artigo]
Esse script pede para mecher no squid.conf que esta assim :
http_port 3128 transparent
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 128 MB
maximum_object_size_in_memory 128 KB
maximum_object_size 32 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 512 16 256
cache_access_log /var/log/squid/access.log
visible_hostname kurumin
ftp_user [email protected]
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
#acl livre src "/etc/squid/conf/livre"
#http_access allow livre
#acl proibidos url_regex -i "/etc/squid/conf/proibidos"
#http_access deny proibidos
#acl bloqueados url_regex -i "/etc/squid/conf/bloqueados"
#http_access deny bloqueados
# proibe downloads das extensoes que estão no arquivo down
#acl down urlpath_regex -i "/etc/squid/conf/down"
#http_access deny down
# bloqueia o uso do msn exeto os liberados no arquivo livre
#acl msn url_regex -i /gateway/gateway.dll
#http_access deny msn
# ----------REGRA------------------------
# criando as acls
#acl ips_link1 src "/etc/ips.link1"
#tcp_outgoing_address 192.168.15.242 ips_link1
#acl ips_link2 src "/etc/ips.link2"
#tcp_outgoing_address 192.168.14.242 ips_link2
# ----------------------------------
#http_access allow ips_link1
#http_access allow ips_link2
acl redelocal src 192.168.0.0/24
http_access allow redelocal
http_access deny allÚltima edição por dogman; 02-02-2009 às 12:39.
-
02-02-2009, 11:38 #4
Ok... Acho que esse seu script ta sobrecarregado com coisas que você não precisa. Mas vamos fazer uns testes com ele pra tentar descobrir o que pode estar havendo.
1. Do host 192.168.0.10 ou 192.168.0.9 (diretoria) execute um ping para os ips 192.168.15.242 e 192.168.15.1.
2. De qualquer outro hosts (exceto os da diretoria) execute um ping para os ips 192.168.14.242 e 192.168.14.1.
Poste os resultados ai... Se até ai sair tudo ok, vamos fazer outros testes.
-
02-02-2009, 12:35 #5
- Ingresso
- Jan 2009
- Posts
- 4
Gostaria de te agradecer pela atenção
Postado originalmente por Magnun
Bem vamos lá
depois de colocar o script para rodar aconteceu assim
eu so pingo 192.168.15.1
o 192.168.15.242, 192.168.14.1 e 192.168.14.242 não pingo
-
02-02-2009, 16:22 #6
- Ingresso
- Jan 2009
- Posts
- 4
outro script
magnum olha só adapitei esse script e ta funcionando perfeitamente pena que ele não está dividindo e sim balanceando a rede ...
fiz o teste de ping (para esse script) deu certo pinga para 192.168.15.1 192.168.14.1 192.168.15.242192.168.15.242
usei o tracert e ele da mandando para o link 1 e 2
sera que tem como mudar ele tipo quando ele faz o set narc 1 e 2 defginir que o 1 vai para os ips (192.168.0.10 192.168.0.11) e o 2 vai para (192.168.0.100 192.168.0.101)
olha ele ai
echo "Configurando Variáveis..."
# Localização do comando iptables
IPTABLES=/sbin/iptables
# Localização do comando ip
IP=/sbin/ip
# Interface Externa 1 - velox
NET_EXT_INT0=eth0
# IP Virtua
NET_EXT_IP0=192.168.14.242
# Default Gateway Virtua
NET_EXT_GW0=192.168.14.1
# Interface interna
NET_INT_INT1=eth2
# IP interno
NET_INT_IP1=192.168.0.1
# Subnet interna
NET_INT_SUB1=24
# Rede interna
NET_INT_NET1=192.168.0.0
# Interface externa 2 - embratel
NET_EXT_INT2=eth1
# IP Speedy
NET_EXT_IP2=192.168.15.242
# Default Gateway Speedy
NET_EXT_GW2=192.168.15.1
echo "Limpando as tabelas..."
$IPTABLES -F
$IPTABLES -F -t nat
$IPTABLES -F -t mangle
$IPTABLES -X -t nat
$IPTABLES -X -t mangle
$IPTABLES -X
echo "Regras Evandro ..."
#REGRA DO SQUID
$IPTABLES -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128
echo "Configurando tabela Mangle para eth0..."
$IPTABLES -t mangle -N ETH0
$IPTABLES -t mangle -F ETH0
$IPTABLES -t mangle -A ETH0 -j MARK --set-mark 1
$IPTABLES -t mangle -A PREROUTING -s 192.168.0.181/24 -j MARK --set-mark 1
echo -n "Configurando tabela Mangle para ETH1..."
$IPTABLES -t mangle -N ETH1
$IPTABLES -t mangle -F ETH1
$IPTABLES -t mangle -A ETH1 -j MARK --set-mark 2
echo " [OK]"
echo "Configurando tabela Nat para eth0..."
$IPTABLES -t nat -N SPOOF_ETH0
$IPTABLES -t nat -F SPOOF_ETH0
$IPTABLES -t nat -A SPOOF_ETH0 -j SNAT --to ${NET_EXT_IP0}
echo "Configurando tabela Nat para eth2..."
$IPTABLES -t nat -N SPOOF_ETH2
$IPTABLES -t nat -F SPOOF_ETH2
$IPTABLES -t nat -A SPOOF_ETH2 -j SNAT --to ${NET_EXT_IP2}
echo "Permitindo ping local..."
$IPTABLES -A INPUT -p icmp -s ${NET_INT_NET1}/${NET_INT_SUB1} -d ${NET_INT_IP1} -j ACCEPT
echo "Configurando regras de Mangle para eth0..."
$IP ro add table 20 default via ${NET_EXT_GW2} dev ${NET_EXT_INT2}
$IP ru add fwmark 2 table 20
$IP ro fl ca
echo "Configurando regras de spoofing..."
$IPTABLES -t nat -A POSTROUTING -o ${NET_EXT_INT2} -j SPOOF_ETH2
$IPTABLES -t nat -A POSTROUTING -o ${NET_EXT_INT0} -j SPOOF_ETH0
echo "Adicionando rota default..."
$IP ro add default equalize nexthop via ${NET_EXT_GW2} dev ${NET_EXT_INT2} weight 1 nexthop via ${NET_EXT_GW0} dev ${NET_EXT_INT0} weight 1
echo "Desabilitando filtro de caminho reverso..."
echo 0 > /proc/sys/net/ipv4/conf/eth1/rp_filter
echo 0 > /proc/sys/net/ipv4/conf/eth0/rp_filter
echo "Habilitando redirecionamento de pacotes..."
echo 1 > /proc/sys/net/ipv4/ip_forward
-
04-02-2009, 08:32 #7
Cara, novamente, acho que não precisa de tudo isso...
Faz o seguinte teste. Edita o arquivo /etc/iproute2/rt_tables e adicione 2 as seguines linhas:
21 velox
22 speedy
Cria esse script:
echo "Configurando Variáveis..."
# Localização do comando iptables
IPTABLES=/sbin/iptables
# Localização do comando ip
IP=/sbin/ip
# Interface Externa 1 - velox
NET_EXT_INT0=eth0
# IP Virtua
NET_EXT_IP0=192.168.14.242
# Default Gateway Virtua
NET_EXT_GW0=192.168.14.1
# Interface interna
NET_INT_INT1=eth2
# IP interno
NET_INT_IP1=192.168.0.1
# Subnet interna
NET_INT_SUB1=24
# Rede interna
NET_INT_NET1=192.168.0.0
# Interface externa 2 - embratel
NET_EXT_INT2=eth1
# IP Speedy
NET_EXT_IP2=192.168.15.242
# Default Gateway Speedy
NET_EXT_GW2=192.168.15.1
echo "Limpando as tabelas..."
$IPTABLES -F
$IPTABLES -F -t nat
$IPTABLES -F -t mangle
$IPTABLES -X -t nat
$IPTABLES -X -t mangle
$IPTABLES -X
#REGRA DO SQUID
$IPTABLES -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128
echo "Criando chain NAT para eth0..."
$IPTABLES -t nat -N NAT_ETH0
$IPTABLES -t nat -F NAT_ETH0
$IPTABLES -t nat -A NAT_ETH0 -j SNAT --to ${NET_EXT_IP0}
echo "Configurando chain NAT para eth2..."
$IPTABLES -t nat -N NAT_ETH2
$IPTABLES -t nat -F NAT_ETH2
$IPTABLES -t nat -A NAT_ETH2 -j SNAT --to ${NET_EXT_IP2}
echo "Aplicando regras de NAT da eth1 e eth2..."
$IPTABLES -t nat -A POSTROUTING -o ${NET_EXT_INT2} -j NAT_ETH2
$IPTABLES -t nat -A POSTROUTING -o ${NET_EXT_INT0} -j NAT_ETH0
echo "Permitindo ping local..."
$IPTABLES -A INPUT -p icmp -s ${NET_INT_NET1}/${NET_INT_SUB1} -d ${NET_INT_IP1} -j ACCEPT
echo "Adicionando marcação para IPs da diretoria"
iptables -t mangle -A PREROUTING -s 192.168.0.10/32 -j MARK --set-mark 22
iptables -t mangle -A PREROUTING -s 192.168.0.9/32 -j MARK --set-mark 22
echo "Adicionando marcação para restante dos IPs"
iptables -t mangle -A PREROUTING -j MARK --set-mark 21
echo "Removendo possíveis rotas"
$IP rule del lookup speedy
$IP rule del lookup speedy
$IP rule del lookup velox
$IP rule del lookup velox
$IP route del default
$IP route del default
echo "Adicionando default gateway para Velox"
$IP route add default via ${NET_EXT_GW0} table velox
echo "Adicionando default gateway para Speedy"
$IP route add default via ${NET_EXT_GW2} table speedy
echo "Vinculando tráfego marcado a tabela"
$IP rule add fwmark 21 table 21 prio 20
$IP rule add fwmark 22 table 22 prio 20
echo "Desabilitando filtro de caminho reverso..."
echo 0 > /proc/sys/net/ipv4/conf/eth1/rp_filter
echo 0 > /proc/sys/net/ipv4/conf/eth0/rp_filter
echo "Habilitando roteamento de pacotes..."
echo 1 > /proc/sys/net/ipv4/ip_forward
Depois de executar o script verifica as regras com esse comando:
ip rule list
e verifica as rotas de cada tabela com esse comando:
ip route list table speedy
ip route list table velox
Qualquer coisa posta ai...Última edição por Magnun; 04-02-2009 às 08:35.
Citação
