iproute2 upload por um link e download por outro...
Ola pessoal.
Estou estudando o iproute2 mas gostaria de uma ajuda! Estou precisando urgentemente colocar um firewall com entrada por adsl e saida pelo meu link da embratel, já que estamos esperando a liberacao de nossa ampliacao de link estamos tentando resolver provisoriamente.
O motivo de se fazer upload pela embratel é que o upload dos ADSL (speedy) é muito pequeno o que limita o uso do link para compartilhar em muitos pontos.
Como vcs tem resolvido este tipo de problema ?
Como vcs devem estar imaginando vai ser meio que um spoof de ip. Porque os pacotes que saírem pelo meu link com a embratel deverão estar (eu presumo) marcados com o ip-source o do ADSL e o meu Firewall vai ter que LEMBRAR disso...
[]s
Ric leite
iproute2 upload por um link e download por outro...
Vou reformular a pergunta com um pouco mais de informacao:
Eu imagino que o que eu falei eh possivel pois o tcp/ip pode se copmportar assim e se chama ip spoof (uma tecnica de ataque de redes, onde vc pode fingir ter um ip diferente do verdadeiro apesar de que a resposta da conexao (download) nao eh recebida pelo agressor e este tenta adivinhar o conteudo do download e continua mandando upload de dados. Jah vi isto no meu servidor de email, um RATO estava mandando e-mails spam dizendo que vinha de um IP que eu tinha aberto no relay, mas que eu nao usava pra nada e era interno da minha rede (colocando no FW uma regra com -j LOG eu pude logar os pacotes VINDO da internet mas com o ip de origem como se fossem da minha rede interna!!) ):
Acontece assim: vc gera um pacote na maquina de ip 200.x.x.12 dizendo que o destino eh 200.x.x.15 e a origem eh 200.x.x.1. O pacote quando entra na rede eh reencaminhado em direcao da maquina destino ... A maquina 200.x.x.15 VAI receber e responder, mas a resposta vai para a maquina 200.x.x.1.
Como no meu caso as DUAS maquinas (a que faz o upload e a que ira receber o download) sao a mesma maquina apenas usando interfaces e ips diferentes tudo que esta maquina (que eh o meu FIREWALL) deve fazer eh LEMBRAR que mandou um pacote: (uma possivel solucao para isto seria segundo o amigo Anderson Silva da lista linux-br: iptables -t nat -A POSTROUTING -o INTERFACE_EMBRATEL -j SNAT --to-source IP_SPEEDY )
Soh ainda nao testei na pratica, pois nao sei como os modulos de contrack vao se comportar. E alem disso o iproute2 deverah ser configurado para fazer a SAIDA por um LINK e a ENTRADA por outro, e este detalhe eu ainda nao domino pois o que se pode ver na maioria dos TUTOS que eu achei eh uma conexao que separa portas em links diferentes, porem nao vi ainda esta minha situacao particular, apesar dela ser teoricamente possivel...
Por favor perdoem-me o tamanho desta replica, mas acredito que por estar melhor detalhando este problema ele que pode servir de base para um melhor aprendizado coletivo e quem sabe um melhor aproveitamento de links de ADSL.
:)
Ric Leite
CONCLUSÃO SOBRE A LOUCURA PROPOSTA...
Apesar de não ter obtido nenhuma resposta neste forum sinto-me no dever de postar as conclusões e observações que obtive nesta minha louca jornada por uma melhor utilização do link de ADLS, afinal algumas pessoas eventualmente podem se beneficiar desse conhecimento:
Pra inicio de conversa É tecnicamente possivel fazer esta loucura de upload por um link e download por outro...
Somente um problema:
Por se tratar de um caso de ip spoof (ainda que com a melhor das intenções) muito provavelmente os pacotes "forjados" que seriam lançados no upload de um dos links seriam DESCARTADOS SUMARIAMENTE por regras nos roteadores do ISP.
O motivo é simples, pacotes com o source falseados são facilmente detectados no router mais proximo do cliente. E como na maioria desas ocorrencias é um ip spoof maldoso.os routers dão um silencioso DROP neles.
Ou seja. esse meu devaneio somente funcionaria se os roteadores do ISP estiverem MAL CONFIGURADOS .... ou sem proteção a ip SPOOF ...
Entretando a situação de se utilizar um link para download e outro para upload É uma realidade.
Segundo um amigo da facul é exatamente isso que é feito em links via satélite onde o download é enorme e o upload é uma mixaria... eles (upload e download) vão por 2 caminhos (inclusive meios de transmisão diferentes). É claro que neste caso não existem roteadores nem firewalls com regras para detonar os pacotes com ip source falseado...
Se alguem quizer fazer esta experiência maluca. É só pegar 4 computadores 1 com 3 placas de rede e 3 cabos cross... heheh !!!
Somente não vai ter utilidade alguma essa brincadeira ... a não ser que que deseje alguma espécie de segurança unilateral na comunicação...
Creio até que ligar 2 máquinas usando 4 placas de rede possa aumentar a performance da comunicação ... opa !! estou tendo um novo devaneio ... !!!
Re: CONCLUSÃO SOBRE A LOUCURA PROPOSTA...
Citação:
Postado originalmente por ricleite
Apesar de não ter obtido nenhuma resposta neste forum sinto-me no dever de postar as conclusões e observações que obtive nesta minha louca jornada por uma melhor utilização do link de ADLS, afinal algumas pessoas eventualmente podem se beneficiar desse conhecimento:
Pra inicio de conversa É tecnicamente possivel fazer esta loucura de upload por um link e download por outro...
Somente um problema:
Por se tratar de um caso de ip spoof (ainda que com a melhor das intenções) muito provavelmente os pacotes "forjados" que seriam lançados no upload de um dos links seriam DESCARTADOS SUMARIAMENTE por regras nos roteadores do ISP.
O motivo é simples, pacotes com o source falseados são facilmente detectados no router mais proximo do cliente. E como na maioria desas ocorrencias é um ip spoof maldoso.os routers dão um silencioso DROP neles.
Ou seja. esse meu devaneio somente funcionaria se os roteadores do ISP estiverem MAL CONFIGURADOS .... ou sem proteção a ip SPOOF ...
Entretando a situação de se utilizar um link para download e outro para upload É uma realidade.
Segundo um amigo da facul é exatamente isso que é feito em links via satélite onde o download é enorme e o upload é uma mixaria... eles (upload e download) vão por 2 caminhos (inclusive meios de transmisão diferentes). É claro que neste caso não existem roteadores nem firewalls com regras para detonar os pacotes com ip source falseado...
Se alguem quizer fazer esta experiência maluca. É só pegar 4 computadores 1 com 3 placas de rede e 3 cabos cross... heheh !!!
Somente não vai ter utilidade alguma essa brincadeira ... a não ser que que deseje alguma espécie de segurança unilateral na comunicação...
Creio até que ligar 2 máquinas usando 4 placas de rede possa aumentar a performance da comunicação ... opa !! estou tendo um novo devaneio ... !!!
Bom quanto a esse negocio de mandar por um link e receber por outro eh bem complicado mesmo devido as questoes de segurança envolvidas e pq vc nao tem controle do caminho, ou seja o proximo roteador do seu pode estar esperando determinados ips, como os ips que chegam nao sao deles ele da um drop e acaba com a brincadeira, o que pode tentar eh fazer um load balancing com o ip route( nao obtive sucesso com isso) e ae meio que dividir o trafego pra melhorar a coisa, quanto ao seu segundo devaneio ele eh possivel ,existe um pacote que utiliza 2 plcas de rede como 1 so, so nao lembro do nome do pacote agora.
falows
Re: CONCLUSÃO SOBRE A LOUCURA PROPOSTA...
Eu tinha lançado este tópico com o objetivo de ter um link ADSL melhor aproveitado.
Pelo que percebi .. não adianta contratar um link de adsl com o download muito alto e querer compartilhar em muitos pontos ... esta idéia de se fazer upload por outro link (como o meu link da embratel que estava com folga no upload) não é operacional por motivos já vistos acima.
Compartilhar um link ADSL em muitos pontos significa um aumento de upload grande e esse era o meu problema principal, quando tentava-se compartilhar um adsl por muitos clientes o volume de upload fazia o link parecer lento apesar de existir sobra de download. Páginas não abriam porque as requizições GET simplesmente não chegavam aos servidores e etc... Os ADSL que eu tenho por aqui (speedy) fornecem na sua maioria 128 de upload.
O mais ideal é realmente colocar vários links ADSL menores. Deste modo a relação de distribuição entre os hosts melhora bastante. E pode-se "aliviar"o link principal da embratel até eles liberarem meu novo e ansiosamente esperado ampliamento de link .....
Ah !! e Muito Obrigado por postar
:)