Ola pessoal.
Estou estudando o iproute2 mas gostaria de uma ajuda! Estou precisando urgentemente colocar um firewall com entrada por adsl e saida pelo meu link da embratel, já que estamos esperando a liberacao de nossa ampliacao de link estamos tentando resolver provisoriamente.
O motivo de se fazer upload pela embratel é que o upload dos ADSL (speedy) é muito pequeno o que limita o uso do link para compartilhar em muitos pontos.
Como vcs tem resolvido este tipo de problema ?
Como vcs devem estar imaginando vai ser meio que um spoof de ip. Porque os pacotes que saírem pelo meu link com a embratel deverão estar (eu presumo) marcados com o ip-source o do ADSL e o meu Firewall vai ter que LEMBRAR disso...
[]s
Ric leite
-
14-02-2005, 16:35 #1ricleiteVisitante
iproute2 upload por um link e download por outro...
-
15-02-2005, 09:10 #2ricleiteVisitante iproute2 upload por um link e download por outro...
Vou reformular a pergunta com um pouco mais de informacao:
Eu imagino que o que eu falei eh possivel pois o tcp/ip pode se copmportar assim e se chama ip spoof (uma tecnica de ataque de redes, onde vc pode fingir ter um ip diferente do verdadeiro apesar de que a resposta da conexao (download) nao eh recebida pelo agressor e este tenta adivinhar o conteudo do download e continua mandando upload de dados. Jah vi isto no meu servidor de email, um RATO estava mandando e-mails spam dizendo que vinha de um IP que eu tinha aberto no relay, mas que eu nao usava pra nada e era interno da minha rede (colocando no FW uma regra com -j LOG eu pude logar os pacotes VINDO da internet mas com o ip de origem como se fossem da minha rede interna!!) ):
Acontece assim: vc gera um pacote na maquina de ip 200.x.x.12 dizendo que o destino eh 200.x.x.15 e a origem eh 200.x.x.1. O pacote quando entra na rede eh reencaminhado em direcao da maquina destino ... A maquina 200.x.x.15 VAI receber e responder, mas a resposta vai para a maquina 200.x.x.1.
Como no meu caso as DUAS maquinas (a que faz o upload e a que ira receber o download) sao a mesma maquina apenas usando interfaces e ips diferentes tudo que esta maquina (que eh o meu FIREWALL) deve fazer eh LEMBRAR que mandou um pacote: (uma possivel solucao para isto seria segundo o amigo Anderson Silva da lista linux-br: iptables -t nat -A POSTROUTING -o INTERFACE_EMBRATEL -j SNAT --to-source IP_SPEEDY )
Soh ainda nao testei na pratica, pois nao sei como os modulos de contrack vao se comportar. E alem disso o iproute2 deverah ser configurado para fazer a SAIDA por um LINK e a ENTRADA por outro, e este detalhe eu ainda nao domino pois o que se pode ver na maioria dos TUTOS que eu achei eh uma conexao que separa portas em links diferentes, porem nao vi ainda esta minha situacao particular, apesar dela ser teoricamente possivel...
Por favor perdoem-me o tamanho desta replica, mas acredito que por estar melhor detalhando este problema ele que pode servir de base para um melhor aprendizado coletivo e quem sabe um melhor aproveitamento de links de ADSL.
Ric Leite
-
16-02-2005, 15:49 #3ricleiteVisitante CONCLUSÃO SOBRE A LOUCURA PROPOSTA...
Apesar de não ter obtido nenhuma resposta neste forum sinto-me no dever de postar as conclusões e observações que obtive nesta minha louca jornada por uma melhor utilização do link de ADLS, afinal algumas pessoas eventualmente podem se beneficiar desse conhecimento:
Pra inicio de conversa É tecnicamente possivel fazer esta loucura de upload por um link e download por outro...
Somente um problema:
Por se tratar de um caso de ip spoof (ainda que com a melhor das intenções) muito provavelmente os pacotes "forjados" que seriam lançados no upload de um dos links seriam DESCARTADOS SUMARIAMENTE por regras nos roteadores do ISP.
O motivo é simples, pacotes com o source falseados são facilmente detectados no router mais proximo do cliente. E como na maioria desas ocorrencias é um ip spoof maldoso.os routers dão um silencioso DROP neles.
Ou seja. esse meu devaneio somente funcionaria se os roteadores do ISP estiverem MAL CONFIGURADOS .... ou sem proteção a ip SPOOF ...
Entretando a situação de se utilizar um link para download e outro para upload É uma realidade.
Segundo um amigo da facul é exatamente isso que é feito em links via satélite onde o download é enorme e o upload é uma mixaria... eles (upload e download) vão por 2 caminhos (inclusive meios de transmisão diferentes). É claro que neste caso não existem roteadores nem firewalls com regras para detonar os pacotes com ip source falseado...
Se alguem quizer fazer esta experiência maluca. É só pegar 4 computadores 1 com 3 placas de rede e 3 cabos cross... heheh !!!
Somente não vai ter utilidade alguma essa brincadeira ... a não ser que que deseje alguma espécie de segurança unilateral na comunicação...
Creio até que ligar 2 máquinas usando 4 placas de rede possa aumentar a performance da comunicação ... opa !! estou tendo um novo devaneio ... !!!
-
16-02-2005, 16:36 #4 Re: CONCLUSÃO SOBRE A LOUCURA PROPOSTA...
Bom quanto a esse negocio de mandar por um link e receber por outro eh bem complicado mesmo devido as questoes de segurança envolvidas e pq vc nao tem controle do caminho, ou seja o proximo roteador do seu pode estar esperando determinados ips, como os ips que chegam nao sao deles ele da um drop e acaba com a brincadeira, o que pode tentar eh fazer um load balancing com o ip route( nao obtive sucesso com isso) e ae meio que dividir o trafego pra melhorar a coisa, quanto ao seu segundo devaneio ele eh possivel ,existe um pacote que utiliza 2 plcas de rede como 1 so, so nao lembro do nome do pacote agora.
Postado originalmente por ricleite
falows
-
17-02-2005, 10:29 #5ricleiteVisitante Re: CONCLUSÃO SOBRE A LOUCURA PROPOSTA...
Eu tinha lançado este tópico com o objetivo de ter um link ADSL melhor aproveitado.
Pelo que percebi .. não adianta contratar um link de adsl com o download muito alto e querer compartilhar em muitos pontos ... esta idéia de se fazer upload por outro link (como o meu link da embratel que estava com folga no upload) não é operacional por motivos já vistos acima.
Compartilhar um link ADSL em muitos pontos significa um aumento de upload grande e esse era o meu problema principal, quando tentava-se compartilhar um adsl por muitos clientes o volume de upload fazia o link parecer lento apesar de existir sobra de download. Páginas não abriam porque as requizições GET simplesmente não chegavam aos servidores e etc... Os ADSL que eu tenho por aqui (speedy) fornecem na sua maioria 128 de upload.
O mais ideal é realmente colocar vários links ADSL menores. Deste modo a relação de distribuição entre os hosts melhora bastante. E pode-se "aliviar"o link principal da embratel até eles liberarem meu novo e ansiosamente esperado ampliamento de link .....
Ah !! e Muito Obrigado por postar
-
17-02-2005, 11:16 #6 iproute2 upload por um link e download por outro...
Cara se vc conseguir fazer balanceamento de varios adsls sem problemas com o iproute me passa ae, pois eu tentei implementar, mas ou com donwloads grandes, ou com hotmail, bancos, msn, tava dando problemas, se conseguir e puder me passar como fez ficaria grato.
falows
-
17-02-2005, 14:08 #7ricleiteVisitante iproute2 upload por um link e download por outro...
Faz um monitoramento mais detalhado e veja se o que está acontecendo não é este problerma de upload pequeno. Experimente o ntop pra fazer este monitoramento.. é fácil de instalar, vc só precisa de uma lib gd de mais chatinha ... ele gera em html os relatórios tem um webserver interno, vc só tem que apontar um browser pro ip do Firewall na porta 3000. Postado originalmente por ruyneto
Se vc tiver muitos clientes usando o link e o upload "estourar" acontecem problemas aleatorios como os que vc descreveu.
Mesmo tendo mais de um ADSL com o download alto .. o upload não passa de 128 (pelomenos nos sppedy que eu uso aqui!) ...
Isto limita bastante o uso dos ADSLs. Fica até mesmo mais pático usar mais de um ADSL mais "lentos" do que pegar um ADSL com a taxa de download maior... porque vc poderá combinar os uploads de 128 de todos os links ....
-
17-02-2005, 14:19 #8 iproute2 upload por um link e download por outro...
Cara em teste o que tava fazendo era balanceamento entre 3 adsls e um donwload do ftp, e no meio do download ele mudava o adsls e download parava, sera que eh congestionamento de upload?/ Postado originalmente por ricleite
Faz um monitoramento mais detalhado e veja se o que está acontecendo não é este problerma de upload pequeno. Experimente o ntop pra fazer este monitoramento.. é fácil de instalar, vc só precisa de uma lib gd de mais chatinha ... ele gera em html os relatórios tem um webserver interno, vc só tem que apontar um browser pro ip do Firewall na porta 3000. Postado originalmente por ruyneto
Se vc tiver muitos clientes usando o link e o upload "estourar" acontecem problemas aleatorios como os que vc descreveu.
Mesmo tendo mais de um ADSL com o download alto .. o upload não passa de 128 (pelomenos nos sppedy que eu uso aqui!) ...
Isto limita bastante o uso dos ADSLs. Fica até mesmo mais pático usar mais de um ADSL mais "lentos" do que pegar um ADSL com a taxa de download maior... porque vc poderá combinar os uploads de 128 de todos os links ....
falows
-
18-02-2005, 10:38 #9Visitante iproute2 upload por um link e download por outro...
De qualquer maneira um bom monitoramento do que está acontecendo com o link nesses casos é essencial. Pra te dizer a verdade eu nunca vi este tipo de comportamento de ficar mudando de link no meuio de um download (ainda que não fiquei prestando atenção) .. mas de qq maneira ele não deve para ou interromper o link e perder o download. Postado originalmente por ruyneto
Problemas no ADLS não são tão raros de acontecer. e em muitos lugares que eles tem juntores sobrecarregados o ADSL pode perder sincronia.
Se este problema for constante, vc deve pedir pra que eles façam uma checagem.
Tente ver se as interfaces do seu FW estão SEM erros de TX e RX. com o comando ifconfig (sem parametros) verifique se nào existem colisões nem erros, as linhas devem estar assim:
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
Claro que isso é pra vereficar se a perda é local. pra verificar o adsl vc pode pingar nos ips da rede do adsl ... pode ser que esteja perdendo pings depois de uns minutos ... pingre umas 200 vezes e cheque se dá erro.
Não aceite taxas de erro grandes. Pede pra eles verificarem.
Faz assim:
Dá um traceroute para fora de sua rede... pode colocar um ip de outro provedor conhecido.
O traceroute vai voltar os ips dos roteadores que vc passa na sequancia ... anote uns 2 ou 3 ips de roteadores.
Depois dê um longo ping nesses roteadores
ping -c 200 IP_DO_ROTESADOR_ADSL_EXTERNO
Examine a ultima linha do ping:
200 packets transmitted, 200 received, 0% packet loss, time 9008ms
Se der 0% de packet loss então vc pode estar realmente com algum problema no seu FW.
Ah .. uma ultima coisa ... não se esquece de usar no seu FW o modulo de ftp_conntrack ...
-
19-02-2005, 01:28 #10ricleiteVisitante iproute2 upload por um link e download por outro...
De qualquer maneira um bom monitoramento do que está acontecendo com o link nesses casos é essencial. Pra te dizer a verdade eu nunca vi este tipo de comportamento de ficar mudando de link no meuio de um download (ainda que não fiquei prestando atenção) .. mas de qq maneira ele não deve para ou interromper o link e perder o download.
Problemas no ADLS não são tão raros de acontecer. e em muitos lugares que eles tem juntores sobrecarregados o ADSL pode perder sincronia.
Se este problema for constante, vc deve pedir pra que eles façam uma checagem.
Tente ver se as interfaces do seu FW estão SEM erros de TX e RX. com o comando ifconfig (sem parametros) verifique se nào existem colisões nem erros, as linhas devem estar assim:
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
Claro que isso é pra vereficar se a perda é local. pra verificar o adsl vc pode pingar nos ips da rede do adsl ... pode ser que esteja perdendo pings depois de uns minutos ... pingre umas 200 vezes e cheque se dá erro.
Não aceite taxas de erro grandes. Pede pra eles verificarem.
Faz assim:
Dá um traceroute para fora de sua rede... pode colocar um ip de outro provedor conhecido.
O traceroute vai voltar os ips dos roteadores que vc passa na sequancia ... anote uns 2 ou 3 ips de roteadores.
Depois dê um longo ping nesses roteadores
ping -c 200 IP_DO_ROTESADOR_ADSL_EXTERNO
Examine a ultima linha do ping:
200 packets transmitted, 200 received, 0% packet loss, time 9008ms
Se der 0% de packet loss então vc pode estar realmente com algum problema no seu FW.
Ah .. uma ultima coisa ... não se esquece de usar no seu FW o modulo de ftp_conntrack ...
Citação
