Nesse artigo mostrarei como configurar, iniciar e autenticar 2 (dois) links ADSL em um mesmo servidor, além de fazermos um balanceamento nesses links aliviando muito o tráfego de nossa rede. Falaremos também um pouco sobre roteamento avançado em Linux, pois iremos usar esse incrível recurso disponível para fazer o balanceamento.
Da forma que fizemos agora, todos os pacotes com destino a serviços http sairão pelo segundo link (ppp1) e o restante irá sair pelo primeiro link (ppp0). A rota padrão na tabela main é ppp0 e a rota padrão da tabela "velox2" é ppp1.
Suponhamos que eu quero retirar a regra que incluirmos na tabela "velox2" fazendo com que todo o tráfego saia pelo primeiro link (ppp0). Observem a seguinte seqüência de comandos:
# ip rule del fwmark 1 lookup velox2
# ip route flush cached
Pronto. Todo o tráfego já está saindo nesse momento pelo primeiro
link (ppp0). Repare que só excluindo a regra que inserimos na tabela
"velox2" deixa a rota default na tabela "velox1". Ou seja,
podemos inserir quantas rotas quisermos, mas de nada adianta se não
existirem regras para utilização dessas rotas.
Agora irei fazer diferente. Como excluir a regra que tinha colocado na
tabela "velox2", terei que criá-la novamente, porém irei fazer um
roteamento por ip de origem para flexibilizar um pouco mais o artigo.
Observe a seguinte seqüência de comandos:
# ip rule add from 10.12.0.20 lookup velox2
# ip rule add from 10.12.0.21 lookup velox2
# ip rule add from 10.12.0.22 lookup velox2
# ip route flush cached
Como podemos observar, inseri regras na tabela "velox2" dizendo que todos os pacotes cujo ip de origem seja 10.12.0.20, 10.12.0.21 e 10.12.0.22 devem sair pelo segundo link de internet (ppp1). Posso também atribuir uma regra para uma rede inteira.
NOTA: Eu não precisaria excluir a primeira regra referente a marcação de pacotes que criei pela primeira vez. Poderia muito bem deixar saindo pelo segundo link (ppp1) todos os pacotes com destino aos serviços de http além dos ip´s 10.12.0.20, 10.12.0.21 e 10.12.0.22.
Nesse capítulo pretendi abordar o básico sobre Advanced Router. Todos sabemos que a documentação sobre o pacote iproute2 é bastante escassa. Falta falar sobre prioridades de regras, custo de roteamento dentre outros. Mas quem quiser aprender mais sobre esses recursos, é só da uma pesquisada na internet que irá achar bastante.
Também decidi escrever aqui em cima do velox, pois tive uma certa dificuldade para configurar e autenticar 2 velox em um mesmo servidor, mas nada impede de você usar esses recursos em links dedicados mesmo (o que funcionaria melhor devido a não necessidade de autenticação).
Espero que ao lerem esse artigo, consigam visualizar com um pouco mais de clareza esse recurso fantástico disponível no kernel do Linux, podendo adaptar as suas necessidades de implementação.
Dúvidas, críticas ou sugestões são bem vindas! É só mandar um e-mail que responderei a medida do possível.
Agradecimentos
Gostaria de agradecer a toda comunidade VOL, onde ampliei muito meus conhecimentos no mundo Linux, mas também gostaria de agradecer a um membro fundamental para que eu pudesse escrever esse artigo. O nome dele é Patrick Brandão.
Se não fosse as explicações que ele me deu, nada disso sairia. Toda a documentação que tenho sobre o pacote iproute2 foi ele quem me passou, além de me explicar com maior paciência. Usei nesse artigo algumas palavras e frases usadas por ele ao me explicar esses recursos, uma vez que ele é um pesquisador ativo nessa área.
[2] Comentário enviado por guilhermerezende em 30/11/2005 - 02:14h
Só se for em link síncrono e tem que ser feito em conjunto com sua operadora. Ex: 2 links de 2MB cada. Mas isso não da para fazer com NAT e sim com ips roteáveis na internet.
[5] Comentário enviado por agk em 30/11/2005 - 14:06h
Muito o artigo, parabéns. Realmente parece bem complexo esse processo de adicionar dois links em um mesmo servidor, mas o artigo está dez, com essas explicações fica mais fácil.
[6] Comentário enviado por patrickbrandao em 30/11/2005 - 17:04h
SHOW!!!!!
Muito legal mesmo Guilherme!
Andei descobrindo muita coisa e em breve vou escrever meu artigo sobre roteadores linux, que também vai ser minha tese na faculdade!
[7] Comentário enviado por luiscarlos em 01/12/2005 - 10:06h
Sempre quis saber como realizar essa proeza que acabou de demonstrar e agora vc me entrega de mão beijada, simplesmente nota 10, eu que não tinha idéia de como começar a resolver esse tipo de problema consegui entender tudo, seu artigo está mais que ótimo, parabéns!!!!!!!
[8] Comentário enviado por duduellery em 01/12/2005 - 17:54h
Guilherme, o artigo é muito bom e sanou minhas dúvidas, principalmente no que diz respeito as regras. Só que possuo um servidor com squid e as contas de correio ficam nele tb, o que não vai adiantar muito já que o localhost não "respeita" essas regras. Existe alguma maneira de obrigar ele a seguir as regras criadas?
[9] Comentário enviado por terranova em 01/12/2005 - 21:12h
Tem como fazer esse balanceamento com um link adsl (speedy) e um link que pega ip por dhcp sem precisar se autenticar (virtua)?
Seu artigo ficou muito bom, parabéns.
[10] Comentário enviado por guilhermerezende em 02/12/2005 - 09:22h
Respondendo ao menbro duduellery. Tem sim, é so vc colocar o "default gateway" na tabela default e não na tabela main, mas não aconselharia vc a fazer isso. Lembres-se que suas contas de e-mails estão no próprio servidor, o que não vai adiantar muito mexer com rotas!!
Respondendo ao menbro terranova. Nesse artigo eu abordei o uso do velox que tbm usa ip dinâmico! Por isso tem sim! Seu ip sendo dinâmico, ele vai mudar sempre, mas provavelmente o ip do router não vai mudar,(velox é assim) e é desse ip que vc precisa para aplicar as rotas e regras de roteamento.
[11] Comentário enviado por tuxlinuxbr2 em 02/12/2005 - 14:56h
muito bom seu artigo!!! parabéns!!! olha... tem como voce compartilhar seus scripts para autenticacao, tipo assim o ip sempre vai mudar entao... teriamos "teoricamente" que fazer isso na mao nao é verdade? porém se puder compartilhar o script p/ fazer isso automatico agradeço.
[12] Comentário enviado por wtm em 09/12/2005 - 20:03h
Olá Guilherme, primeiramente parabéns pelo artigo!
Verificando o comentário do duduellery observei a situação semelhante com a que tenho, o meu servidor também tem o squid e com isso eu não consigo fazer a saída do "http" ir pelo link que eu quero, vi que você mencionou colocar o "default gateway" na tabela default, fiz isso mas também não funcionou, alguma sugestão? Abraço!
Adicionado:
Olá Guilherme, vendo este site: http://wiki.luizgustavo.pro.br/doku.php?id=artigos_geral:rotasquid#discussion
Tem uma informação sobre o "tcp_outgoing_address" que segundo o site você pode definir qual o gateway que o squid deve utilizar, fiz o teste mas não funcionou, apresentou o erro de "Cannot assign requested address" e "Socket Failure".
Abraço!
[13] Comentário enviado por guilhermerezende em 12/12/2005 - 10:42h
Normalmente as pessoas usan o parâmetro citado acima no squid.conf(tcp_outgoing_address), mas eu nunca usei.
Tenta colocar algo como em seu squid.conf
Tcp_outgoing_address 200.x.x.x #que seria o segundo gateway
[14] Comentário enviado por CesarFilho em 14/12/2005 - 02:41h
Olá, parabens pelo artigo...
Usei este artigo apenas para ter 2 ips na mesma maquina, pelo mesmo processo citado por você acima.
Rodo servidores http, ftp e etc.
Meu problema é que mesmo depois de subir e autenticar as 2 conexões o ip da segunda fica inacessível "por fora"! Meus servidores são normalmente acessados externamente pelo ip de ppp0 mas não pelo ip de ppp1...
Vale lembrar que configurando ppp1 como ip "padrão" da rede eu consigo acessar qualquer site, qualquer servidor e etc (indicando que o ip esta ativo e autenticado).
Vocês têm alguma idéia do que pode estar causando isso?
Agradeço desde já!
[15] Comentário enviado por guilhermerezende em 14/12/2005 - 18:09h
Isso acontece porque a rota padrão na tabela "main" é rota de ppp0. O pacote até chega na sua interface ppp1 quando vc tenta acessa-lo de fora, porém ele se perde quando tenta retornar a origem, pois ele tentará voltar pela ppp0. Isso até teria que funcionar em link síncronos, mas acredito que deve ser as tabelas de roteamento dos routers da telemar que não deixa isso acontecer.
Abs e espero que consiga entender. Eu nem me toquei nesse pequeno detalhe!!!!
[16] Comentário enviado por CesarFilho em 14/12/2005 - 23:09h
Entendí sim =) Eu realmente já estava imaginando que poderia ser isso pois eu tava tendo problemas quando configurava ppp1 como ip padrão para uso externo; neste caso ppp0 ficava inacessível de fora...
De qq forma vlws! Vou tentar resolver... Se tu tiver alguma idéia de como fazer isso, se possível, escreva outro artigo pois acho q ajudará muita gente!
[]'s
[18] Comentário enviado por guilhermerezende em 05/01/2006 - 11:52h
Estarei sempre publicando o de que puder ser de melhor para a toda a comunidade! Qualquer coisa estamos ai! Abraços e suscesso com o Linux em seu trabalho
[20] Comentário enviado por Foxtor em 30/04/2006 - 08:10h
E ai Guilherme blz?
Primeiramente PARABENS pelo artigo.
Olha só, estou com um probleminha aqui pra fazer um roteamento. Tenho dois modens discados um USR Externo e outro Smartlink PCI. Os dois conectam normalmente e ao mesmo tempo. O Smartlink esta configurado na porta /dev/modem (ppp0) , e o USR esta na porta /dev/ttyS0 (ppp1), como disse conecto os dois ao mesmo tempo sem problemas de conflito nem nada, mas so consigo usar uma conexao por vez.
Agora te pergunto, como faço pra redirecionar as duas conexoes em uma? Pois ja andei pela internet afora e nao encontrei nada q me sirva e como tambem estou iniciando no linux necessito de uma ajudinha.So acrescentando q eu gostaria de fazer isso num unico PC q nao faz parte de uma rede.
Caso possa me esclarecer essa duvida e me ajudar a configurar fico muito grato, pois estou realmente precisando fazer esse roteamento.
Obrigado. Abraço.
[21] Comentário enviado por JoaoJunior em 26/07/2006 - 18:29h
####################
"Adicionado:
Olá Guilherme, vendo este site: http://wiki.luizgustavo.pro.br/doku.php?id=artigos...
Tem uma informação sobre o "tcp_outgoing_address" que segundo o site você pode definir qual o gateway que o squid deve utilizar, fiz o teste mas não funcionou, apresentou o erro de "Cannot assign requested address" e "Socket Failure".
Abraço!
Comentário enviado por guilhermerezende em 12/12/2005:
Normalmente as pessoas usan o parâmetro citado acima no squid.conf(tcp_outgoing_address), mas eu nunca usei.
Tenta colocar algo como em seu squid.conf
Tcp_outgoing_address 200.x.x.x #que seria o segundo gateway
"
####################
ola ...
tenho um link dedicado telemar e um velox ...
consegui fazer mesmo antes de ver seu artigo que por sinal, ficou mto show.. bom.. quanto ao squid, dá certo... pois tbm o fiz..
#crie uma acl
acl Rota_Link url_regex msn.com gateway orkut.com
#crie a saida atraves da Link
tcp_outgoing_address 200.200.200.200 Rota_Link
#crie a saida atraves do velox, repare que todo resto sai pelo velox...
tcp_outgoing_address 192.168.1.2 all
[22] Comentário enviado por cams em 25/10/2006 - 09:05h
show de bola ...muito detalhado seu artigo..parabens vou v se consigo implementar aqui na empresa...tava mesmo precisando de um artigo desse tipo.....e mais uma vez
[26] Comentário enviado por capitainkurn em 20/11/2006 - 16:11h
Excelente artigo! Parabéns e obrigado por compartilhar com a comunidade seu trabalho!
Meus parabéns ao Patrick também, com quem tive a satisfação de trabalahar ele é uma pessoa formidável.
[27] Comentário enviado por arcanjo2891 em 29/11/2006 - 17:02h
Guilherme, show de bola seu artigo, sou novato aqui na comunidade.
Não seria interessante você inserir a autenticação direto no modem da telemar ? Eu autentico minha conexão direto no speed stream 5200 que eu tenho... Tenho um provedor wireless de banda larga rodando infelizmente ainda com windows xp com 3 velox de 2 MB. ainda estou em duvida em qual controle de banda fazer, se vai ser com cbq ou com squid... estou lendo varios artigos aqui neste site falando sobre os dois... sei que acabei fugindo do seu artigo mas sabe dizer se consigo trabalhar com squid e cbq ao mesmo tempo ?
por que da pergunta?
Gostaria de controlar a banda para 600k pra todo mundo, porém se a pessoa estiver baixando algum arquivo que esteja no cache do squid, queria que baixasse na velocidade da rede local, atualmente 54Mb(por ser wireless).
No XP consegui atingir rodando o FreeProxy 5MB(acreditem é MegaByte não Megabit)
Acredito que com Linux consiga mais, Não aguento mais travamentos do XP.
[31] Comentário enviado por gzanatta00 em 09/04/2007 - 12:38h
amigo tenho dois adsl, meu servidor tem 3 links, quando coloco o squid os clientes comecao a navegar tudo pelo mesmo link....
tem alguma configuracao dentro do squid que possa deixa isso normal?
[34] Comentário enviado por joabes em 19/05/2007 - 11:42h
Caros, algun dos amigos teve esse problema e como resolveram.
O load funciona blz, só que consume uma alta taxa de disco, é impressionante como ele consome disco do servidor, como fazer para corrigir isso ou limpar?
[39] Comentário enviado por santocyber em 30/07/2007 - 15:05h
Estou tentando fazer isso mas nao funciona, alguem poderia me ajudar, nao consigo nem pingar o modem do segundo link, como posso resolver esse problema!
[44] Comentário enviado por awesley em 12/09/2007 - 23:22h
Primeiro Parabens pelo artigo !
mas preciso de um help.
Estou usando o ubuntu 7.04 como roteador firewall
A estrutura é o seguinte:
02 links de entrada:
eth1: 200.204.xx.xx ( fixo )
eth2: 201.200.xx.xx ( fixo )
01 link para rede local
eth0: 192.168.x.x
o que eu preciso é apenas fazer uma redundancia... se o link 1 cair o outro assume automaticamente, porém qdo. esse link "1" voltar , ele assume a responsa.. pois ele é melhor que o numero 2.
Se o link 1 cai, o link 02 não assume, a não ser que eu fisicamente execulte um ifdown eth1, ai o link 2 assume na hora.
Qdo. o link 1 volta ( eu tenho que dar um ifup eth1 ) e ele não se torna principal.. todos continuam saindo pelo link 2
Para que o link 1 assuma novamente eu tenho que executar um ifdown eth2
Podem me ajudar.
No Debian, qdo. um cabo de rede é retirado ele manda uma mensagem de " cabo desconectado " mas não execulta ifdown.. pode ser um começo de ideia.
mas o problema é que eu não sei qual o serviço que é responsável por isso !
[45] Comentário enviado por beto_rvs em 25/09/2007 - 20:21h
Estou tendo problemas com roteamento aqui.
o PPPoE tá estranho e deem uma olhada na minha saída do ip route:
200.217.72.144 dev ppp0 proto kernel scope link src 201.58.197.2
192.168.10.0/24 dev eth1 proto kernel scope link src 192.168.10.100
default dev ppp0 scope link
to achando estranho após o default nao devia ser assim:
default "via ip" dev ppp0 scope link
[47] Comentário enviado por renatopradop em 12/10/2007 - 09:30h
So pra facilitar um pouco sua vida, vc poderia deixar os modens roteados, que assim eles mesmos se conectam sem precisar usar o autenticador do linux, onde eles mesmos ficam responsaveis pela reconexao no caso de uma queda do link, e pode implementar mais ainda, fazendo um script caso o link caia, ele te avise por e-mail - no caso de vc ter email interno logicamente-, no mais ta muito boa essa solucao, parabens... um abraco.
[51] Comentário enviado por bl4z3 em 17/01/2008 - 09:25h
massa o artigo, eu estava procurando algum jeito de direcionar o trafego para 1 link. Http pra link1 e o resto pra link2, vc chegou a fazer algo assim pelo iptables?
[53] Comentário enviado por ricardorf7 em 25/01/2008 - 16:30h
Muito bom, vou utilizar aqui na minha rede, no meu caso vou usar para manter um link inteiro dedicado ao meu servidor WTS, então vou marcar os pacotes que chegarem pela porta 3389 do link 01, saiam por ele mesmo sendo que o gateway defalt sera o do link 02.
[58] Comentário enviado por lanaf em 09/01/2009 - 17:12h
Amigo eu acho que estou precisando exatamente disso, me diz uma coisa essa solução server pra situação abaixo:
Estou montando um proxy que possui 4 placas de rede 2 para links de internet sendo que um e uma rede de fibra e a outra e um link contratado com uma operadora de telecomunicação e as outras duas para Rede interna e DMZ, o que eu preciso e que quando um dos link s de internet ficar inoperante o outro automaticamente fique ativo sem que o pessoa fique sem o acesso a internet.
[59] Comentário enviado por cytron em 10/01/2009 - 00:39h
lanaf, o que você precisa é de Bonding. Utilizando essa técnica seu servidor coloca os dois links para responder como se fosse apenas um, mas somando as velocidades. Se você tem dois links de 2 Mb então você terá apenas um link de 4 Mb. Se um dos links fique down então o outro continua normalmente, quando ele voltar tudo continua como antes. Dá uma olha esses dois artigos:
Depois que passei a utilizar bonding parei de ter ataques do coração hehehehe! Nem me lembro que tenho links.
Essa técnica pode ser aplicada também em algumas áreas da sua rede, "dobrando" a velocidade de comunicação entre servidores e garantindo a alta disponibilidade no caso de defeitos em cabos ou placas. (Quem não tem fibra ótica... usa Gigabit + Bonding)
[64] Comentário enviado por deivis em 13/01/2009 - 22:00h
O comentário que iniciou a discução enviado por lanaf, questiona a possibilidade de redundância e balanceamento de carga.
Você disse que fez isso com Bonding, eu questionei sobre a rota padrão, e você disse que o artigo do guilhermerezende exemplificava a solução, porém ao meu ver a solução garante um certo balanceamento de carga explorando a divisão de saída dos fluxos por tipo de tráfego utilizando tabelas de roteamento.
Porém se o link responsável pelo tráfego HTTP por exemplo for abaixo, não existirá redundância.
Novamente voltamos ao questionamento do lanaf.
"Como fazer balanceamento de carga e redundância DO ACESSO À INTERNET?"
[65] Comentário enviado por cytron em 13/01/2009 - 22:40h
Tá certinho deivis, eu errei ao colocar o segundo link, mas já corrigi.
Só lí o início, nem percebi que tinha uma marcação de pacotes.
O segredo é ter as placas de rede com os links, criar as tabelas com a rota para cada link, fazer o bonding e unir as ethX em uma única interface bondind, que se encarrega automaticamente de fazer o balanceamento entre as interfaces, nesse momento os pacotes são endereçados aos respectivos gateways. Se uma interface morrer o bonding passa a enviar os pacotes somente pelas interfaces que estao ok, e fica verificando quando é que a interface volta.
Mas pra falar a verdade não gostei muito desse bonding depois que minha rede ficou mais complexa, estou desenvolvendo um balanceador, esse script faz um balanceamento mais a fundo, mas é utilizando técncas de controle de pacotes com iproute2. Pois minha rede conta com vários links, onde separo os grupos de clientes em planos distintos e alguns protocolos, assim posso aproveitar melhor os links que possui desemenhos diferenciados, como um link de 4 mb da Embratel e 4 mb da Oi, são bem diferentes.
Quando meu script estiver pronto vou colocar no VOL.
[67] Comentário enviado por lanaf em 26/01/2009 - 18:11h
Amigos, uma outra duvida, a velocidade de cada link e e os endereços validos são diferentes, usando o bonding funciona ou não ?
Andei testando achei muito maneiro pois veio a duvida acima.
VAleu
...estou conseguindo o Proxy Transparente e a questão do balanceamento, o problema é que meu sistema de controle de banda usando o CBQ.sh parou de funcionar, não se se pelo fato de que com o balanceamento passamos a ter 2 saídas para a NET e com isso o CBQ não consegue monitorar.
[69] Comentário enviado por clicsis em 13/02/2009 - 08:56h
Bom dia.
Fiz o balanceamento, já consegui resolver a questão do CBQ só que:
Todo o tráfego está se concentrando no 1º link e só passa para o 2º link caso o 1º pare. O desejado seria que, caso houvesse uma demanda acima de 1MB que é capacidade de cada um dos link, o 2º pasasse a ser usado ou então que o tráfego fosse a todo momento dividido entre os dois links, alguem sabe o que pode está acontecendo?
[70] Comentário enviado por terranova em 15/04/2009 - 14:50h
Estou efetuando o balanceamento conforme o artigo só que estou utilizando 2 links da CTBC e esta ocorrendo o seguinte:
Redirecionei todo o trafego de minha maquina para sair pelo segundo link e quando faço um ssh para um servidor que esta fora da minha rede em um cliente que tem virtua consigo efetuar o login normalmente, agora quando faço o ssh para outro servidor que esta na matriz da empresa que esta utilizando um speedy não consigo efetuar login, verifico nos logs que o servidor da matriz gera e a requisição de ssh chegou lá, mas não aparece pedindo a senha pra mim.
Isso pode ser problemas no speedy ?
[71] Comentário enviado por demattos em 20/05/2009 - 21:03h
Boa Noite, estou fazendo conforme o artigo propoe mas surgiu uma duvida eu tenho um link dedicado da Brt de 2Megas eu queria aplicar o artigo somente para ter rotas de saidas com ip diferente ou seja para q minha rede nao sai somente por um ip e saia por outro, entao fiz o seguinte criei uma vlan e adcionei mais um ip a minha rede. so quando adiciono a regra a tabela q criei, regra esta para um ip somente saia por esta vlan, quando dou um ping ele mosntra o ip da vlan que pretendo sai para internet nao alcansou o Host. Poderia me dar uma luz.
[72] Comentário enviado por salatieldias em 29/05/2009 - 02:04h
Parabens Otimo artigo. consegui aplicar essas dicas em um servidor usando dois links da vivo 3g
direcionei parte da rede pra um link e o restante pra outro. ficou muito bom. graças a você
Meus parabens. Obrigado.
[73] Comentário enviado por srf em 11/06/2009 - 12:10h
Olá Guilherme, muito bom seu artigo...
Tenho um cenário parecido... talves possa me ajudar...
Até então eu só tinha um link 1 MB ADSL, a autenticação era feita pelo modem que tinha ip 10.0.0.1 que era o gateway da minha rede
e 10.0.0.2 ip da eth1 ligada no modem e 192.168.0.254 ip eth0 que era o gateway da rede interna....
Tudo funcionava... agora foi instalado um link dedicado para e-mails onde este passou a ser o link principal e o adsl o passou a ser o
secundario... preciso fazer sair somente a navegação pelo ADSL...
Pergunta: Se eu mater a autenticação no modem e trabalhar com os IPs 10.0.0.1 e 10.0.0.2 isso irá funcionar...
Pois tentei fazer e não funcionou...
[76] Comentário enviado por pairus em 13/01/2010 - 08:59h
terranova vc esta com o mesmo problema que eu!
eu ainda não consegui resolver de uma maneira bonita!, mais pelo que tudo indica o problema esta no gateway padrão. O pacote chega por uma rede (a alternativa) e é respondido pela principal conforme configurado no route, com isso o pacote se "perde".
[77] Comentário enviado por linkdedicadooi em 02/02/2010 - 18:54h
descontos em link dedicado em ate 98% cancelamento de dividas antigas de link e fixo contestaçao de link contestaçao de fixo descontos em ipconnect
msn linkdedicadooi@hotmail.com on line de 11 as 13 e 23 as 1
ow mande email para linkdedicadooi@yahoo.com.br que responderei suas duvidas
[78] Comentário enviado por gustavo_cn em 20/08/2010 - 14:13h
Muito bom o artigo... a Minha dificuldade é que tenho 2links sendo que um é uma VPN e outro Sppedy com Ip fixo... só que já tenho um gateway da VPN que vou nomear aqui de "192.168.0.1" e o Speedy como "187.11.0.1". Pergunta: Como é possivel um micro "X" fazer o gateway das duas NTs, e o controle de saida ser feito no Firewall?
[80] Comentário enviado por willian.barker em 15/02/2011 - 09:49h
Bom dia, quando eu retiro a regra de marcação e coloco a regra "ip rule add from 192.168.1.1" lookup "tabela" a estação que estou testando, fica lento a navegação e quando disparo um ping para uma página da web, também fica lento. O que pode ser? obrigado.
[81] Comentário enviado por willian.barker em 15/02/2011 - 10:51h
Dê uma olhada nos dois testes que fiz com ping o primeiro teste é com marcação da porta 80 e o segundo teste é por ip rule add from ipestacao table tabela.
O problema é que quando eu coloco regra por marcação eu cosigo navegar beleza pela estação, mas quando eu coloco a regra acima a conexão fica lenta.
1º teste:
****************************************************************************
PING google.com (64.233.163.104) 56(84) bytes of data.
64 bytes from bs-in-f104.1e100.net (64.233.163.104): icmp_req=1 ttl=250 time=165 ms
64 bytes from bs-in-f104.1e100.net (64.233.163.104): icmp_req=2 ttl=250 time=166 ms
64 bytes from bs-in-f104.1e100.net (64.233.163.104): icmp_req=3 ttl=250 time=173 ms
64 bytes from bs-in-f104.1e100.net (64.233.163.104): icmp_req=4 ttl=250 time=175 ms
64 bytes from bs-in-f104.1e100.net (64.233.163.104): icmp_req=5 ttl=250 time=196 ms
64 bytes from bs-in-f104.1e100.net (64.233.163.104): icmp_req=6 ttl=250 time=182 ms
2º teste:
****************************************************************************
PING google.com (64.233.163.104) 56(84) bytes of data.
64 bytes from bs-in-f104.1e100.net (64.233.163.104): icmp_req=1 ttl=53 time=211 ms
64 bytes from bs-in-f104.1e100.net (64.233.163.104): icmp_req=2 ttl=53 time=63.3 ms
64 bytes from bs-in-f104.1e100.net (64.233.163.104): icmp_req=3 ttl=53 time=55.4 ms
64 bytes from bs-in-f104.1e100.net (64.233.163.104): icmp_req=4 ttl=53 time=57.4 ms
64 bytes from bs-in-f104.1e100.net (64.233.163.104): icmp_req=5 ttl=53 time=56.1 ms
64 bytes from bs-in-f104.1e100.net (64.233.163.104): icmp_req=6 ttl=53 time=57.5 ms
64 bytes from bs-in-f104.1e100.net (64.233.163.104): icmp_req=7 ttl=53 time=328 ms
64 bytes from bs-in-f104.1e100.net (64.233.163.104): icmp_req=8 ttl=53 time=57.4 ms
64 bytes from bs-in-f104.1e100.net (64.233.163.104): icmp_req=9 ttl=53 time=56.6 ms
64 bytes from bs-in-f104.1e100.net (64.233.163.104): icmp_req=10 ttl=53 time=71.8 ms
64 bytes from bs-in-f104.1e100.net (64.233.163.104): icmp_req=11 ttl=53 time=61.0 ms
64 bytes from bs-in-f104.1e100.net (64.233.163.104): icmp_req=12 ttl=53 time=56.4 ms
64 bytes from bs-in-f104.1e100.net (64.233.163.104): icmp_req=13 ttl=53 time=336 ms
[82] Comentário enviado por lf_sm em 05/07/2011 - 12:31h
pessoal estou com um outro problema, que estou na seguinte situação
efetuei a configuração de acordo com o tutorail e ficou show, porém tenho uma necessidade especifica
ao redirecionar a porta 9000 do link 2, a mesma passa a informação para rede LAN, porém na resposta da rede tenho a saida pelo link 1.
estou quebrando cabeça a um tempo e não consegui achar uma solução.
marquei os pacotes, ja configurei na tabela mangle, porém so consigo responder pelo link 1 assim o contexto de comunicaçao não consegue ficar estabelecido pelo protocolo tcp/ip.
[83] Comentário enviado por andfeh em 11/08/2011 - 00:24h
Bom dia lf_sm, cara eu uso o que vou te passar para controlar banda pelo mac, mas ja usei para fazer o que precisando, o segredo ta em utilizar a marca de conexão (connmark), só que a connmark nunca sai do iptables, entao tem que fazer o connmark associado a um mark, ai vc faz a marca nos pacotes para utilizar no ip route!
assim:
iptables -t mangle -A INPUT -m mac --mac-source ${MACOFF} -j CONNMARK --set-mark 213
iptables -t mangle -A POSTROUTING -m connmark --mark 213 -j MARK --set-mark 213