Utilizar saída somente por 1 link [RESOLVIDO]

jmuramatsu
(usa Ubuntu)

Enviado em 05/12/2011 - 12:14h

Olá PessoALL

Tenho 2 links (1 speedy - ip fixo e 1 virtua - ip dinâmico) e consegui fazer o load balance pros 2 links seguindo a dica no http://www.vivaolinux.com.br/topico/Redes/Load-balance-com-IP-fixo-+-IP-dinamico-Debian.

Agora vem a parte mais difícil :)

Como tenho 2 links com peso 1 pra 3 (1 conexão pro Speedy pra cada 3 do Virtua) está dando problema em site de bancos ou que precisem de login, porque quando acesso o site e digito o login vai de boa, mas quando clico em algum link depois de logado ele as vezes redireciona pra tela de login novamente, creio eu que por causa do balanceamento, já que ele deve estar pegando um IP diferente alternadamente.

Tentei adicionar a opção tcp_outgoing_address no squid.conf (squid3) mas não funciona:

acl bancos url_regex caixa.gov.br,bb.com.br,itau.com.br,hsbc.com.br,santander.com.br,bancoreal.com.br,bradesco.com.br,unibanco.com.br
tcp_outgoing_address 189.10.210.25 bancos #IP fixo do Speedy
http_access allow bancos
no_cache deny bancos
always_direct allow bancos

Ele começa com o IP fixo, mas não sei porque depois que logo ele não segue com o mesmo IP.

Tentei adicionar o IP na tabela pra sair pelo Speedy mas também não obtive sucesso:

#ip rule add from 10.10.10.101 lookup speedy #o IP da máquina tem que sair pela tabela speedy
#ip route flush cached

Mas ele teima em não sair pelo Speedy :(

Será que alguém pode me dar uma luz?

Valeuuuu

jmuramatsu
(usa Ubuntu)

Enviado em 07/12/2011 - 14:14h

A idéia é o IP 10.10.10.101 sair somente pelo link speedy.

A marcação no firewall pro IP 10.10.10.101:
iptables -t mangle -A PREROUTING -p tcp -s 10.10.10.101 -j MARK --set-mark 6

No iproute tá lá (todos com marcação 6 sairem pelo speedy):
from all fwmark 0x6 lookup speedy

No #ip route show table speedy tá lá as rotas (as rotas com gateway e ip parecem certas):
189.10.210.0/24 dev eth1 scope link src 189.10.210.25
default via 189.10.210.1 dev eth1

Mas quando acesso qualquer site pelo IP 10.10.10.101 ele mostra o IP do outro link, ele não sai obrigatoriamente pelo speedy, ele faz o load balance entre os 2 links, ora saindo por um IP ora por outro.

jmuramatsu
(usa Ubuntu)

Enviado em 09/12/2011 - 16:10h

Consegui, não me perguntem por que, mas eu estava pondo as configs "na mão", ia digitando no console e não estava dando certo, adicionei as linhas:

#iptables -t mangle -A PREROUTING -i $ETH_LAN -p tcp --dport 443 -j MARK --set-mark 6
#iptables -t mangle -A OUTPUT -p tcp --dport 443 -j MARK --set-mark 6
#ip rule add fwmark 6 table speedy
#ip route flush cache

No script do firewall e deu certo, ele sai com o IP do speedy pro HTTPS, agora não sei por que se coloca digitando no console não funciona.