[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: IPTABLES - (des)balanceamento de carga.



Em Seg, 2006-11-13 às 10:41 -0300, Denis escreveu:
> Bom dia galera.
>  

Dia 80)
> 
> Estou com o seguinte problema:
>  
>  
> Montei aqui na minha empresa um servidor proxy utilizando duas
> máquinas balanceando carga e com alta disponibilidade usando LVS,
> heartbeat, ldirectord e rsync.
> (se alguém tiver interesse eu tenho tudo documentado passo a passo em
> pdf)
>  
>  
> Está tudo funcionando normalmente, O balanceamento e a
> disponibilidade.
>  
>  
> Só que estou encontrando um problema com o acesso ao site de bancos.
>  
>  
> O problema é que as conexões aos sites de banco que utilizam SSL
> verificam o IP do origem. Como conexão está sendo balanceada entre
> dois computadores o Ip de origem fica mudando na conexão daí o site do
> banco derruba a conexão.
>  
> Eu pensei em fazer com que as conexões SSL saíssem por apenas uma das
> máquinas...
>  
> Mas com PREROUTING e DNAT não dá pq o pacote que vai sair do proxy com
> o ip de destino do banco e a porta 443 chega no proxy encapsulado com
> o endereço de destino do proxy e a porta 3128. Ou seja da mesma forma
> que chegam os pacotes para conexão http e ftp.... então pelo destino
> não dá pra fazer dnat.
>  
> Com POSTROUTING não consigo fazer pq não tem a opção DNAT....  Alguém
> tem alguma idéia de como posso fazer para esssas conexões sairem por
> uma só das máquinas?
>  

Vc já pensou em liberra o trafego da porta 443 para a rede interna sem
passar pelo squid????

[]s

>  
>  
Paulo Ricardo Bruck
Consultor Linux
tel 011 9235-4327





Reply to: