Como fazer uma rota alternativa ?

[masmoraes]

Ola amigos,

Estou com a seguinte necessidade e gostaria de ajuda...

Meu cenario atual:
- 1 servidor Linux com Suse 9.1 (modo texto) com a função de Squid Proxy (sem firewall)
- 1 Firewall (hardware) - Cisco Pix
- 1 Link Internet

- Todos os meus usuarios tem o browser apontando para o meu proxy Suse.
- Neste servidor eu tenho o default gateway que é o meu Firewall (PIX)
- No firewall eu tenho configurado que toda as rotas com destino 0.0.0.0 vao para o IP do meu link internet

este cenario esta funcionando bem, tanto que se alguem tentar acessar a internet sem marcar o proxy (apesar que a opção esta desabilitada) mas enfim se alguem conectar outro equipamento na rede, ou conseguir mudar o gateway padrao e tentar sair pela internet sem passar pelo proxy nao consegue pois o meu Firewall só aceita trafego nas portas 80, etc daquilo que vem do meu servidor Suse.

o que estou implementando
- Instalei um outro Link internet (como backup) no caso de parada no link principal.
- deixei configurado no meu firewall, uma outra rota 0.0.0.0 apontando para este outro link (backup) com um custo maior, ou seja, nao encontrando o 1º link (principal) ele redicionará para o outro.

Este cenario tambem esta funcionando, ja fiz os testes, desligando o link principal e funcionou bem.


o que eu quero ?

Por questoes de "perfomance" a minha diretoria pediu para sempre usar esse 2º Link, ou seja, eles (5 pessoas) querem usar sozinhos um Link de 2MB dedicados para eles...espertinhos ne..enfim, o que me resta é configurar isso....e é agora que preciso da ajuda de voces.

Para resolver isso estou tentando este cenario...foi o que veio na minha cabeça...
1- Coloquei uma 2º placa de rede neste servidor.

Dai que eu nao sei como fazer....em algum lugar no servidor suse eu gostaria de informar que tudo que vier dos IP's (xyz) com destino 0.0.0.0 deve sair pela 2º placa de rede, dai eu crio uma regra no meu Firewall
informando que tudo que vier dessa 2º placa ele deve redirecionar para o 2º link...estou correto ?

mas como fazer isso no servidor ?

faço atraves de regras de firewall, redirecionamento, configurando gateways, ou dentro do squid.conf ?

No squid.conf eu vi que existe uma tag chamada: "tcp_outgoing_address" que pelo jeito faz isso que eu quero...mas nao esta dando certo.

Peço ajuda e qual a melhor maneira pra fazer isso ?

Obrigado.

[masmoraes]

ah, sobre o mesmo assunto, só para complementar

placa 01: 10.249.90.15 / 255.255.255.0
placa 02: 10.249.90.14 / 255.255.255.0
gateway: 10.249.90.17 / (meu PIX Firewall)


é possivel fazer isso ?

Regra 01:
dizer que tudo que vier da "minha_rede" com destino 0.0.0.0 tem que ir para a placa 01 - que consequentemente tem como gateway o meu Pix e o mesmo enviara para o Link 01

Regra 02:
dizer que tudo que vier de um "ip_especifico" com destino 0.0.0.0 tem que ir para a placa 02.
E que a rota 0.0.0.0 desta placa é um outro IP (por exemplo outro firewall) ?

resumidamente:

- Como faço para definir um outro gateway (diferente) para a 2º placa
OU então como eu faço para dizer que a rota 0.0.0.0 desta 2º placa não tem que usar o gateway padrao (meu PIX)...ela tem que redirecionar para outro IP.

Estou perguntando isso pois é muito provavel que instalaremos um outro Firewall.

abçs

[masmoraes]

será que fiz uma pergunta muito dificil ?

[masmoraes]

Pessoal, ninguem pode me ajudar ? 

[ario_2025]

Pessoal, ninguem pode me ajudar ? 

Posso tentar. Que tal rodar 2 proxy squid? Um trabalha em uma porta, e o outro em outra somente para a diretoria.

Tudo o que for feito pelo Squid 2, será pela eth1 e tudo que chegar no firewall da eth1 utiliza o segundo link de internet.

Se o mais complicado é configurar o squid.conf para usar somente a segunda placa de rede, VIRTUALIZE! kkk

Instale uma VM com squid proxy e trave a placa de rede para a VM. Desative o protocolo TCP/IP (deixe sem IP ou inválido) no host.

Na VM, configure tudo corretamente, a VM trabalha com outro nível de comunicação na rede entre a VM e o HOST. No HOST pode estar tudo mal configurado, exceto que; deve estar habilitado para funcionar para a VM.

Instale um firewall nesta VM e coloque o segundo link de internet na segunda interface de rede. Toda comunicação da VM será feita com a placa de rede exclusiva para ela. Nada vaza para o Host (à não ser que tenha um IP correto e definições de TCP/IP no Host) só na VM precisa configurar o TCP/IP bem definido, pois é lá que está todo o tráfego da sua diretoria.

Para firewall, iptables talvez seria uma solução para integrar o squid e ter tudo em uma só VM com tudo, sem precisar ficar quebrando a cabeça para configurar o squid para transmitir para uma determinada porta para o firewall e este utilizar somente o segundo link. (Possivelmente, a diretoria desejará ver um youtube da vida, e o restante da empresa não, certo? As regras de proxy e de firewall já serão diferentes.)

Atéh...