Em um projeto recente precisei fazer o balanceamento de links no linux, o cliente possu\u00eda sa\u00edda por dois provedores, sendo o primeiro NET\/Virtua e o segundo Embratel, seu link Embratel estava ocioso e ele queria acabar com essa ociosidade.<\/p>\n
A solu\u00e7\u00e3o foi usar o iproute2 para criar uma tabela com balanceamento de links para alguns pacotes, em conjunto usei o iptables para marcar os pacotes que deveriam sair por essa tabela.<\/p>\n
Al\u00e9m disto o cliente usava o Embratel para alguns servi\u00e7os, logo existia um redirecionamento DNAT para rede interna e isso precisava ser levado em conta.<\/p>\n
Vamos a solu\u00e7\u00e3o para essa necessidade.<\/p>\n
Vamos descrever as configura\u00e7\u00f5es de rede do ambiente<\/p>\n
Interface eth0 est\u00e1 com rede interna (10.1.x.x\/xx)\r\nInterface eth1 est\u00e1 conectado ao modem virtua (189.x.x.x)\r\nInterface eth2 est\u00e1 conectado ao modem embratel (200.x.x.x)\r\n<\/code><\/pre>\nSe isto est\u00e1 entendido, vamos continuar.<\/p>\n
<\/p>\n
Procedimento manual<\/h2>\n1. Criando tabelas no rt_tables<\/h3>\n
Primeiro edite o arquivo<\/p>\n
vim \/etc\/iproute2\/rt_tables\r\n<\/code><\/pre>\nE adicione as seguintes tabelas ao final do arquivo<\/p>\n
20 VIRTUA\r\n30 EMBRATEL\r\n40 BALANCEAMENTO\r\n<\/code><\/pre>\n\u00d3timo, isso \u00e9 suficiente, elas precisam existir para que possamos criar regras em cada uma destas tabelas.<\/p>\n
2. Criando regras no iproute2<\/h3>\n2.1 configurando tabela virtua<\/h4>\n
Antes de come\u00e7ar, vou colocar nomes ao inv\u00e9s de endere\u00e7os IPs para facilitar o entendimento, veja o que significa cada coisa.<\/p>\n
VIRTUA_NET \u00e9 o endere\u00e7o de rede\r\nVIRTUA_NIC \u00e9 a placa de rede (eth1)\r\nVIRTUA_GAT \u00e9 o endere\u00e7o do GW virtua\r\nVIRTUA_IPA \u00e9 o ip da VIRTUA_NIC\r\n<\/code><\/pre>\nVamos a configura\u00e7\u00e3o b\u00e1sica da tabela virtua<\/p>\n
ip route add VIRTUA_NET dev VIRTUA_NIC src VIRTUA_IPA table VIRTUA\r\n<\/code><\/pre>\nAgora vamos especificar quem \u00e9 o defautl gateway da virtua<\/p>\n
ip route add default via VIRTUA_GAT table VIRTUA\r\n<\/code><\/pre>\n2.2 configurando tabela embratel<\/h4>\n
Novamente eu vou colocar nomes ao inv\u00e9s de endere\u00e7os IPs para facilitar o entendimento, veja o que significa cada coisa.<\/p>\n
EMBRATEL_NET \u00e9 o endere\u00e7o de rede\r\nEMBRATEL_NIC \u00e9 a placa de rede (eth1)\r\nEMBRATEL_GAT \u00e9 o endere\u00e7o do GW\r\nEMBRATEL_IPA \u00e9 o ip da EMBRATEL_NIC\r\n<\/code><\/pre>\nAgora vamos configurar a tabela EMBRATEL<\/p>\n
ip route add EMBRATEL_NET dev EMBRATEL_NIC src EMBRATEL_IPA table EMBRATEL\r\n<\/code><\/pre>\nDefina o gateway padr\u00e3o da tabela EMBRATEL<\/p>\n
ip route add default via EMBRATEL_GAT table EMBRATEL\r\n<\/code><\/pre>\n2.3 configurando tabela balanceamento<\/h4>\n
Agora vamos criar a tabela que far\u00e1 o balanceamento entre os dois links<\/p>\n
ip route add default scope global table BALANCEAMENTO nexthop via VIRTUA_GAT dev VIRTUA_NIC weight 2 nexthop via EMBRATEL_GAT dev EMBRATEL_NIC weight 1\r\n<\/code><\/pre>\nPronto, configuramos a tabela BALANCEAMENTO.<\/p>\n
Veja que o peso do VIRTUA \u00e9 maior que o EMBRATEL, fiz isso pois o link VIRTUA \u00e9 mais parrudo e por isso seu peso no balanceamento ser\u00e1 maior (analogia: 2 conex\u00f5es v\u00e3o para o virtua e 1 para a Embratel).<\/p>\n
2.4 Definido regras de roteamento<\/h4>\n
Definindo que pacotes vindos do IP do VIRTUAL usar\u00e3o a tabela VIRTUA<\/p>\n
ip rule add from VIRTUA_IPA table VIRTUA\r\n<\/code><\/pre>\nDefinindo que pacotes vindos do IP da EMBRATEL usar\u00e3o a tabela embratel<\/p>\n
ip rule add from EMBRATEL_IPA table EMBRATEL\r\n<\/code><\/pre>\nDefinindo que pacotes com a marca 2 usar\u00e3o a tabela de balanceamento<\/p>\n
ip rule add fwmark 2 table BALANCEAMENTO\r\n<\/code><\/pre>\nDefinindo que pacotes coma marca 1 usar\u00e3o a tabela Embratel<\/p>\n
ip rule add fwmark 1 table EMBRATEL\r\n<\/code><\/pre>\nEssa \u00faltima regra estou criando pois existe um redirect para para rede interna, e portanto preciso tratar a ida e a volta para que n\u00e3o saia pelo balanceamento, e sim pela interface de origem do redirect que \u00e9 a EMBRATEL.<\/p>\n
2.5 Configurando rota padrao<\/h4>\n
Preciso configurar qual ser\u00e1 a rota padr\u00e3o<\/p>\n
ip route add default via EMBRATEL_GAT\r\n<\/code><\/pre>\n\u00c9 poss\u00edvel fazer o balanceamento usando a tabela default, no final darei um exemplo disto.<\/p>\n
2.6 Limpando cache de tabelas<\/h4>\n
Necess\u00e1rio para fazer a limpeza de informa\u00e7\u00e3o que n\u00e3o \u00e9 \u00fatil, como por exemplo tabelas que foram deletadas.<\/p>\n
ip route flush cache\r\n<\/code><\/pre>\n3. Criando regras no netfilter\/iptables<\/h3>\n3.1 Regras de redirecionamento<\/h4>\n
Primeiro redireciono para rede interna<\/p>\n
iptables -t nat -A PREROUTING -i eth2 -d 200.252.xx.xxx -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.1.0.xxx:80\r\n<\/code><\/pre>\nDepois marco o pacote de retorno para ele usar a tabela embratel.<\/p>\n
iptables -t mangle -A PREROUTING -i eth0 -s 10.1.xx.xx -p tcp --sport 22 -j MARK --set-mark 1\r\n<\/code><\/pre>\n3.2 Regras para balanceamento<\/h4>\n
Aqui eu marco os pacotes que desejo que usem a tabela de balanceamento.<\/p>\n
iptables -t mangle -A PREROUTING -s 10.1.x.x\/24 -d 0\/0 -j MARK --set-mark 2\r\n<\/code><\/pre>\n3.3 Mascarando pacotes<\/h4>\n
Aqui vamos mascarar os pacotes da rede interna, necess\u00e1rio para que as m\u00e1quinas consigam sair para internet e para o redirect.<\/p>\n
iptables -t nat -A POSTROUTING -s 10.1.x.x\/24 -j MASQUERADE\r\n<\/code><\/pre>\n3.4 Ativando ip forward<\/h4>\n
Precisamos ativar o encaminhamento de pacotes para que tudo funcione.<\/p>\n
echo 1 > \/proc\/sys\/net\/ipv4\/ip_forward\r\n<\/code><\/pre>\nPronto, balanceamento feito, voc\u00ea pode usar o comando IPTRAF no servidor para avaliar se os dois links est\u00e3o sendo utilizados.<\/p>\n
Nas esta\u00e7\u00f5es recomendo que use o mtr-tiny para ver por onde seus pacotes est\u00e3o saindo.<\/p>\n
mtr terra.com.br\r\n<\/code><\/pre>\nSe preferir use o traceroute<\/p>\n
traceroute uol.com.br\r\n<\/code><\/pre>\nAutomatizado<\/h2>\n
N\u00e3o d\u00e1 para executar todas as regras toda a vez que a m\u00e1quina inciar, seria cansativo e poder\u00edamos esquecer algo, logo criei um script para me ajudar com isto.<\/p>\n
4. Script de roteamento<\/h3>\n\n\n\n\n\n\n1<\/span>\r\n2<\/span>\r\n3<\/span>\r\n4<\/span>\r\n5<\/span>\r\n6<\/span>\r\n7<\/span>\r\n8<\/span>\r\n9<\/span>\r\n10<\/span>\r\n11<\/span>\r\n12<\/span>\r\n13<\/span>\r\n14<\/span>\r\n15<\/span>\r\n16<\/span>\r\n17<\/span>\r\n18<\/span>\r\n19<\/span>\r\n20<\/span>\r\n21<\/span>\r\n22<\/span>\r\n23<\/span>\r\n24<\/span>\r\n25<\/span>\r\n26<\/span>\r\n27<\/span>\r\n28<\/span>\r\n29<\/span>\r\n30<\/span>\r\n31<\/span>\r\n32<\/span>\r\n33<\/span>\r\n34<\/span>\r\n35<\/span>\r\n36<\/span>\r\n37<\/span>\r\n38<\/span>\r\n39<\/span>\r\n40<\/span>\r\n41<\/span>\r\n42<\/span>\r\n43<\/span>\r\n44<\/span>\r\n45<\/span>\r\n46<\/span>\r\n47<\/span>\r\n48<\/span>\r\n49<\/span>\r\n50<\/span>\r\n51<\/span>\r\n52<\/span>\r\n53<\/span>\r\n54<\/span>\r\n55<\/span>\r\n56<\/span>\r\n57<\/span>\r\n58<\/span>\r\n59<\/span>\r\n60<\/span>\r\n61<\/span>\r\n62<\/span>\r\n63<\/span>\r\n64<\/span>\r\n65<\/span>\r\n<\/pre>\n<\/td>\n\n#!\/bin\/bash<\/span>\r\n<\/span>\r\n# variaveis\/constantes<\/span>\r\n<\/span>\r\nVIRTUA_IPA<\/span>=<\/span>\"192.168.xxx.xxx\"<\/span>\r\n<\/span>VIRTUA_NET<\/span>=<\/span>\"192.168.xxx.xxx\/24\"<\/span>\r\n<\/span>VIRTUA_GAT<\/span>=<\/span>\"192.168.xxx.xxx\"<\/span>\r\n<\/span>VIRTUA_NIC<\/span>=<\/span>\"eth1\"<\/span>\r\n<\/span>\r\nEMBRATEL_IPA<\/span>=<\/span>\"200.252.xx.xxx\"<\/span>\r\n<\/span>EMBRATEL_NET<\/span>=<\/span>\"200.252.xx.xxx\/26\"<\/span>\r\n<\/span>EMBRATEL_GAT<\/span>=<\/span>\"200.252.xx.xxx\"<\/span>\r\n<\/span>EMBRATEL_NIC<\/span>=<\/span>\"eth2\"<\/span>\r\n<\/span>\r\n# limpando tabelas<\/span>\r\n<\/span>\r\nip route flush table VIRTUA\r\n<\/span>ip route flush table EMBRATEL\r\n<\/span>ip route flush table BALANCEAMENTO\r\n<\/span>\r\n# limpando regras<\/span>\r\n<\/span>\r\nip rule del from 200.252.xxx.xxx table EMBRATEL\r\n<\/span>ip rule del from 192.168.xxx.xxx table VIRTUA\r\n<\/span>ip rule del fwmark 0x2 table BALANCEAMENTO\r\n<\/span>ip rule del fwmark 0x1 table EMBRATEL\r\n<\/span>ip route del default\r\n<\/span>\r\n# configuracoes tabela VIRTUA<\/span>\r\n<\/span>\r\nip route add $VIRTUA_NET<\/span> dev $VIRTUA_NIC<\/span> src $VIRTUA_IPA<\/span> table VIRTUA\r\n<\/span>ip route add default via $VIRTUA_GAT<\/span> table VIRTUA\r\n<\/span>\r\n# configuracoes tabela EMBRATEL<\/span>\r\n<\/span>\r\nip route add $EMBRATEL_NET<\/span> dev $EMBRATEL_NIC<\/span> src $EMBRATEL_IPA<\/span> table EMBRATEL\r\n<\/span>ip route add default via $EMBRATEL_GAT<\/span> table EMBRATEL\r\n<\/span>\r\n# trafico da eth1 sai pela tabela VIRTUA<\/span>\r\n<\/span>\r\nip rule add from $VIRTUA_IPA<\/span> table VIRTUA\r\n<\/span>\r\n# trafico da eth2 sai pela tabela EMBRATEL<\/span>\r\n<\/span>\r\nip rule add from $EMBRATEL_IPA<\/span> table EMBRATEL\r\n<\/span>\r\n# definindo regra para marcacao de pacotes da intranet sairem pelo BALANCEAMENTO<\/span>\r\n<\/span>\r\nip rule add fwmark 2 table BALANCEAMENTO\r\n<\/span>\r\n# definindo regra para pacotes marcados sairem pela EMBRATEL<\/span>\r\n<\/span>\r\nip rule add fwmark 1 table EMBRATEL\r\n<\/span>\r\n# Criando balanceamento multilink para tabela BALANCEAMENTO<\/span>\r\n<\/span>\r\nip route add default scope global table BALANCAMENTO nexthop via $VIRTUA_GAT<\/span> dev $VIRTUA_NIC<\/span> weight 1 nexthop via $EMBRATEL_GAT<\/span> dev $EMBRATEL_NIC<\/span> weight 1\r\n<\/span>\r\n# definindo rota padrao<\/span>\r\n<\/span>\r\nip route add default via $EMBRATEL_GAT<\/span>\r\n<\/span>\r\n# fazendo flush no cache de rotas que foram deletadas<\/span>\r\n<\/span>\r\nip route flush cache\r\n<\/span><\/code><\/pre>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<\/figure>\n5. Script de firewall<\/h3>\n\n\n\n\n\n\n1<\/span>\r\n2<\/span>\r\n3<\/span>\r\n4<\/span>\r\n5<\/span>\r\n6<\/span>\r\n7<\/span>\r\n8<\/span>\r\n9<\/span>\r\n10<\/span>\r\n11<\/span>\r\n12<\/span>\r\n13<\/span>\r\n14<\/span>\r\n15<\/span>\r\n16<\/span>\r\n17<\/span>\r\n18<\/span>\r\n19<\/span>\r\n20<\/span>\r\n21<\/span>\r\n22<\/span>\r\n23<\/span>\r\n24<\/span>\r\n25<\/span>\r\n26<\/span>\r\n27<\/span>\r\n28<\/span>\r\n29<\/span>\r\n30<\/span>\r\n31<\/span>\r\n32<\/span>\r\n33<\/span>\r\n34<\/span>\r\n35<\/span>\r\n36<\/span>\r\n37<\/span>\r\n38<\/span>\r\n39<\/span>\r\n40<\/span>\r\n41<\/span>\r\n42<\/span>\r\n43<\/span>\r\n44<\/span>\r\n45<\/span>\r\n46<\/span>\r\n47<\/span>\r\n48<\/span>\r\n49<\/span>\r\n50<\/span>\r\n51<\/span>\r\n52<\/span>\r\n53<\/span>\r\n<\/pre>\n<\/td>\n\n#!\/bin\/bash<\/span>\r\n<\/span>\r\n# variaveis\/constantes<\/span>\r\n<\/span>\r\nIPTABLES<\/span>=<\/span>\"\/sbin\/iptables\"<\/span>\r\n<\/span>\r\n### limpando tabela filter<\/span>\r\n<\/span>\r\n$IPTABLES<\/span> -t filter -F\r\n<\/span>$IPTABLES<\/span> -t filter -P INPUT ACCEPT\r\n<\/span>$IPTABLES<\/span> -t filter -P OUTPUT ACCEPT\r\n<\/span>$IPTABLES<\/span> -t filter -P FORWARD ACCEPT\r\n<\/span>$IPTABLES<\/span> -t filter -X\r\n<\/span>\r\n### limpando tabela nat<\/span>\r\n<\/span>\r\n$IPTABLES<\/span> -t nat -F\r\n<\/span>$IPTABLES<\/span> -t nat -P PREROUTING ACCEPT\r\n<\/span>$IPTABLES<\/span> -t nat -P OUTPUT ACCEPT\r\n<\/span>$IPTABLES<\/span> -t nat -P POSTROUTING ACCEPT\r\n<\/span>$IPTABLES<\/span> -t nat -X\r\n<\/span>\r\n### limpando tabela mangle<\/span>\r\n<\/span>\r\n$IPTABLES<\/span> -t mangle -F\r\n<\/span>$IPTABLES<\/span> -t mangle -P PREROUTING ACCEPT\r\n<\/span>$IPTABLES<\/span> -t mangle -P INPUT ACCEPT\r\n<\/span>$IPTABLES<\/span> -t mangle -P FORWARD ACCEPT\r\n<\/span>$IPTABLES<\/span> -t mangle -P OUTPUT ACCEPT\r\n<\/span>$IPTABLES<\/span> -t mangle -P POSTROUTING ACCEPT\r\n<\/span>$IPTABLES<\/span> -t mangle -X\r\n<\/span>\r\n### ativando ip forward<\/span>\r\n<\/span>\r\necho <\/span>1 > \/proc\/sys\/net\/ipv4\/ip_forward\r\n<\/span>\r\n### Fazendo redirecionamento para servidores na rede interna<\/span>\r\n<\/span>\r\n# tratando a ida<\/span>\r\n<\/span>$IPTABLES<\/span> -t nat -A PREROUTING -i eth2 -d 200.252.xxx.xxx -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.1.0.20:80\r\n<\/span>\r\n# tratando a volta<\/span>\r\n<\/span>$IPTABLES<\/span> -t mangle -A PREROUTING -i eth0 -s 10.1.0.20 -p tcp --sport 80 -j MARK --set-mark 1\r\n<\/span>\r\n### Marcando pacotes que serao direcionados para tabela BALANCEAMENTO<\/span>\r\n<\/span>\r\n# especificando uma maquina da rede para usar balanceamento<\/span>\r\n<\/span>$IPTABLES<\/span> -A PREROUTING -t mangle -s 10.1.0.100\/32 -d 0\/0 -j MARK --set-mark 2\r\n<\/span>\r\n# Mascarando conexoes<\/span>\r\n<\/span>\r\n$IPTABLES<\/span> -t nat -A POSTROUTING -s 10.1.0.20\/24 -j MASQUERADE\r\n<\/span>$IPTABLES<\/span> -t nat -A POSTROUTING -s 10.1.0.100\/24 -j MASQUERADE\r\n<\/span><\/code><\/pre>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<\/figure>\n6. Colocando scripts para rodar durante a inicializa\u00e7\u00e3o<\/h3>\n
Voc\u00ea pode simplesmente chamar os scripts no arquivo \/etc\/rc.local, vamos supor que os scripts estejam dentro de \/root\/rules e tenham o nome de rc.routes e rc.firewall.<\/p>\n
Edite o arquivo<\/p>\n
vim \/etc\/rc.local\r\n<\/code><\/pre>\nAdicione<\/p>\n
\/root\/rules\/rc.routes\r\n\/root\/rules\/rc.firewall\r\n<\/code><\/pre>\nSalve<\/p>\n
:wq!\r\n<\/code><\/pre>\nPronto, desde que eles tenham permiss\u00e3o de execu\u00e7\u00e3o tudo est\u00e1 pronto para funcionar, se quiser testar para valer d\u00ea um reboot.<\/p>\n
Outras dicas<\/h2>\n7. Usando Proxy Transparente na mesma m\u00e1quina<\/h3>\n
Se quiser configurar um proxy transparente a regra abaixo resolve.<\/p>\n
$IPTABLES -t nat -A PREROUTING -i eth0 -p tcp -s $LAN_NET --dport 80 -j REDIRECT --to-port 3128\r\n<\/code><\/pre>\nVoc\u00ea precisa ter o SQUID na mesma m\u00e1quina.<\/p>\n
8. Sa\u00edda por link espec\u00edfico para destino espec\u00edfico<\/h3>\n
Se quiser acessar um site sempre por uma das sa\u00eddas, por exemplo embratel, basta marcar assim:<\/p>\n
$IPTABLES -A PREROUTING -t mangle -s 10.1.xxx.xxx\/xx -d 186.202.xxx.xxx -j MARK --set-mark 1\r\n<\/code><\/pre>\nComo estou marcando com 2, ele sairia para embratel toda a vez que o destino fosse 186.202.xxx.xxx<\/p>\n
8.1 Servi\u00e7o espec\u00edfico saindo por link espec\u00edfico<\/h4>\n
Podemos especificar que toda o envio de e-mail (SMTP) ser\u00e1 feito pelo link EMBRATEL que \u00e9 mais est\u00e1vel, seguro e tem menos chances se estar em um lista de bloqueio.<\/p>\n
$IPTABLES -A PREROUTING -t mangle -s 10.1.xxx.xxx\/xx -d 0\/0 --dport 25 -j MARK --set-mark 1\r\n<\/code><\/pre>\n9. SQUID usando Balanceamento<\/h3>\n
Se tiver um squid na mesma m\u00e1quina e desejar que ele use a tabela de balanceamento ao inv\u00e9s da rota padr\u00e3o, defina a configura\u00e7\u00e3o abaixo no squid.conf<\/p>\n
tcp_outgoing_tos 0x2 redelocal\r\n<\/code><\/pre>\n0x1 \u00e9 referente a marca\u00e7\u00e3o no iptables para sa\u00edda pela tabela de balanceamento e rede local seria relativa a uma ACL que tem como conte\u00fado o endere\u00e7o da rede local.<\/p>\n
7.1 Exemplo de squid.conf<\/h4>\n
Aqui um exemplo de conf de squid3 que s\u00f3 faz cache na porta 80.<\/p>\n\n\n\n\n\n