Re: [FUG-BR] Problemas com PF+balanceamento+bancos
Em 25/01/07, Renato Frederick[EMAIL PROTECTED] escreveu: Se não me engano o famoso balanceamento do PF não irá funcionar com SSL porque é round-robin, o 1o pacote fecha uma negociação SSL do IPX para o cliente Z do servidor Y. Daí a resposta já vem com outro IP de cliente, o que o SSL foi feito para barrar (man in the midle, etc etc). Logo, você tem que tirar a porta https do round-robin. Com o keep state vc faz que a comunicação daquela sessão TCP (cliente interno - servidor externo) fique OK - ou seja, com o mesmo IP, O problema é que os browsers não abrem apenas uma sessão TCP, mas várias. Ou seja, para uma mesma sessão da aplicação bancária, são feitas várias sessões TCP de diferentes IPs, fazendo as aplicações registrarem a anomalia e rejeitarem a sessão bancária. Na minha opinião, a limitação neste caso não é imposta pelo https, mas pela aplicação bancária. Limitar o round-robin para HTTPS não resolve especificamente o problema (que seria identificar os sites com as aplicações que estão restringindo), mas evita essa trabalheira, haja vista que os sites que fazem isto normalmente usam https, Abs -- Aristeu Gil Alves Jr - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Problemas com PF+balanceamento+bancos
boa tarde Eduardo, o balanceamento de carga eh algo muito util porem vc tem q rotear para que um pacote que comecou numa determinada iface continue por ela por exemplo: ext_if1 = fxp0 ext_if2 = fxp1 ext_gw1 = 192.168.4.1 # Endereco gateway 1 (modem roteador) ext_gw2 = 192.168.3.1 # Endereco gateway 2 (modem roteador) #Roteia pacotes de qualquer IP na $ext_if1 para $ext_gw1 e o mesmo para # $ext_if2 e $ext_gw2 pass out on $ext_if1 route-to ($ext_if2 $ext_gw2) from $ext_if2 to any pass out on $ext_if2 route-to ($ext_if1 $ext_gw1) from $ext_if1 to any acredito que isso possa te ajudar... se falei bobagem me corrijam =] abraço 2007/1/25, Eduardo Meyer [EMAIL PROTECTED]: Pessoal bom dia. Fiz a implementacao de um PF com balanceamento de carga, tudo esta funcionando perfeitamente, o unico problema eh quando se tenta acessar site de bancos parece que ele nao esta mantendo o IP da conexao de origem e com isso gera erro de acesso. Algum ja teve esse tipo de problema? alguma solucao no fim do tunel? Obrigado. -- Thiago J. Ruiz http://thiagoruiz.blogspot.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Problemas com PF+balanceamento+bancos
Se não me engano o famoso balanceamento do PF não irá funcionar com SSL porque é round-robin, o 1o pacote fecha uma negociação SSL do IPX para o cliente Z do servidor Y. Daí a resposta já vem com outro IP de cliente, o que o SSL foi feito para barrar (man in the midle, etc etc). Logo, você tem que tirar a porta https do round-robin. -Original Message- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Thiago J. Ruiz Sent: quinta-feira, 25 de janeiro de 2007 13:21 To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Subject: Re: [FUG-BR] Problemas com PF+balanceamento+bancos boa tarde Eduardo, o balanceamento de carga eh algo muito util porem vc tem q rotear para que um pacote que comecou numa determinada iface continue por ela por exemplo: ext_if1 = fxp0 ext_if2 = fxp1 ext_gw1 = 192.168.4.1 # Endereco gateway 1 (modem roteador) ext_gw2 = 192.168.3.1 # Endereco gateway 2 (modem roteador) #Roteia pacotes de qualquer IP na $ext_if1 para $ext_gw1 e o mesmo para # $ext_if2 e $ext_gw2 pass out on $ext_if1 route-to ($ext_if2 $ext_gw2) from $ext_if2 to any pass out on $ext_if2 route-to ($ext_if1 $ext_gw1) from $ext_if1 to any acredito que isso possa te ajudar... se falei bobagem me corrijam =] abraço 2007/1/25, Eduardo Meyer [EMAIL PROTECTED]: Pessoal bom dia. Fiz a implementacao de um PF com balanceamento de carga, tudo esta funcionando perfeitamente, o unico problema eh quando se tenta acessar site de bancos parece que ele nao esta mantendo o IP da conexao de origem e com isso gera erro de acesso. Algum ja teve esse tipo de problema? alguma solucao no fim do tunel? Obrigado. -- Thiago J. Ruiz http://thiagoruiz.blogspot.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
