Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Load-Balancing invocabile sia da wan che da lan

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
tarcar



Registrato: 21/05/07 16:18
Messaggi: 3
Residenza: Roma Italia

MessaggioInviato: Lun Mag 21, 2007 5:21 pm    Oggetto: Load-Balancing invocabile sia da wan che da lan Rispondi citando

tanto per iniziare voglio fare i miei complimenti x zeroshell ! (est-est-est)

Vengo subito al nocciolo della questione, io vorrei realizzare un load-balancing (R.R.) con 2 server reali (192.168.1.100 e 192.168.1.101) che possa essere invocato oltre che dal lato wan (adsl) anche dalla stessa rete locale (es: 192.168.1.103), ma ho anche la necessita’ di invocare i 2 server in modo diretto, pensi sia possibile ?
Al momento ho configurato i due server reali nella sezione router - virtual server, ma dopo qualche prova mi sono fermato perche ho dei dubbi se tutto cio si possa fare e anche su come realizzarlo.

Chiedo lumi !!!

Ciao e grazie
_________________
Carlo
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Lun Mag 21, 2007 9:03 pm    Oggetto: Rispondi citando

Salve,
dal lato WAN non avrai problemi di alcun tipo, poiché dopo che avrai impostato il port forwarding UDP o TCP del servizio che vuoi offrire verso i server reali, ZeroShell farà da Virtual Server e tutte le ricchieste che gli arrivano dalla WAN saranno smistate in Round-Robin verso i server reali. Il problema nasce per le richieste fatte dalla LAN se, come nel tuo caso, i server reali hanno indirizzi IP appartenenti alla stessa Subnet IP dei client. In questo caso, benché le richieste che arrivano al Router ZeroShell saranno correttamente forwardate ai real server che le devono gestire, le risposte di questi, poiché non necessitano di attraversare il Gateway (infatti sono sulla stessa subnet) vengono spedite direttamente ai client. Ciò è chiaramente scorretto, poiché i client vedranno una risposta che apparentemente non hanno richiesto (infatti la richiesta l'hanno fatta all'indirizzo del Virtual Server, mentre la risposta ha l'IP dei real server come sorgenti) e quindi verrà scartata. Per ovviare al problema puoi mettere i server reali in una subnet distinta, che potrai pensare come una DMZ. In questa maniera le risposte passano sempre dal Virtual Server che farà gli opportuni cambiamenti all'IP sorgente.
Se utilizzi le versioni 1.0.beta1 o 1.0.beta2 di ZeroShell non hai il problema che ti ho descritto prima. Infatti, proprio per rendere la cosa quanto più semplice possibile oltre a fare il destination PAT dei pacchetti che arrivano al virtual server, ZeroShell faceva anche il source NAT. In questa maniera, anche se gli indirizzi dei client erano della stessa classe di quelli dei real server, le risposte tornavano comunque al virtual server.
Questa tecnica, che ingenuamente implementai e mi costò non poco lavoro, si rivelò subito pericolosa. Per capire la sua pericolosità dal punto di vista della sicurezza basta leggere il post http://www.zeroshell.net/eng/forum/viewtopic.php?t=116 in cui il tizio che scriveva, era quanto mai arrabbiato, poiché il suo server SMTP, mascherato da Zeroshell, era diventato un open relay e per questo era finito nelle blacklist di molti ISP.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
tarcar



Registrato: 21/05/07 16:18
Messaggi: 3
Residenza: Roma Italia

MessaggioInviato: Mar Mag 22, 2007 3:00 pm    Oggetto: Rispondi citando

Ho fatto quanto suggerito (credo !), ora sto girando la 1.0 beta2 per fare il source NAT e chiamare in rr i 2 server della stessa rete. Nel caso specifico,
ho il LB con indirizzo 192.168.1.103, un server reale con indirizzo 192.168.1.101 e l'altro con 192.168.1.102. Nella sezione virtual server ho configurato i due server in porta 23 (per testare il funzionamento)
Quando chiamo il 192.168.1.103 in telnet mi risponde sempre la .101 (prima in lista di zeroshell), se la scollego, mi aspetterei di vedere rispondere la .102, invece non accade nulla la sessione sul PC Client rimane appesa (N.B. se chiamo singolarmente i server dallo stesso client , tutto funziona) se sconfiguro il R.S. .101, infine, mi risponde correttamente il .102; sembrerebbe che il R.R. non funzioni ...
come mai ? Che ho fatto di sbagliato o cosa ho omesso di fare ?
Grazie e Ciao.
_________________
Carlo
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Mar Mag 22, 2007 11:01 pm    Oggetto: Rispondi citando

Mi viene il sospetto che tu abbia creato due entry separate, una per il real server 192.168.1.101 ed una per il 192.168.1.102.
In questo caso risponde sempre il primo real server. Come invece è descritto nella nota in basso della schermata di configurazione dei Virtual Server, per ottenere il Load Balancing in Round-Robin dovresti inserire una sola entry, ma nella voce Server Remoto usare la sintassi 192.168.1.101-192.168.1.102. E' ovvio che ciò impone che i Real Server siano in un range di IP consecutivi. Ma comunque questo è il tuo caso.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
tarcar



Registrato: 21/05/07 16:18
Messaggi: 3
Residenza: Roma Italia

MessaggioInviato: Mer Mag 23, 2007 10:13 am    Oggetto: Rispondi citando

Fulvio,
avrei preferito che il tuo sospetto fosse stato esatto, tuttavia, io ho già configurato tutto su un'unica righa che recita + o - così:
ETH00 23 192.168.1.101-192.168.1.102 23 e il R.R. non va .... comunque non ti voglio far perdere tempo su una release obsoleta tanto più che io in realtà avrei anche besogno del fault tollerance che non c'è !
Stavo pensando che magari questo problema che risponde solamente il primo server del R.R. si presenta solamente sulla rete 192.168.1.0/C e non dalla wan, non ho provato ...
Ciao
_________________
Carlo
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Mer Mag 23, 2007 4:14 pm    Oggetto: Rispondi citando

Tieni conto quando fai le prove, che per verificare se il load balancing funziona, devi fare telnet usando client distinti. In altre parole, se hai gia' fatto login su di un real server passando per il virtual server, poi ti sconnetti e ti riconnetti subito dopo, il sistema ti manda sulla stessa macchina. Cio' credo sia fatto per mantenere per un certo tempo le sessioni attive (pensa ai web server).

ciao
Fulvio
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it