Msn no load balance
-
Olá pessoal… estou com um problema na minha rede em relação ao msn.. tenhu um pfsense fazendo load balance de um link da Embratel de 512k e um link da Velox de 1mb e outro servidor pfsense fazendo o squid desses dois links..
Eu quero q o msn da minha rede acesse usando propriamente o link da velox e nao usando os dois no load balance.. eu quero q a conexao do msn passse soh pelo link da velox.... quero saber se eu tenhu q configurar isso no servidor do squid ou no servidor do load balance!?? e quais sao essas configuracoes!!
Obrigado.. agradeço o retorno!!
-
Você vai configurar nas Rules para o trafego da porta 1863 passe pelo link da Velox, no PF do Load Balance.
Só por curiosidade, pq instalou dois servidores PF Sense ??
-
cara…eu nao consegui de jeito nenhuma colocar o squid pra gerenciar as duas conexoes.. ele soh gerencia a conexao da wan.. OPT1 ele nao enxerga...eu vejo no traff grafic q nao passa nada pelo OPT1 soh pela wan quando o squid ta ativado!
ae eu tive q fazer o server squid pra passar os dois...
aproveitando essa pergunta q tu fez.. tu sabe fazer o squid enxergar o load balance no mesmo servidor?!?!???!
-
Qual interface está seleciona no seu Proxy Server (Squid) ?? Aparentemente eu perguntei pois não vi necessidade criar dois servidores para isso, não utilizo o Load Balance ainda, estou para adquirir um link para testar.
Você usa proxy transparente ??
Tipo o que eu verifiquei quando você libera suas portas LAN, você irá selecionar por qual Gateway vai sair o trafego, neste caso se o link seu da Velox cair, o Msn não vai funcionar automaticamente, você terá mudar o Gateway manualmente.
-
certo em relação ao load balance eu pesquisei no forum e vi alguns topicos em relacao a isso.. e todos disseram q tem q ser feito um outro server pra fazer o squid..por q quando eu seleciono a interface LAN pra gerenciar o squid soh consegue pegar a conexao da wan e nao dos dois links entende!!!
soh q uma vez cheguei a perguntar de um amigo meu ele disse q conseguiu fazendo com q o squid force a identificação dos dois links no mesmo servidor soh q ele nao me explicou como se faz =peu uso proxy transparente sim!!
e quando eh feito o load balance eh criado um outro gatway e nao mais o default ae eu seleciono lah nos Rules da LAn q a saida vai ser pelo gateway do load balance e nao mais pelo default..
em relacao ao msn eu to ciente q se o link da velox cair o msn nao acessa mesmo…mas isso eh muito dificil acontecer...mas facil o link da embratel cair... jah to desde o começo do ano com velox e nao caiu nenhuma vez!!!
se voce fizer o teste com o load balance no mesmo servidor do squid vc me fala se vc conseguiu..
Obrigado!!!
-
tava fazendo os testes aqui.. nao deu certo nao.. ele continua passando normal pello balanceamento
eu fiz assim:
Proto Source Port Destination Port Gateway Schedule Description
TCP LAN net * * 1863 200.245.196.129 msneu ateh fiz o teste bloqueando colocando o gatway default e bloqueando a porta..mas mesmo assim ele conecta.. eh como se nao tivesse fazendo efeito!!!
-
por causa do proxy transparente, esses msn novo da vida ae além da porta 1863 ele usa a 80 pelo que percebi na empresa que fiz uns testes
-
por causa do proxy transparente, esses msn novo da vida ae além da porta 1863 ele usa a 80 pelo que percebi na empresa que fiz uns testes
Ele também usa a porta 80, mas se você bloquear a 443 ai não conecta mesmo. Eu falo pq uso proxy transparent por enquanto e não conecta de jeito nenhum. Hoje as portas que você tem que liberar são as 443 e 1863, as demais que ele utiliza não fazem falta. (Consultei esse link da Microsoft http://support.microsoft.com/kb/927847/pt-br ). O pfsense pra mim em questão de regras só precisa de mais uma coisa, liberar portas não só por IP mas também por dominio, ai fica show.
-
O que o flubber disse está corretissímo, os novos msn´s além da porta 1863-1864 utilizam-se da porta 80 para evitar os bloqueios.
A melhor forma para resolver esta questão é criar uma VM somente com o MSN, através do pfSense use o sniffer (tcpdump) ou via WebGUI -> Packet Capture, e coloque na opção host ou src (tcpdump) o IP da VM, logo que começar o sniffer tente conectar-se ao MSN, após conectar-se pare o sniffer e veja os logs, constará os endereços IP´s que o mesmo percorreu para se conectar, faça isso mais de uma vez para ver se não há mais de 2 ou 3 endereços.
Depois de capturados além da regra da LAN para qualquer destino na porta 1864-1864, faça a regra:
Source Destination Gateway
LAN IP´s que capturou ou Alias Gateway que quer sair.;)
Qualquer outra dúvida poste.
Att.
Heitor Lessa
Blog -> http://tinodiaadia.wordpress.com
-
eu fiz o teste do "Packet Capture" e toda vez enchergava a porta 443, 1863 e as vezes os 1864 pra cada porta era designado um ip diferente eu fiz uns 5 testes de captura de pacote ele mostrou mais de 15 ips diferentes e essa lista nao parava de crescer….
eu tentei fazer o teste de bloquear somente as portas 443, 1863 e 1864 que sao essas portas q aparece sendo capturadas pelo "packet capture" mas mesmo assim ele passa tranquilo......
eu tentei colocar os ips tambem..mas acontece q ele sempre muda de ip... entao eh praticamente impossivel...lembrando q quero fazer o teste de bloqueio pra ter certeza q ta funcionando as regras q criei a minha intenção eh fazer com que essas portas e ips passem por um link soh no meu balanceamento..mas antes quero saber quais sao os dados da regra...
Obrigado..aguardo retorno!!
-
Pelo visto a versão do MSN é a 2009 né?
Eu não precisei bloquear mais o msn, ou efetuar qualquer alteração.
Mas, se for o 2009 creio que somente a regra de firewall não vai ajudar muito, tendo em vista que são diversos IP´s que o mesmo conecta.
Em conjunto com as regras (Crie um alias para todos os ip´s que encontrar.) crie acl´s usando mime type em Custom Options no squid caso o tenha.
A mais antiga e usada de todas na época que eu precisava efetuar o bloqueio é:
acl msn rep_mime_type ^application/x-msn-messenger$
http_reply_access deny msnVou ver se amanhã consigo fazer o download do msn e sniffar pra ver se consigo bloquear e te falo, já que é a dúvida de muitos aqui no forum.
Att.
Heitor Lessa
Blog -> http://tinodiaadia.wordpress.com