Msn no load balance



  • Olá pessoal… estou com um problema na minha rede em relação ao msn.. tenhu um pfsense fazendo load balance de um link da Embratel de 512k e um link da Velox de 1mb e outro servidor pfsense fazendo o squid desses dois links..

    Eu quero q o msn da minha rede acesse usando propriamente o link da velox e nao usando os dois no load balance.. eu quero q a conexao do msn passse soh pelo link da velox.... quero saber se eu tenhu q configurar isso no servidor do squid ou no servidor do load balance!?? e quais sao essas configuracoes!!

    Obrigado.. agradeço o retorno!!



  • Você vai configurar nas Rules para o trafego da porta 1863 passe pelo link da Velox, no PF do Load Balance.

    Só por curiosidade, pq instalou dois servidores PF Sense ??



  • cara…eu nao consegui de jeito nenhuma colocar o squid pra gerenciar as duas conexoes.. ele soh gerencia a conexao da wan.. OPT1 ele nao enxerga...eu vejo no traff grafic q nao passa nada pelo OPT1 soh pela wan quando o squid ta ativado!
    ae eu tive q fazer o server squid pra passar os dois...
    aproveitando essa pergunta q tu fez.. tu sabe fazer o squid enxergar o load balance no mesmo servidor?!?!???!



  • Qual interface está seleciona no seu Proxy Server (Squid) ?? Aparentemente eu perguntei pois não vi necessidade criar dois servidores para isso, não utilizo o Load Balance ainda, estou para adquirir um link para testar.

    Você usa proxy transparente ??

    Tipo o que eu verifiquei quando você libera suas portas LAN, você irá selecionar por qual Gateway vai sair o trafego, neste caso se o link seu da Velox cair, o Msn não vai funcionar automaticamente, você terá mudar o Gateway manualmente.



  • certo em relação ao load balance eu pesquisei no forum e vi alguns topicos em relacao a isso.. e todos disseram q tem q ser feito um outro server pra fazer o squid..por q quando eu seleciono a interface LAN pra gerenciar o squid soh consegue pegar a conexao da wan e nao dos dois links entende!!!
    soh q uma vez cheguei a perguntar de um amigo meu ele disse q conseguiu fazendo com q o squid force a identificação dos dois links no mesmo servidor soh q ele nao me explicou como se faz =p

    eu uso proxy transparente sim!!

    e quando eh feito o load balance eh criado um outro gatway e nao mais o default ae eu seleciono lah nos Rules da LAn q a saida vai ser pelo gateway do load balance e nao mais pelo default..

    em relacao ao msn eu to ciente q se o link da velox cair o msn nao acessa mesmo…mas isso eh muito dificil acontecer...mas facil o link da embratel cair... jah to desde o começo do ano com velox e nao caiu nenhuma vez!!!

    se voce fizer o teste com o load balance no mesmo servidor do squid vc me fala se vc conseguiu..

    Obrigado!!!



  • tava fazendo os testes aqui.. nao deu certo nao.. ele continua passando normal pello balanceamento
    eu fiz assim:
    Proto  Source  Port  Destination  Port        Gateway        Schedule  Description
    TCP          LAN net  *      *          1863  200.245.196.129                msn

    eu ateh fiz o teste bloqueando colocando o gatway default e bloqueando a porta..mas mesmo assim ele conecta.. eh como se nao tivesse fazendo efeito!!!



  • por causa do proxy transparente, esses msn novo da vida ae além da porta 1863 ele usa a 80 pelo que percebi na empresa que fiz uns testes



  • @rafael.cardoso:

    por causa do proxy transparente, esses msn novo da vida ae além da porta 1863 ele usa a 80 pelo que percebi na empresa que fiz uns testes

    Ele também usa a porta 80, mas se você bloquear a 443 ai não conecta mesmo. Eu falo pq uso proxy transparent por enquanto e não conecta de jeito nenhum. Hoje as portas que você tem que liberar são as 443 e 1863, as demais que ele utiliza não fazem falta. (Consultei esse link da Microsoft http://support.microsoft.com/kb/927847/pt-br ). O pfsense pra mim em questão de regras só precisa de mais uma coisa, liberar portas não só por IP mas também por dominio, ai fica show.



  • O que o flubber disse está corretissímo, os novos msn´s além da porta 1863-1864 utilizam-se da porta 80 para evitar os bloqueios.

    A melhor forma para resolver esta questão é criar uma VM somente com o MSN, através do pfSense use o sniffer (tcpdump) ou via WebGUI -> Packet Capture, e coloque na opção host ou src (tcpdump) o IP da VM, logo que começar o sniffer tente conectar-se ao MSN, após conectar-se pare o sniffer e veja os logs, constará os endereços IP´s que o mesmo percorreu para se conectar, faça isso mais de uma vez para ver se não há mais de 2 ou 3 endereços.

    Depois de capturados além da regra da LAN para qualquer destino na porta 1864-1864, faça a regra:

    Source  Destination                          Gateway
    LAN      IP´s que capturou ou Alias      Gateway que quer sair.

    ;)

    Qualquer outra dúvida poste.

    Att.
    Heitor Lessa
    Blog -> http://tinodiaadia.wordpress.com



  • eu fiz o teste do "Packet Capture" e toda vez enchergava  a porta 443, 1863 e as vezes os 1864 pra cada porta era designado um ip diferente eu fiz uns 5 testes de captura de pacote ele mostrou mais de 15 ips diferentes e essa lista nao parava de crescer….

    eu tentei fazer o teste de bloquear somente as portas 443, 1863 e 1864 que sao essas portas q aparece sendo capturadas pelo "packet capture" mas mesmo assim ele passa tranquilo......
    eu tentei colocar os ips tambem..mas acontece q ele sempre muda de ip... entao eh praticamente impossivel...

    lembrando q quero fazer o teste de bloqueio pra ter certeza q ta funcionando as regras q criei a minha intenção eh fazer com que essas portas e ips passem por um link soh no meu balanceamento..mas antes quero saber quais sao os dados da regra...

    Obrigado..aguardo retorno!!



  • Pelo visto a versão do MSN é a 2009 né?

    Eu não precisei bloquear mais o msn, ou efetuar qualquer alteração.

    Mas, se for o 2009 creio que somente a regra de firewall não vai ajudar muito, tendo em vista que são diversos IP´s que o mesmo conecta.

    Em conjunto com as regras (Crie um alias para todos os ip´s que encontrar.) crie acl´s usando mime type em Custom Options no squid caso o tenha.

    A mais antiga e usada de todas na época que eu precisava efetuar o bloqueio é:

    acl msn rep_mime_type ^application/x-msn-messenger$
    http_reply_access deny msn

    Vou ver se amanhã consigo fazer o download do msn e sniffar pra ver se consigo bloquear e te falo, já que é a dúvida de muitos aqui no forum.

    Att.
    Heitor Lessa
    Blog -> http://tinodiaadia.wordpress.com


Log in to reply