Duvida Load Balancer Inbound



  • Boa tarde amigos…

    Tenho uma série de dúvidas que não achei aqui na área do idioma português.

    Possuo um servidor dedicado (2x Xeon Quad-Core), com CentOS, que utilizo para jogos-online (CS, TF2, Minecraft)... ou seja, várias pessoas precisam se conectar nesse dedicado.
    Estou recebendo muitos ataques, utilizo o CSF nesse mesmo dedicado, ele vem aguentando bem, segura a maioria dos ataques, porém as vezes das uns "trancos" dentro dos servidores de jogos.

    Minhas duvidas são as seguintes:
    1º - Possuo 2 bandas largas fibra de 100/60 Mb IP FIXO, teria como o pfsense fazer um auto-balance automático de todas essas requisições? Pq penso assim... hoje... esta ligado o modem ONT e o Roteador (Pirelli) que a própria Vivo fornecem... e já aguenta 120 players... com Pfsense, ficaria melhor neh do que esse roteador?
    2º - O Pfsense seguraria os ataques igual ou melhor que CSF ?
    3º - Tenho um Pentium 4 Dual Core de 1,6 Ghz com 3 Gb de memória, ele aguentaria ser esse "roteador/firewall" com pfsense ?
    4º - Ele conecta Multi-Wan?? Aceita placas Gigabits ??

    Desculpem as várias duvidas, mas NUNCA usei o Pfsense.



  • brupj,

    Bem vindo ao fórum!  :)

    Este tópico já foi discutido no fórum internacional e o core team (até onde lembro), alterta sobre a quantidade de cpu disponível para aguentar esta chuva de requisições.

    Se os ataques que você está sofrendo estão relacionados a DDOS ou quantidade de conexões, um simples limite de conexões simultâneas no pfsense vai bloquear o ip "do mau" por aproximandamente uma hora e meia.

    O pfsense aceita sim placa gigabit e para você usar o seu link de 100Mb, você vai precisar.

    Qual a natureza deste acesso multi-wan acesso de entrada ou balanceamento de saída?



  • Puxa Marcelo, desculpa se postei repetido, é que meu "ingreis" é daqueles…. hehehehe

    Então amigo... o balanceamento, seria com o intuito de melhorar a latência para o jogador, evitando sobrecarregar a banda.

    Ele faria esse balanceamento... pq o Download que tenho, quase não uso, porém o upload é alto.
    Detalhe, futuramente, vou ligar mais maquinas nessas mesmas bandas.... para aproveitar a internet.

    Recebo muito ataques UDP !!! Pelo menos no CSF aparece como UDP_FLOOD.

    Por exemplo, possuo o IP 201.200.200.200 e o ip 177.100.100.100 (ambos Fixos da VIVO) !!! é possivel eu colocar de uma forma que todo mundo entre para jogar pelo ip 201.200.200.200 e o PfSense sozinho começa a administrar e enviar informação para esse mesmo player pela rota do ip 177.100.100.100 ???

    para evitar de "afogar" a banda!!!

    OU então, fazer um load balance inbound, para evitar do ataque sobrecarregar o ip 201.200.200.200 que é nosso IP conhecido por todos.



  • @brupj:

    é possivel eu colocar de uma forma que todo mundo entre para jogar pelo ip 201.200.200.200 e o PfSense sozinho começa a administrar e enviar informação para esse mesmo player pela rota do ip 177.100.100.100 ???

    Você só vai conseguir fazer isso com bgp(forma profissional), ou via dns para publicar os dois ips no mesmo host.
    Até onde sei, não tem como o pfsense mudar o comportamento do cliente/aplicação. Se o cliente está configurado para conectar no 201.200.200.200, o pacote vai chegar pelo link 201.200.200.200 você querendo ou não.

    Em outras palavras:  a decisão de bloquear o pacote é do pfsense mas ele não impede que o pacote venha pelo link até ele.



  • Estava pensando em fazer por DNS mesmo !!!

    Fica legal ? Será que a latência aumentaria?

    Eu nunca registrei um DNS, mas no caso… vc coloca os 2 Ip´s no registro... ele usa os 2 simultaneamente ou usa 1 só quando cai o outro?



  • @brupj:

    Eu nunca registrei um DNS, mas no caso… vc coloca os 2 Ip´s no registro... ele usa os 2 simultaneamente ou usa 1 só quando cai o outro?

    No round-robin feito pelo dns, quem escolhe qual ip utilizar é o cliente e não o seu servidor, por isso a solução não é a mais "profissional"



  • Ahhh ta… blz Marcelo...

    Vou abandonar essa idéia de Load Balancer e continuar usando apenas 1 dos Ip´s !!

    Como sei que minha maquina aguenta essa quantidade imensa de requisições e regras.... alem dos ataques diarios ??

    Claro, sem dar lag´s !!!

    O PfSense tem configuração contra DoS, SynFlood, etc...??



  • @brupj:

    O PfSense tem configuração contra DoS, SynFlood, etc…??

    Sim, basta verificar as configurações avançadas de cada regra.


Log in to reply