Duplo acesso de "pobre" (poor man s double homing)

Transcrição

1 Duplo acesso de "pobre" (poor man s double homing) Danton Nunes, InterNexo Ltda., S.J.Campos, SP danton.nunes@inexo.com.br

2 O que trataremos aqui "A" Internet! Rede de TV a cabo Modem Roteador Rede Corporativa 1/13

3 O que trataremos aqui "A" Internet! Rede de TV a cabo Rede ADSL Modem Modem Roteador Rede Corporativa 1/13

4 O que trataremos aqui "A" Internet! Rede de TV a cabo Rede ADSL Modem Modem Roteador Linux inside Rede Corporativa 1/13

5 O que trataremos aqui "A" Internet! Rede de TV a cabo Rede ADSL Modem Modem screened hosts Roteador Linux inside Rede Corporativa 1/13

6 O que trataremos aqui "A" Internet! Rede de TV a cabo Rede ADSL Modem Modem screened hosts Roteador Linux inside Rede Corporativa Rede corporativa ligada a dois provedores de acesso low end. Há screened hosts dentro da rede corporativa. 1/13

7 O que trataremos aqui 2/13

8 O que trataremos aqui» Como disponibilizar serviços por "screened hosts" pelos dois caminhos: correio eletrônico, servidor de terminais (Windows 2K3 server), web corporativa (intranet). 2/13

9 O que trataremos aqui» Como disponibilizar serviços por "screened hosts" pelos dois caminhos: correio eletrônico, servidor de terminais (Windows 2K3 server), web corporativa (intranet).» Prover alguma redundância para usuários internos, dada a baixa confiabilidade individual dos dois acessos. 2/13

10 O que trataremos aqui» Como disponibilizar serviços por "screened hosts" pelos dois caminhos: correio eletrônico, servidor de terminais (Windows 2K3 server), web corporativa (intranet).» Prover alguma redundância para usuários internos, dada a baixa confiabilidade individual dos dois acessos. O que NÃO trataremos aqui 2/13

11 O que trataremos aqui» Como disponibilizar serviços por "screened hosts" pelos dois caminhos: correio eletrônico, servidor de terminais (Windows 2K3 server), web corporativa (intranet).» Prover alguma redundância para usuários internos, dada a baixa confiabilidade individual dos dois acessos. O que NÃO trataremos aqui» Truques baseados em DNS, 2/13

12 O que trataremos aqui» Como disponibilizar serviços por "screened hosts" pelos dois caminhos: correio eletrônico, servidor de terminais (Windows 2K3 server), web corporativa (intranet).» Prover alguma redundância para usuários internos, dada a baixa confiabilidade individual dos dois acessos. O que NÃO trataremos aqui» Truques baseados em DNS,» Roteamento dinâmico. 2/13

13 Usando as duas saídas ao mesmo tempo 3/13

14 Usando as duas saídas ao mesmo tempo» Duas rotas default de acordo com o endereço IP de origem 3/13

15 Usando as duas saídas ao mesmo tempo» Duas rotas default de acordo com o endereço IP de origem» Implementado por meio de iproute2 no Linux: /sbin/ip rule add from lookup 1 /sbin/ip rule add from lookup 2 3/13

16 Usando as duas saídas ao mesmo tempo» Duas rotas default de acordo com o endereço IP de origem» Implementado por meio de iproute2 no Linux: /sbin/ip rule add from lookup 1 /sbin/ip rule add from lookup 2 /sbin/ip route add default via src table 1 /sbin/ip route add default via src table 2 3/13

17 Usando as duas saídas ao mesmo tempo» Duas rotas default de acordo com o endereço IP de origem» Implementado por meio de iproute2 no Linux: /sbin/ip rule add from lookup 1 /sbin/ip rule add from lookup 2 /sbin/ip route add default via src table 1 /sbin/ip route add default via src table 2 Com isto garantimos que todo pacote dirigido ao endereço de uma interface será respondido por essa mesma interface. 3/13

18 Usando as duas saídas ao mesmo tempo» Duas rotas default de acordo com o endereço IP de origem» Implementado por meio de iproute2 no Linux: /sbin/ip rule add from lookup 1 /sbin/ip rule add from lookup 2 /sbin/ip route add default via src table 1 /sbin/ip route add default via src table 2 Com isto garantimos que todo pacote dirigido ao endereço de uma interface será respondido por essa mesma interface. O problema é que isto vale para servidores rodando no próprio roteador, mas nos interessa os que estão rodando nos "screened hosts". 3/13

19 Serviços prestados por "screened hosts" 4/13

20 Serviços prestados por "screened hosts" Quando havia apenas um caminho para a Internet isso era resolvido por NAT no roteador, p.ex.: 4/13

21 Serviços prestados por "screened hosts" Quando havia apenas um caminho para a Internet isso era resolvido por NAT no roteador, p.ex.: /sbin/iptables A PREROUTING i eth1 p tcp m tcp dport 25 j DNAT to destination :25 4/13

22 Serviços prestados por "screened hosts" Quando havia apenas um caminho para a Internet isso era resolvido por NAT no roteador, p.ex.: /sbin/iptables A PREROUTING i eth1 p tcp m tcp dport 25 j DNAT to destination :25 Com os dois acessos o artifício do DNAT só pode ser usado em um dos caminhos (o que tem a rota "default") senão não há caminho de volta para pacotes vindos do outro caminho. 4/13

23 Serviços prestados por "screened hosts" Quando havia apenas um caminho para a Internet isso era resolvido por NAT no roteador, p.ex.: /sbin/iptables A PREROUTING i eth1 p tcp m tcp dport 25 j DNAT to destination :25 Com os dois acessos o artifício do DNAT só pode ser usado em um dos caminhos (o que tem a rota "default") senão não há caminho de volta para pacotes vindos do outro caminho. TV a cabo Roteador ADSL Servidor 4/13

24 Serviços prestados por "screened hosts" Quando havia apenas um caminho para a Internet isso era resolvido por NAT no roteador, p.ex.: /sbin/iptables A PREROUTING i eth1 p tcp m tcp dport 25 j DNAT to destination :25 Com os dois acessos o artifício do DNAT só pode ser usado em um dos caminhos (o que tem a rota "default") senão não há caminho de volta para pacotes vindos do outro caminho. 1 TV a cabo Roteador ADSL Servidor 4/13

25 Serviços prestados por "screened hosts" Quando havia apenas um caminho para a Internet isso era resolvido por NAT no roteador, p.ex.: /sbin/iptables A PREROUTING i eth1 p tcp m tcp dport 25 j DNAT to destination :25 Com os dois acessos o artifício do DNAT só pode ser usado em um dos caminhos (o que tem a rota "default") senão não há caminho de volta para pacotes vindos do outro caminho. 1 TV a cabo Roteador 2 ADSL Servidor 4/13

26 Serviços prestados por "screened hosts" Quando havia apenas um caminho para a Internet isso era resolvido por NAT no roteador, p.ex.: /sbin/iptables A PREROUTING i eth1 p tcp m tcp dport 25 j DNAT to destination :25 Com os dois acessos o artifício do DNAT só pode ser usado em um dos caminhos (o que tem a rota "default") senão não há caminho de volta para pacotes vindos do outro caminho. 1 TV a cabo Roteador ADSL 3 2 Servidor 4/13

27 Serviços prestados por "screened hosts" Quando havia apenas um caminho para a Internet isso era resolvido por NAT no roteador, p.ex.: /sbin/iptables A PREROUTING i eth1 p tcp m tcp dport 25 j DNAT to destination :25 Com os dois acessos o artifício do DNAT só pode ser usado em um dos caminhos (o que tem a rota "default") senão não há caminho de volta para pacotes vindos do outro caminho. 4 1 TV a cabo Roteador ADSL 3 2 Servidor 4/13

28 Serviços prestados por "screened hosts" Quando havia apenas um caminho para a Internet isso era resolvido por NAT no roteador, p.ex.: /sbin/iptables A PREROUTING i eth1 p tcp m tcp dport 25 j DNAT to destination :25 Com os dois acessos o artifício do DNAT só pode ser usado em um dos caminhos (o que tem a rota "default") senão não há caminho de volta para pacotes vindos do outro caminho. 4 1 TV a cabo Roteador ADSL 3 2 Servidor 4/13

29 Solução encontrada: procurador (proxy) de aplicação 5/13

30 Solução encontrada: procurador (proxy) de aplicação» Solução por NAT é possível mas pouco prática pois implica em atribuir dois endereços a cada um dos "screened hosts". 5/13

31 Solução encontrada: procurador (proxy) de aplicação» Solução por NAT é possível mas pouco prática pois implica em atribuir dois endereços a cada um dos "screened hosts".» Saída sem alterar qualquer configuração dos servidores internos: proxies de aplicação. O servidor interno "conversa" com o roteador e este com a Internet. 5/13

32 Solução encontrada: procurador (proxy) de aplicação» Solução por NAT é possível mas pouco prática pois implica em atribuir dois endereços a cada um dos "screened hosts".» Saída sem alterar qualquer configuração dos servidores internos: proxies de aplicação. O servidor interno "conversa" com o roteador e este com a Internet. Graças ao iproute2 a resposta vai para o lado certo! 5/13

33 Solução encontrada: procurador (proxy) de aplicação» Solução por NAT é possível mas pouco prática pois implica em atribuir dois endereços a cada um dos "screened hosts".» Saída sem alterar qualquer configuração dos servidores internos: proxies de aplicação. O servidor interno "conversa" com o roteador e este com a Internet. Graças ao iproute2 a resposta vai para o lado certo! TV a cabo rota default Roteador proxy ADSL server screened host 5/13

34 Solução encontrada: procurador (proxy) de aplicação» Solução por NAT é possível mas pouco prática pois implica em atribuir dois endereços a cada um dos "screened hosts".» Saída sem alterar qualquer configuração dos servidores internos: proxies de aplicação. O servidor interno "conversa" com o roteador e este com a Internet. Graças ao iproute2 a resposta vai para o lado certo! 1 TV a cabo rota default Roteador proxy ADSL server screened host 5/13

35 Solução encontrada: procurador (proxy) de aplicação» Solução por NAT é possível mas pouco prática pois implica em atribuir dois endereços a cada um dos "screened hosts".» Saída sem alterar qualquer configuração dos servidores internos: proxies de aplicação. O servidor interno "conversa" com o roteador e este com a Internet. Graças ao iproute2 a resposta vai para o lado certo! 1 TV a cabo rota default Roteador proxy ADSL 2 server screened host 5/13

36 Solução encontrada: procurador (proxy) de aplicação» Solução por NAT é possível mas pouco prática pois implica em atribuir dois endereços a cada um dos "screened hosts".» Saída sem alterar qualquer configuração dos servidores internos: proxies de aplicação. O servidor interno "conversa" com o roteador e este com a Internet. Graças ao iproute2 a resposta vai para o lado certo! 1 TV a cabo rota default Roteador proxy ADSL 3 2 server screened host 5/13

37 Solução encontrada: procurador (proxy) de aplicação» Solução por NAT é possível mas pouco prática pois implica em atribuir dois endereços a cada um dos "screened hosts".» Saída sem alterar qualquer configuração dos servidores internos: proxies de aplicação. O servidor interno "conversa" com o roteador e este com a Internet. Graças ao iproute2 a resposta vai para o lado certo! 1 TV a cabo rota default Roteador proxy ADSL server screened host 5/13

38 Primitivo mas eficiente: netpipes como proxy de aplicação! 6/13

39 Primitivo mas eficiente: netpipes como proxy de aplicação! netpipes implementa algo parecido com "named pipes" através da rede e é formado por dois programas: "hose" (mangueira): o lado cliente, que se conecta ao "faucet" (torneira): o lado servidor. 6/13

40 Primitivo mas eficiente: netpipes como proxy de aplicação! netpipes implementa algo parecido com "named pipes" através da rede e é formado por dois programas: "hose" (mangueira): o lado cliente, que se conecta ao "faucet" (torneira): o lado servidor. "hose" tem um modo de operação que lembra um "telnet" primitivo, servindo como cliente genérico de TCP que lançado pelo (x)inetd é exatamente do que precisamos! 6/13

41 Primitivo mas eficiente: netpipes como proxy de aplicação! netpipes implementa algo parecido com "named pipes" através da rede e é formado por dois programas: "hose" (mangueira): o lado cliente, que se conecta ao "faucet" (torneira): o lado servidor. "hose" tem um modo de operação que lembra um "telnet" primitivo, servindo como cliente genérico de TCP que lançado pelo (x)inetd é exatamente do que precisamos! Exemplo de configuração do xinetd: 6/13

42 Primitivo mas eficiente: netpipes como proxy de aplicação! netpipes implementa algo parecido com "named pipes" através da rede e é formado por dois programas: "hose" (mangueira): o lado cliente, que se conecta ao "faucet" (torneira): o lado servidor. "hose" tem um modo de operação que lembra um "telnet" primitivo, servindo como cliente genérico de TCP que lançado pelo (x)inetd é exatamente do que precisamos! Exemplo de configuração do xinetd: service http { socket_type = stream wait = no user = root server = /usr/local/bin/hose server_args = xchange http netslave log_on_failure += USERID disable = no } 6/13

43 Parece bom, porém... 7/13

44 Parece bom, porém... Há protocolos que quebram a ortogonalidade de camadas e tem seu comportamento no nível de processo alterado em função do que acontece no nível de (inter)redes. Notadamente os mecanis mos anti spam do correio eletrônico sofrem desse mal: 7/13

45 Parece bom, porém... Há protocolos que quebram a ortogonalidade de camadas e tem seu comportamento no nível de processo alterado em função do que acontece no nível de (inter)redes. Notadamente os mecanis mos anti spam do correio eletrônico sofrem desse mal:» SPF associa endereços IP de remententes com o que é declarado no envelope da mensagem. 7/13

46 Parece bom, porém... Há protocolos que quebram a ortogonalidade de camadas e tem seu comportamento no nível de processo alterado em função do que acontece no nível de (inter)redes. Notadamente os mecanis mos anti spam do correio eletrônico sofrem desse mal:» SPF associa endereços IP de remententes com o que é declarado no envelope da mensagem.» Normalmene os endereços da rede interna são declarados como confiáveis, permitindo "relay" aberto sem autenticação. 7/13

47 Parece bom, porém... Há protocolos que quebram a ortogonalidade de camadas e tem seu comportamento no nível de processo alterado em função do que acontece no nível de (inter)redes. Notadamente os mecanis mos anti spam do correio eletrônico sofrem desse mal:» SPF associa endereços IP de remententes com o que é declarado no envelope da mensagem.» Normalmene os endereços da rede interna são declarados como confiáveis, permitindo "relay" aberto sem autenticação. essas quebras de ortogonalidade tem efeitos desastrosos mesmo se o servidor de correio eletrônico for prefeitamente configurado! 7/13

48 Parece bom, porém... Há protocolos que quebram a ortogonalidade de camadas e tem seu comportamento no nível de processo alterado em função do que acontece no nível de (inter)redes. Notadamente os mecanis mos anti spam do correio eletrônico sofrem desse mal:» SPF associa endereços IP de remententes com o que é declarado no envelope da mensagem.» Normalmene os endereços da rede interna são declarados como confiáveis, permitindo "relay" aberto sem autenticação. essas quebras de ortogonalidade tem efeitos desastrosos mesmo se o servidor de correio eletrônico for prefeitamente configurado!» SPF passa a ser ignorado e a quantidade de lixo recebido aumenta. 7/13

49 Parece bom, porém... Há protocolos que quebram a ortogonalidade de camadas e tem seu comportamento no nível de processo alterado em função do que acontece no nível de (inter)redes. Notadamente os mecanis mos anti spam do correio eletrônico sofrem desse mal:» SPF associa endereços IP de remententes com o que é declarado no envelope da mensagem.» Normalmene os endereços da rede interna são declarados como confiáveis, permitindo "relay" aberto sem autenticação. essas quebras de ortogonalidade tem efeitos desastrosos mesmo se o servidor de correio eletrônico for prefeitamente configurado!» SPF passa a ser ignorado e a quantidade de lixo recebido aumenta.» (muito pior!) o servidor se torna um retransmissor aberto! 7/13

50 Entendendo os impactos no e mail. 8/13

51 Entendendo os impactos no e mail. O servidor de correio recebe as conexões do proxy, com o IP interno do roteador. 8/13

52 Entendendo os impactos no e mail. O servidor de correio recebe as conexões do proxy, com o IP interno do roteador. 1 Roteador proxy ADSL server screened host 8/13

53 Entendendo os impactos no e mail. O servidor de correio recebe as conexões do proxy, com o IP interno do roteador. Endereço IP da rede ADSL 1 Roteador proxy ADSL server screened host 8/13

54 Entendendo os impactos no e mail. O servidor de correio recebe as conexões do proxy, com o IP interno do roteador. Endereço IP da rede ADSL 1 Endereço IP interno Roteador proxy ADSL server screened host 8/13

55 Entendendo os impactos no e mail. O servidor de correio recebe as conexões do proxy, com o IP interno do roteador. => não é possível avaliar a lista de controle de acesso do SPF pois o endereço do "remetente" foi perdido; o endereço percebido é o do roteador na rede interna. Endereço IP da rede ADSL 1 Endereço IP interno Roteador proxy ADSL server screened host 8/13

56 Entendendo os impactos no e mail. O servidor de correio recebe as conexões do proxy, com o IP interno do roteador. => não é possível avaliar a lista de controle de acesso do SPF pois o endereço do "remetente" foi perdido; o endereço percebido é o do roteador na rede interna. => como os endereços da rede interna são tratados como confiáveis, o servidor vai aceitar mensagens para qualquer lugar, passando a se comportar como um "relay" aberto! Endereço IP da rede ADSL 1 Endereço IP interno Roteador proxy ADSL server screened host 8/13

57 Alternativas para contornar os problemas com e mail. 9/13

58 Alternativas para contornar os problemas com e mail. 1. Voltar ao esquema de NAT, mas atribuindo dois endereços IP para o servidor de e mail, um em correspondência a cada um dos endereços externos. 9/13

59 Alternativas para contornar os problemas com e mail. 1. Voltar ao esquema de NAT, mas atribuindo dois endereços IP para o servidor de e mail, um em correspondência a cada um dos endereços externos. 2. Processar um MTA razoavelmente bem configurado no roteador, com testes de SPF e fila próprios, isto é, um proxy mais esperto do que o feito com xinetd+hose. 9/13

60 Alternativas para contornar os problemas com e mail. 1. Voltar ao esquema de NAT, mas atribuindo dois endereços IP para o servidor de e mail, um em correspondência a cada um dos endereços externos. 2. Processar um MTA razoavelmente bem configurado no roteador, com testes de SPF e fila próprios, isto é, um proxy mais esperto do que o feito com xinetd+hose. 3. Aceitar correio eletrônico por uma interface externa apenas. 9/13

61 Alternativas para contornar os problemas com e mail. 1. Voltar ao esquema de NAT, mas atribuindo dois endereços IP para o servidor de e mail, um em correspondência a cada um dos endereços externos. 2. Processar um MTA razoavelmente bem configurado no roteador, com testes de SPF e fila próprios, isto é, um proxy mais esperto do que o feito com xinetd+hose. 3. Aceitar correio eletrônico por uma interface externa apenas. 4. Excluir o endereço do roteador da lista de confiáveis. 9/13

62 Alternativas para contornar os problemas com e mail. 1. Voltar ao esquema de NAT, mas atribuindo dois endereços IP para o servidor de e mail, um em correspondência a cada um dos endereços externos. 2. Processar um MTA razoavelmente bem configurado no roteador, com testes de SPF e fila próprios, isto é, um proxy mais esperto do que o feito com xinetd+hose. 3. Aceitar correio eletrônico por uma interface externa apenas. 4. Excluir o endereço do roteador da lista de confiáveis SPF!Open Relay Redundância Simplicidade Escolha 9/13

63 Alternativas para contornar os problemas com e mail. 1. Voltar ao esquema de NAT, mas atribuindo dois endereços IP para o servidor de e mail, um em correspondência a cada um dos endereços externos. 2. Processar um MTA razoavelmente bem configurado no roteador, com testes de SPF e fila próprios, isto é, um proxy mais esperto do que o feito com xinetd+hose. 3. Aceitar correio eletrônico por uma interface externa apenas. 4. Excluir o endereço do roteador da lista de confiáveis SPF!Open Relay Redundância Simplicidade Escolha 9/13

64 Alternativas para contornar os problemas com e mail. 1. Voltar ao esquema de NAT, mas atribuindo dois endereços IP para o servidor de e mail, um em correspondência a cada um dos endereços externos. 2. Processar um MTA razoavelmente bem configurado no roteador, com testes de SPF e fila próprios, isto é, um proxy mais esperto do que o feito com xinetd+hose. 3. Aceitar correio eletrônico por uma interface externa apenas. 4. Excluir o endereço do roteador da lista de confiáveis SPF!Open Relay Redundância Simplicidade Escolha 9/13

65 Alternativas para contornar os problemas com e mail. 1. Voltar ao esquema de NAT, mas atribuindo dois endereços IP para o servidor de e mail, um em correspondência a cada um dos endereços externos. 2. Processar um MTA razoavelmente bem configurado no roteador, com testes de SPF e fila próprios, isto é, um proxy mais esperto do que o feito com xinetd+hose. 3. Aceitar correio eletrônico por uma interface externa apenas. 4. Excluir o endereço do roteador da lista de confiáveis SPF!Open Relay Redundância Simplicidade Escolha 9/13

66 Alternativas para contornar os problemas com e mail. 1. Voltar ao esquema de NAT, mas atribuindo dois endereços IP para o servidor de e mail, um em correspondência a cada um dos endereços externos. 2. Processar um MTA razoavelmente bem configurado no roteador, com testes de SPF e fila próprios, isto é, um proxy mais esperto do que o feito com xinetd+hose. 3. Aceitar correio eletrônico por uma interface externa apenas. 4. Excluir o endereço do roteador da lista de confiáveis SPF!Open Relay Redundância Simplicidade Escolha 9/13

67 Alternativas para contornar os problemas com e mail. 1. Voltar ao esquema de NAT, mas atribuindo dois endereços IP para o servidor de e mail, um em correspondência a cada um dos endereços externos. 2. Processar um MTA razoavelmente bem configurado no roteador, com testes de SPF e fila próprios, isto é, um proxy mais esperto do que o feito com xinetd+hose. 3. Aceitar correio eletrônico por uma interface externa apenas. 4. Excluir o endereço do roteador da lista de confiáveis SPF!Open Relay Redundância Simplicidade Escolha 9/13

68 Redundância fria para usuários internos 10/13

69 Redundância fria para usuários internos» Os usuários internos de Web e outros serviços (ssh, ftp) usam NAT com uma única rota default. 10/13

70 Redundância fria para usuários internos» Os usuários internos de Web e outros serviços (ssh, ftp) usam NAT com uma única rota default.» Um processo testa periodicamente as duas conexões (uma saraivada de pings para os roteadores vizinhos) e comuta a rota default. 10/13

71 Redundância fria para usuários internos» Os usuários internos de Web e outros serviços (ssh, ftp) usam NAT com uma única rota default.» Um processo testa periodicamente as duas conexões (uma saraivada de pings para os roteadores vizinhos) e comuta a rota default. Um trecho do script (Bourne shell): 10/13

72 Redundância fria para usuários internos» Os usuários internos de Web e outros serviços (ssh, ftp) usam NAT com uma única rota default.» Um processo testa periodicamente as duas conexões (uma saraivada de pings para os roteadores vizinhos) e comuta a rota default. Um trecho do script (Bourne shell): # o primário está vivo? ping q c 5 ${gw1} >&/dev/null && { test ${defgw} = ${gw1} { /sbin/ip route del ${defroute} /sbin/ip route add default via ${gw1} dev ${if1} /usr/bin/logger p local1.warning "nova rota default: " \ "via ${gw1} dev ${if1}" } exit } 10/13

73 Proxy de Web 11/13

74 Proxy de Web» Squid transparente (até telnet na porta 80 vai para o squid). 11/13

75 Proxy de Web» Squid transparente (até telnet na porta 80 vai para o squid).» Squid usa a rota default. 11/13

76 Proxy de Web» Squid transparente (até telnet na porta 80 vai para o squid).» Squid usa a rota default.» Chaveamento da rota default ocorre muito rápido: o usuário regular de Web nem percebe o que está acontecendo. 11/13

77 Proxy de Web» Squid transparente (até telnet na porta 80 vai para o squid).» Squid usa a rota default.» Chaveamento da rota default ocorre muito rápido: o usuário regular de Web nem percebe o que está acontecendo. Proxy de outros serviços 11/13

78 Proxy de Web» Squid transparente (até telnet na porta 80 vai para o squid).» Squid usa a rota default.» Chaveamento da rota default ocorre muito rápido: o usuário regular de Web nem percebe o que está acontecendo. Proxy de outros serviços» Basicamente ssh, ftp e https. 11/13

79 Proxy de Web» Squid transparente (até telnet na porta 80 vai para o squid).» Squid usa a rota default.» Chaveamento da rota default ocorre muito rápido: o usuário regular de Web nem percebe o que está acontecendo. Proxy de outros serviços» Basicamente ssh, ftp e https.» NAT convencional pela rota default. 11/13

80 Proxy de Web» Squid transparente (até telnet na porta 80 vai para o squid).» Squid usa a rota default.» Chaveamento da rota default ocorre muito rápido: o usuário regular de Web nem percebe o que está acontecendo. Proxy de outros serviços» Basicamente ssh, ftp e https.» NAT convencional pela rota default.» Serviço interrompido ao comutar a rota default. 11/13

81 Conclusões 12/13

82 Conclusões» Foi implantado um esquema de acesso duplo usando dois acessos de "varejo": TV a cabo e ADSL. 12/13

83 Conclusões» Foi implantado um esquema de acesso duplo usando dois acessos de "varejo": TV a cabo e ADSL.» O uso de "policy routing" e proxies de aplicação permitiram clientes remotos usar os dois acessos simultaneamente. 12/13

84 Conclusões» Foi implantado um esquema de acesso duplo usando dois acessos de "varejo": TV a cabo e ADSL.» O uso de "policy routing" e proxies de aplicação permitiram clientes remotos usar os dois acessos simultaneamente.» O esquema, porém, fura em aplicações que decidem seu comportamento em função da camada de IP => e mail! 12/13

85 Conclusões» Foi implantado um esquema de acesso duplo usando dois acessos de "varejo": TV a cabo e ADSL.» O uso de "policy routing" e proxies de aplicação permitiram clientes remotos usar os dois acessos simultaneamente.» O esquema, porém, fura em aplicações que decidem seu comportamento em função da camada de IP => e mail!» Usuários da rede interna tem acesso à Web por squid em modo transparente apenas por uma das interfaces mas mal sentem as transições. 12/13

86 Conclusões» Foi implantado um esquema de acesso duplo usando dois acessos de "varejo": TV a cabo e ADSL.» O uso de "policy routing" e proxies de aplicação permitiram clientes remotos usar os dois acessos simultaneamente.» O esquema, porém, fura em aplicações que decidem seu comportamento em função da camada de IP => e mail!» Usuários da rede interna tem acesso à Web por squid em modo transparente apenas por uma das interfaces mas mal sentem as transições.» Outros serviços encaminhados por NAT se quebram nas transições. O cliente considera fortemente simplesmente não usar NAT e rodar essas aplicações no roteador. 12/13

87 Referências 13/13

88 Referências 13/13

89 Referências Elizabeth D. Zwicky, Simon Cooper, D. Brent Chapman Building Internet Firewalls ed. O Reily 13/13

90 Referências Elizabeth D. Zwicky, Simon Cooper, D. Brent Chapman Building Internet Firewalls ed. O Reily Basicamente tudo o que você queria saber sobre firewalls mas tinha medo de perguntar. 13/13

91 Referências Elizabeth D. Zwicky, Simon Cooper, D. Brent Chapman Building Internet Firewalls ed. O Reily Basicamente tudo o que você queria saber sobre firewalls mas tinha medo de perguntar. Artigo da revista da RNP sobre roteamento avançado com Linux. 13/13

92 Referências Elizabeth D. Zwicky, Simon Cooper, D. Brent Chapman Building Internet Firewalls ed. O Reily Basicamente tudo o que você queria saber sobre firewalls mas tinha medo de perguntar. Artigo da revista da RNP sobre roteamento avançado com Linux. Linux Advanced Routing & Traffic Control 13/13

93 Referências Elizabeth D. Zwicky, Simon Cooper, D. Brent Chapman Building Internet Firewalls ed. O Reily Basicamente tudo o que você queria saber sobre firewalls mas tinha medo de perguntar. Artigo da revista da RNP sobre roteamento avançado com Linux. Linux Advanced Routing & Traffic Control Multiple Default Gateways under Linux with iproute2 13/13