Sunday, September 30, 2012

Configure Shorewall (Not) Load Balance, Satu Speedy-nya Rusak

Load balance 1 speedy rusak

Kemarenan di warnet tetangga, internetnya lambat sekali... tidak seperti biasanya... setelah ditelusuri penyebabnya ternyata adalah modemnya rusak.
Di warnet tetangga ini, dia menggunakan load balance 2 buah speedy dengan menggunakan shorewall... sama persis dengan artikel configure shorewall... ya.. pastinya sama persis donk... lah saya buat sendiri... hehehehe...
Menurut teori load balance, dan berdasarkan pengalaman, jika salah satu speedy mati, maka speedy yang lainnya performancenya juga ikut drop.
Sambil nunggu pergantian modem speedy yang baru, speedy yang satunya di offkan dulu... Sebenarnya, artinya sama dengan menggunakan 2 ethernet, (1 wan, 1 lan ), yang sudah banyak  dibahas contoh configurasinya di shorewall.net. Atau bisa juga dengan menggunakan configurasi dengan merubah interface yang semula wan, menjadi lan. Dalam kasus ini, interface wan yang dirubah adalah interface terhadap modem speedy yang rusak.

Configurasi awalnya adalah seperti pada artikel sebelumnya, configure shorewall. Beberapa file harus dirubah, cukup diberikan tanda "pagar" (#) agar lebih mudah dikembalikan lagi ke semula... Semua file harus dirubah terlebih dahulu, baru di jalankan shorewall restart, jika ada ketinggalan 1 file, bisa parah hasilnya...Seperti yang pernah saya alami sendiri, tidak bisa remote, akhirnya terpaksa pandu orang di lokasi, sampe mulut bebusa...
Langsung saja. File zones, interface, masq, dan policy, beberapa baris ditambah dan baris lainnya diberikan tanda pagar. 
[root@bamboe bamboe]# cat /etc/shorewall/zones
#############################################################################
#ZONE   TYPE            OPTIONS         IN                      OUT
#                                       OPTIONS                 OPTIONS
loc2   ipv4
net     ipv4
loc     ipv4
fw      firewall
#LAST LINE -- DO NOT REMOVE
[root@bamboe shorewall]# cat interfaces
############################################################################
#ZONE   INTERFACE       BROADCAST       OPTIONS
#net     eth2    detect
loc2    eth2    detect
net     eth0    detect
loc     eth1    detect
#LAST LINE -- DO NOT REMOVE
[root@bamboe shorewall]# cat masq
#############################################################################
#INTERFACE              SOURCE          ADDRESS         PROTO   PORT(S) IPSEC   MARK    USER/
#                                                                                       GROUP
eth0    eth1
#eth0    192.168.3.30    192.168.1.30
# eth0    eth1    192.168.1.30
#eth2    192.168.1.30    192.168.3.30
#eth2    eth1    192.168.3.30
#LAST LINE -- DO NOT REMOVE
[root@bamboe shorewall]# cat policy
#############################################################################
#SOURCE DEST    POLICY          LOG     LIMIT:          CONNLIMIT:
#                               LEVEL   BURST           MASK
loc     fw      ACCEPT
fw      loc     ACCEPT
fw      net     ACCEPT
loc     loc2    ACCEPT
net     all     DROP    info
all     all     REJECT  info
#LAST LINE -- DO NOT REMOVE


File nat, route_rules dan providers, tidak dibutuhkan, filenya dikosongkan, atau diberikan tanda pagar (#) semuanya...
[root@bamboe etc]# cat shorewall/nat
############################################################################
#EXTERNAL       INTERFACE       INTERNAL        ALL             LOCAL
#                                               INTERFACES
#192.168.3.32    eth2    192.168.10.25   no      no
#192.168.3.31    eth2    192.168.10.20   no      no
#LAST LINE -- DO NOT REMOVE
[root@bamboe shorewall]# cat providers
############################################################################
#NAME   NUMBER  MARK    DUPLICATE       INTERFACE       GATEWAY         #OPTIONS         COPY
## load balance speedy
#speedy1 1       1       main    eth2    192.168.3.1     track,balance   eth1
#speedy2 2       2       main    eth0    192.168.1.1     track,balance   eth1

[root@bamboe shorewall]# cat route_rules
############################################################################
#SOURCE                 DEST                    PROVIDER        PRIORITY
### Option untuk mengalihkan trafik untuk IP tujuan / situs
#eth1                   125.160.xx.xxx/25         speedy2         1000
#eth1                    119.110.xxx.xxx        speedy1         1000
#eth1                    119.110.xxx.xx      speedy1         1000
#eth1                    202.134.xx.xxx         speedy2         1000
#eth1                   192.168.3.1             speedy1         1000
#eth1                    -                       speedy1         1000
#LAST LINE -- DO NOT REMOVE
 File "rules", intinya tidak perlu dirubah. Kecuali ada perubahan jaringan yang dilakukan yang lebih spesifik, file "rules" juga harus dimodif. Jadi tergantung kebutuhan.
[root@bamboe shorewall]# cat rules
#########################################################################

ORIGINAL        #RATE            USER/   MARK    CONNLIMIT       TIME
#                                                       PORT    PORT(S)         DEST            LIMIT           GROUP
#SECTION ESTABLISHED
#SECTION RELATED
INCLUDE rules.drakx
#Ip computer yang boleh akses semuanya,
ACCEPT          loc:192.168.10.20,192.168.10.25         net     -       -
#akses router ini dari Ip luar untuk remote
ACCEPT          net:125.167.xxx.xxx,125.167.xx.xxx,125.167.xxx.xxx,118.9x.xxx.xxx/xx      fw      tcp     22,80,443       -
#reject computer client supaya ndak bisa akses ke ip lan dan public modemnya speedy
REJECT          loc     net:192.168.1.1 -       -
REJECT          loc     net:110.1xx.xxx.xxx     -       -
REJECT          loc     net:192.168.3.1 -       -
REJECT          loc     net:180.2xx.xxx.xxx      -       -
#kemudian client accept ke semuanya
ACCEPT          loc     net     -       -
#ini agar webserver yang dibuat di LAN bisa diakses dari luar (di modem speedynya juga sudah dinat kan )
DNAT            net     loc:192.168.10.25       tcp     80      -       192.168.3.32
#dan beberapa aplikasi bisa diakses / diremote dari luar, khusus untuk ip tertentu saja. (di modem speedynya juga sudah dinat kan )
DNAT            net:125.167.xxx.xxx,125.1xx.xxx.xxx       loc:192.168.10.25       tcp     80,443,5901     -       192.168.3.32
DNAT            net:125.167.xxx.xxx,125.1xx.xxx.xxx       loc:192.168.10.20       tcp     3389,5900,5800  -       192.168.3.31
#transparent proxy
REDIRECT        loc     3127    tcp     www     -
#LAST LINE -- DO NOT REMOVE
Done. restart shorewall... Indikasi configurasi yang telah dimodif ini berhasil adalah, internet tidak lambat, semua trafik dirouting ke speedy yang baik, dan squid masih running.  Good luck ... !!!

2 comments:

  1. ow tidak bisa ya? bukannya fungsi load-balance itu, jika yang satunya mati, maka akses tidak yang lainnya tidak terganggu.

    ReplyDelete
    Replies
    1. tergantung metode, software dan hardware yang digunakan...
      bsa sja jika salah satu mati, kemudian memakai akses full yang masih up...
      dibuatkan saja scriptnya, dengan memonitor ping... if salah satu gateway down... then ubah shorewall jadikan seperti di atas...
      if kedua gateway up, then kembalikan shorewall seperti semula...

      Delete