论坛 › lvs › lvs+iptables持久连接

list1234 发表于 2019-1-3 10:12:03

lvs+iptables持久连接

例：基于某个客户主机的持久链接，后方两台服务器，前方两台directory，使得某个客户端访问某个服务器时会对这台服务器进行持久的链接。
PCC 基于客户端的连接
Ipvsadm –A –t 192.168.2.100:0 –s rr –p 1800
http://blog.运维网.com/attachment/201310/135904924.png
测试：
http://blog.运维网.com/attachment/201310/135915305.png


例：基于某个客户主机端口的持久链接，后方两台服务器分别装有wed server （http https）ftp，前方两台directory，使得某个客户端访问某个服务器时会对这台服务器进行持久的链接。
1）首先我们需要生成CA的证书，编辑CA配置文件
# vim /etc/pki/tls/openssl.cnf
http://blog.运维网.com/attachment/201310/135941270.png
http://blog.运维网.com/attachment/201310/135955135.png








2）创建三个目录，两个文件，产生私钥文件并且需要对私钥文件进行更改权限，产生证书（x509）
http://blog.运维网.com/attachment/201310/140022446.png
3）给自己颁发一份CA的证书
http://blog.运维网.com/attachment/201310/140039790.png
4）安装mod_ssl文件
http://blog.运维网.com/attachment/201310/140053286.png
5）创建存放apache的证书存放目录
http://blog.运维网.com/attachment/201310/140109620.png
6）产生apache的私钥文件，请求文件，并且更改自己的私钥文件的权限，
# chmod 600 httpd.key


http://blog.运维网.com/attachment/201310/140123605.png
7）请求CA向自己颁发证书
http://blog.运维网.com/attachment/201310/140139804.png
8）apache与CA的捆绑需要编辑mod_ssl的配置文件
# vim/etc/httpd/conf.d/ssl.conf
http://blog.运维网.com/attachment/201310/140149717.png
http://blog.运维网.com/attachment/201310/140213260.png
http://blog.运维网.com/attachment/201310/140240774.png


9）Node2与node1的做法需要一致，配置完成后需要对apache进行重新启动apache服务器
http://blog.运维网.com/attachment/201310/140256376.png
10）对http和https进行文件防火墙打标
# iptables -t mangle -A PREROUTING -d192.168.2.100 -p tcp --dport 80 -j MARK --set-mark 10 打标记只要你访问80端口的，标记为10
# iptables -t mangle -A PREROUTING -d192.168.2.100 -p tcp --dport 443 -j MARK --set-mark 10 443端口的也标记为10
图15
http://blog.运维网.com/attachment/201310/140316546.png
http://blog.运维网.com/attachment/201310/140335951.png




11）测试
http://blog.运维网.com/attachment/201310/140404994.png
http://blog.运维网.com/attachment/201310/140417686.png
http://blog.运维网.com/attachment/201310/140428339.png
http://blog.运维网.com/attachment/201310/140438165.png






Node1的ftp持久链接的设置，node2和node1配置基本类似
1）安装vsftp服务器文件
http://blog.运维网.com/attachment/201310/140507683.png
2）创建测试文件
http://blog.运维网.com/attachment/201310/140518915.png
3）因为我们采用ftp的被动方式来进行访问，我们需要对端口的地址范围进行虽小化
vim/etc/vsftpd/vsftpd.conf
http://blog.运维网.com/attachment/201310/140528168.png
4）对vsftp文件进行防火墙打标
# iptables -t mangle -A PREROUTING -d192.168.2.100 -p tcp --dport 21 -j MARK --set-mark 20
# iptables -t mangle -A PREROUTING -p tcp -m multiport --dport 10000:10002 -j MARK --set-mark 20
5）ipvs链表
http://blog.运维网.com/attachment/201310/140537796.png
6）测试
http://blog.运维网.com/attachment/201310/140548491.png
　　v

查看完整版本: lvs+iptables持久连接