Trafico de retorno - NAT y Load Balancers

Buenas tardes.

Quisiera que me aclaren una duda que tengo sobre el trafico de retorno. Tengo los siguientes escenarios:

1.-Si tengo un servidor web publicado en internet (DNAT) detrás de un Firewall o router, y un usuario realiza un request a la IP publica. El servidor web siempre consulta a su default gateway para saber por donde enviar el trafico de respuesta (retorno)?, o en alguna parte del paquete TCP se guarda un valor que indica que debe regresar por el mismo camino por donde ingresó?. Se me ocurre, que en algunos casos puede existir un equipo dedicado para publicacion y otro para navegación, o el default gateway no siempre es el mismo equipo de publicacion/navegación; entonces en esos casos deberia considerar que dicha salida esté permitida.

Ingreso:
Users (Internet) ---> Firewall/Router (DNAT) ---> Web server (en DMZ o Interna)

Retorno:
Web server (en DMZ o Interna) ---> Default Gateway ó mismo Firewal/Router por donde ingreso ---> Users (Internet)

2.-Si tengo un Load Balancer que balancea 02 servidores web. El trafico de retorno siempre se devolverá por el load balancer?, o los servidores web consultarán a su default gateway para el retonro?. Los load balancer hacen un especie de NAT?
Ingreso:
Users (Internet) ---> Load Balancer ---> Web server (en DMZ o Interna)

Retorno:
Web server (en DMZ o Interna) ---> Default Gateway ó Load Balancer por donde ingreso ---> Users (Internet)

Todo este tema del trafico de retorno en estos escenarios tiene algun nombre tecnico,? como para buscar mas documentación al respecto.

Espero me puedan ayudar con esta gran duda.
 
Última edición:
Buenas.
Ningún equipo va a hacer balanceo de carga con el tráfico de retorno.
En primer lugar, si hay un firewall SPI en la salida, los controles SPI no permitirán salir (ni entrar) un paquete que no pertenezca a un hilo TCP que no haya pasado primeramente por los estados SYN y ACK en el mismo equipo. Indaga un poco en el concepto de Assymetrical Routes.
En segundo lugar se presenta un problema similar del lado del cliente: el NAT/SPI vió salir un SYN hacia determinado socket destino remoto, pues, aunque hay distintos tipos de NAT y de severidad en el control, el ACK de retorno, y el tráfico subsiguiente deben provenir del mismo socket para que no sean bloqueados.
El Load Balancer para el tráfico de salida debe estar más interno que los GW en la red local, porque si pones el LB del lado WAN del GW, cómo hace luego el LB para redirigir el tráfico hacia otro GW?
 
OGalati dijo:
Buenas.
Ningún equipo va a hacer balanceo de carga con el tráfico de retorno.
En primer lugar, si hay un firewall SPI en la salida, los controles SPI no permitirán salir (ni entrar) un paquete que no pertenezca a un hilo TCP que no haya pasado primeramente por los estados SYN y ACK en el mismo equipo. Indaga un poco en el concepto de Assymetrical Routes.
En segundo lugar se presenta un problema similar del lado del cliente: el NAT/SPI vió salir un SYN hacia determinado socket destino remoto, pues, aunque hay distintos tipos de NAT y de severidad en el control, el ACK de retorno, y el tráfico subsiguiente deben provenir del mismo socket para que no sean bloqueados.
El Load Balancer para el tráfico de salida debe estar más interno que los GW en la red local, porque si pones el LB del lado WAN del GW, cómo hace luego el LB para redirigir el tráfico hacia otro GW?
Haz clic para expandir...
Gracias por la respuesta. Buscaré mas info de Assymetrical Routes.

Mi duda, es si para la respuesta/retorno, el servidor consultará a su defualt gateway o de alguna forma sabe que debe retornar por el mismo camino por donde ingresó? No sé si en los paquetes TCP/IP guarda ese tipo de información.
Porque por ejemplo yo podria tener en mi servidor como DGW a un router WAN que me comunica con todas mis sedes, y un router/firewall que permite el ingress publico.

Muchas gracias.
 
En el paquete IP no hay nada de eso, y mucho menos en el segmento TCP.
No comprendo el concepto de "consultar" al DGW.
El servidor, como cualquier otro equipo, tiene una Tabla de Rutas que respetar.
La Tabla de Rutas incluye info sobre qué GW debe usarse para cada destino. Si el paquete debe enviarse a un destino que no tiene un GW específico, se le enviará al Default GW para que se encargue.
Normalmente, si hay un Load Balancer multi-WAN, se lo usa como GW general para todos los equipos de la red, y éste se ocupa, con su propia Tabla de Rutas (que altera "al vuelo" dependiendo de las cargas de sus distintas salidas WAN) de enviar el paquete por donde más le convenga.
 
Debes estar conectado o registrado para responder aquí.

Similar threads

O
Como funciona las reglas de firewall y nat
Respuestas
1
Visitas
458
pokoyo
R
Problema al cambiar IP de mikrotik
Respuestas
14
Visitas
370
roolezz
DavidGrandes
IPTV Vodafone en Mikrotik
2 3 4
Respuestas
70
Visitas
2,546
DavidGrandes
V
Mikrotik rb4011 + Gpon uFiber nano g + tlf voIP + Wifi AP Nano HD
2
Respuestas
37
Visitas
2,128
pokoyo
pokoyo
  • Anclado
MANUAL: Mikrotik, balanceo de carga PCC con failover
Respuestas
13
Visitas
2,455
Yoniper
Arriba