O que é o Hyperglass

O hyperglass é um espelho de rede de código aberto escrito por um engenheiro de rede para outros engenheiros de rede. O objetivo de um espelho é fornecer aos clientes, colegas e completos estranhos uma visibilidade autônoma da rede de uma operadora. A hyperglass foi criada com o grande objetivo de beneficiar a comunidade da Internet em geral, fornecendo uma maneira mais rápida, fácil e segura para as operadoras fornecerem serviços de espelhos a seus clientes, colegas e outras operadoras de rede.

Recursos:
– Rota BGP
– BGP Community
– BGP AS Path
– Ping
– Traceroute

Suporte para:
– Arista EOS
– BIRD
– Cisco IOS-XR
– Cisco IOS/IOS-XE
– Cisco NX-OS
– FRRouting
– Huawei
– Juniper JunOS
– Mikrotik
– Nokia SR OS
– TNSR
– VyOS

Personalização recursos, tema, texto da UI/API, mensagens de erro e comandos.

Ao decorrer do tutorial irei deixar todos os links com referencia a documentação https://hyperglass.dev/docs/, pois o mesmo tem muita possibilidades.

Notas e agradecimento

O hyperglass é tem sua principal base desenvolvida em Python e está disponível no github.com por thatmattlove, no entanto conta com um grupo no telegram onde encontrei algumas soluções para huawei, meu conhecimento em Python é limitado (ainda), mas criei meu próprio fork do projeto, e realizei algumas alterações. Deixar aqui uma agradecimento a eaitelecomunicacoes onde encontrei uma contribuição que me ajudou muito. Contamos com ajuda de todos para tornar o projeto algo ainda melhor! Se tiver melhorias nao deixe de realizar um Pull requests.

Distribuição Linux

Todos meus testes foram realizando em cima do Debian 11
– Instalação do Debian 11 Bullseye limpa passo-a-passo

Acesse seu servidor e se torne root da forma correta:

# su -

Pacotes necessários

# apt install -y python3-dev python3-pip python3-pil python3-pil.imagetk\
 python3-libtiff python3-glymur libtiff-dev libfreetype-dev liblcms2-2\
 liblcms2-utils libwebp-dev libboost-dev libimagequant-dev libraqm-dev\
 libjpeg-dev wget unzip zip git curl gnupg2

Script de instalação

# cd /tmp
# wget https://raw.githubusercontent.com/remontti/hyperglass/main/install.sh
# bash install.sh

Ao finalize execute o comando hyperglass –help para ver se a instalação esta funcionando.

# hyperglass --help

Usage: hyperglass [OPTIONS] COMMAND [ARGS]...

   hyperglass Command Line Interface

Options:
   -v, --version   hyperglass version
   -h, --help      Show this help message

Commands:
   build-ui      Create a new UI build
   clear-cache   Clear the Redis cache
   secret        Generate agent secret
   setup         Run the setup wizard
   start         Start web server
   system-info    Get system information for a bug report

Configurando hyperglass

# hyperglass setup

Vamos definir o diretório de configurações, selecione com a seta para baixo /etc/hyperglass

[?] Choose a directory for hyperglass: /etc/hyperglass
   /root/hyperglass
 > /etc/hyperglass

Antes de deixar você chanar no erro webpack:

[ERROR] 20230330 10:02:32 | hyperglass.util.frontend:401 | build_frontend → 
Messages:
info  - Using webpack 5. Reason: future.webpack5 option enabled https://nextjs.org/docs/messages/webpack5

Vamos a solução localize `webpack5: true,` e altere para `webpack5: false,`

# sed -i 's/webpack5: true,/webpack5: false,/g' /usr/local/lib/python3.9/dist-packages/hyperglass/ui/next.config.js

Parâmetros de configuração

Crie o arquivo /etc/hyperglass/hyperglass.yaml

# vim /etc/hyperglass/hyperglass.yaml

Ajuste suas informações. Doc.

# https://hyperglass.dev/docs/parameters
debug: false
developer_mode: false
org_name: Remontti Telecom
primary_asn: 12345
site_title: Looking Glass Remontti
site_description: "{org_name} Network Looking Glass"
site_keywords: [hyperglass, looking glass, routing, bgp]
request_timeout: 30
listen_address: "172.18.18.79"  # IP que ira startar o serviço
listen_port: 80  # Porta do servico
#
# https://hyperglass.dev/docs/response-caching
cache:
  database: 0
  host: localhost
  port: 6379
  show_text: true
  timeout: 120
#
# https://hyperglass.dev/docs/messages/
messages:
  acl_denied: "{target} is a member of {denied_network}, which is not allowed."
  acl_not_allowed: "{target} is not allowed."
  authentication_error: Authentication error occurred.
  connection_error: "Error connecting to {device_name}: {error}"
  feature_not_enabled: "{feature} is not enabled for {device_name}."
  general: Something went wrong.
  invalid_field: "{input} is an invalid {field}."
  invalid_input: "{target} is not a valid {query_type} target."
  no_input: "{field} must be specified."
  no_output: The query completed, but no matching results were found.
  no_response: No response.
  parsing_error: An error occurred while parsing the query output.
  request_timeout: Request timed out.
  vrf_not_associated: VRF {vrf_name} is not associated with {device_name}.
  vrf_not_found: VRF {vrf_name} is not defined.
#
# https://hyperglass.dev/docs/logging/ (/var/log/hyperglass.log)
logging:
  directory: /var/log
  format: text
  max_size: 50 MB
#
# https://hyperglass.dev/docs/query-settings/
queries:
  bgp_route:
    display_name: BGP Route
    enable: true
  bgp_community:
    #Huwei modo structured não fuciona
    display_name: BGP Community
    enable: false
    mode: select
    communities:
      - community: 12345:666
        display_name: Blackhole
        description: 12345:666
  bgp_aspath:
    #Huwei modo structured não fuciona
    display_name: BGP AS Path
    enable: false
    pattern:
      asdot: '^(\^|^\_)((\d+\.\d+)\_|(\d+\.\d+)\$|(\d+\.\d+)\(\_\.\+\_\))+$'
      asplain: '^(\^|^\_)(\d+\_|\d+\$|\d+\(\_\.\+\_\))+$'
      mode: asplain
  ping:
    display_name: Ping
    enable: true
  traceroute:
    display_name: Traceroute
    enable: true
    #
# https://hyperglass.dev/docs/table-output/
structured:
  rpki:
    mode: external

#  communities:
#    #Para não exibir nenhuma communities    
#    mode: deny

#  communities:
#    # Para permitir apenas...
#    mode: permit
#    items:
#      - '65000:\d+'
#      - '65[1-4]00:\d+'

# https://hyperglass.dev/docs/ui/configuration/
web:
  links:
    - title: PeeringDB
      url: https://www.peeringdb.com/asn/12345
      side: left
      order: 1
    - title: Qrator
      url: https://radar.qrator.net/AS12345
      side: left
      order: 2
    - title: RADb
      url: https://www.radb.net/query?advanced_query=&keywords=AS12345
      side: left
      order: 3
    - title: IRR Explorer
      url: https://irrexplorer.nlnog.net/asn/AS12345
      side: left
      order: 4
    - title: RDAP
      url: https://rdap.registro.br/autnum/12345
      side: left
      order: 5    
    - title: Remontti
      url: https://www.remontti.com.br
      side: right
      order: 0
  menus:
    - title: Contato
      content: "Please contact [noc@remontti.com.br](mailto:noc@remontti.com.br) to get support."
      side: right
    - title: Termos e Condições
      content: /etc/hyperglass/terms-and-conditions.md
      side: right
  # https://hyperglass.dev/docs/ui/logo
  logo:
    dark: /etc/hyperglass/static/images/hyperglass-dark.svg
    light: /etc/hyperglass/static/images/hyperglass-light.svg
    favicon: /etc/hyperglass/static/images/hyperglass-icon.svg
    height: null
    width: 100%
  # https://hyperglass.dev/docs/ui/text
  text:
    cache_icon: Cached from {time} UTC
    cache_prefix: "Results cached for "
    complete_time: Completed in {seconds}
    fqdn_error: Unable to resolve {fqdn}
    fqdn_error_button: Try Again
    fqdn_message: Your browser has resolved {fqdn} to
    fqdn_tooltip: Use {protocol}
    no_communities: No Communities
    query_location: Location
    query_target: Target
    query_type: Query Type
    query_vrf: Routing Table
    rpki_invalid: Invalid
    rpki_unknown: No ROAs Exist
    rpki_unverified: Not Verified
    rpki_valid: Valid
    subtitle: Network Looking Glass
    title: hyperglass
    title_mode: logo_subtitle
  # https://hyperglass.dev/docs/ui/theme
  # https://hyperglass.dev/docs/ui/example

Adicionando Dispositivos

Para adicionar seus dispositivos para cunsultas LG, crie o arquivo /etc/hyperglass/devices.yaml. Vou deixar um exemplo básico para Huawei, Mikrotik e comando personalizados com Linux. Docs

# vim /etc/hyperglass/devices.yaml

Adicione de acordo suas configurações

# https://hyperglass.dev/docs/adding-devices
routers:
  - name: AS12345 Remontti
    address: 10.50.50.25
    network:
      name: as12345
      display_name: Huawei
    credential:
      username: lookingglass
      password: supersenha
    port: 22
    nos: huawei
    vrfs:
      - name: global
        default: true
        ipv4:
          source_address: 200.200.200.200
          access_list:
            - network: 10.0.0.0/8
              action: deny
            - network: 192.168.0.0/16
              action: deny
            - network: 100.64.0.0/10
              action: deny
            - network: 172.16.0.0/12
              action: deny
            - network: 0.0.0.0/0
              action: permit
              ge: 8
              le: 32
        ipv6:
          source_address: 2000:2000:1::1
          access_list:
            - network: ::/0
              action: permit
              ge: 32
              le: 128

  - name: Mkzao Remontti
    address: 172.18.18.1
    network:
      name: routerosrr
      display_name: Mikrotik
    credential:
      username: usuario
      password: senha
    port: 22
    nos: mikrotik_routeros
    vrfs:
      - name: global
        default: true
        ipv4:
          source_address: 172.18.18.1
        ipv6:
          source_address: 2001:db8::2

  - name: Localhost Hyperglass
    address: 127.0.0.1
    network:
      name: test1
      display_name: Linux
    credential:
      username: usuario
      password: senha
    nos: linux
    commands: linux_comando_personlizado
    vrfs:
      - name: global
        default: true
        ipv4:
          source_address: 192.168.0.5
        ipv6:
          source_address: 2001:db8:bebe:cafe:5

Comandos personalizados

# vim /etc/hyperglass/commands.yaml

Acima adicionei um device linux, qual temos comandos personalizado, segue um exemplo de como seria. Crie o arquivo /etc/hyperglass/commands.yaml

#https://hyperglass.dev/docs/commands
linux_comando_personlizado:
  ipv4_default:
    bgp_route: 'echo bgp_route "{target}"'
    bgp_aspath: 'echo bgp_aspath "{target}"'
    bgp_community: 'echo bgp_community "{target}"'
    ping: 'ping -c 4 "{target}"'
    traceroute: 'traceroute -n "{target}"'
  ipv6_default:
    bgp_route: 'echo "{target}"'
    bgp_aspath: 'echo "{target}"'
    bgp_community: 'echo "{target}"'
    ping: 'echo "{target}"'
    traceroute: 'echo "{target}"'
  ipv4_vpn:
    bgp_route: 'echo "{vrf} {target}"'
    bgp_aspath: 'echo "{vrf} {target}"'
    bgp_community: 'echo "{vrf} {target}"'
    ping: 'echo "{vrf} {target}"'
    traceroute: 'echo "{vrf} {target}"'
  ipv6_vpn:
    bgp_route: 'echo "{vrf} {target}"'
    bgp_aspath: 'echo "{vrf} {target}"'
    bgp_community: 'echo "{vrf} {target}"'
    ping: 'echo "{vrf} {target}"'
    traceroute: 'echo "{vrf} {target}"'

Crie um arquivo para seis termos:

# vim /etc/hyperglass/terms-and-conditions.md

Descreva de acordo suas políticas.

Ao usar {site_title}, você concorda em cumprir os seguintes termos de uso:

Todas as consultas executadas nesta página são registradas para análise e solução de problemas. 
Os usuários estão proibidos de automatizar consultas ou tentar processar consultas em massa. Este serviço é fornecido com base no melhor esforço, e {org_name} não oferece garantias ou garantias de disponibilidade ou desempenho.

Agora vamos a construção da interface do usuário. o Comando a baixo pode levar uns minutinho.

# cd /etc/hyperglass/
# hyperglass build-ui

Aguarde até ter a resposta:

[SUCCESS] 20230329 21:36:48 | hyperglass.util.frontend:386 | build_frontend → Completed UI build
 Completed UI build in production mode

Iniciando o serviço

Poderíamos iniciar com o comando `hyperglass start`, mas vamos criar um serviço no linux para fazer esse trabalho, para deixar até mesmo automatizado durante o boot. para isso irei criar uma pasta /etc/hyperglass/service/ onde irei criar nosso serviço.

# mkdir /etc/hyperglass/service/
# vim /etc/hyperglass/service/hyperglass.service

Agora vamos instruir o que deve ser feito.

[Unit]
Description=hyperglass
After=network.target
Requires=redis-server.service

[Service]
User=root
Group=root
ExecStart=/usr/local/bin/hyperglass start
ExecStop=/usr/bin/pkill -f hyperglass

TimeoutStartSec=120
TimeoutStopSec=300

[Install]
WantedBy=multi-user.target

Vamos cria um apontamento, recarecar nosso daemon, dar um enable para deixar iniciando com o boot, em seguida vamos iniciar o serviço.

# ln -s /etc/hyperglass/service/hyperglass.service /etc/systemd/system/hyperglass.service
# systemctl daemon-reload
# systemctl enable hyperglass 
# systemctl start hyperglass
# systemctl status hyperglass

Pode levar um minutinho até iniciar, você pode acompanhar os logs.

# tail -f /var/log/hyperglass.log

Quando aparecer a mensagem a baixo você pode acessar em seu navegador:

...Started hyperglass 1.0.4 on http://SEUIP:PORTA with 6 workers

Pode verificar também as portas que estão sendo ouvidas.

# ss -putan  | grep LISTEN | grep hyperglass

Acesse me seu navegador http://SEUIP:PORTA

Bonus: Proxy Nginx + Https

É bem comum querer executar o hyperglass em outra porta e somente para localhost, e criar um proxy para acesso web bem como ativar suporte https para sua página, pois em alguns casos ele pode esta rodando junto com outros serviços sem problema algum. Não é necessário ter uma “VM” só para isso. Vamos ao exemplo

# vim /etc/hyperglass/hyperglass.yaml

Altere o IP em listen_address para nosso endereço da loopback 127.0.0.1 e defina outra porta listen_port que ira rodar o serviço, no meu caso vou usar 58000

listen_address: "127.0.0.1"
listen_port: 58000

Reinicie o hyperglass

systemctl restart hyperglass

Instale o Nxgix

# apt install nginx
# sed -i 's/# server_tokens/server_tokens/' /etc/nginx/nginx.conf

Em alguns caso recomendo deletar as conf padrões, caso tiver problemas.

# rm /etc/nginx/sites-enabled/default

Crie um arquivo de configuração o nginx criar um proxy do nosso hyperglass

# vim /etc/nginx/sites-available/hyperglass.conf

Adicione

server {
  listen 80;
  listen [::]:80;
  server_name lg.remontti.com.br;
  #server_name _;

  # Descomente para deixar restrito apenas para determinados prefixos ou IPs.
  #allow  192.168.87.0/24;
  #allow  127.0.0.1;
  #allow  2001:0db8::/32;
  #allow  ::1;
  #deny   all;
  #error_page  403   http://www.remontti.com.br;

  client_max_body_size 2M;
  root /etc/hyperglass/static;

  location / {
    try_files $uri $uri/ /ui /ui/$uri =404;
    index /ui/index.html;
  }

  location /openapi.json {
      try_files $uri @proxy_to_app;
  }

  location /custom/ {
      try_files $uri $uri/ /custom;
  }

  location /images/ {
      try_files $uri $uri/ /images;
  }

  location /api {
      try_files $uri @proxy_to_app;
  }

  location @proxy_to_app {
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header X-Forwarded-Proto $scheme;
    proxy_set_header Host $http_host;
    proxy_redirect off;
    proxy_pass http://127.0.0.1:58000;
  }
}

Link o arquivo no diretório /etc/nginx/sites-enabled qual será carregado ao iniciar o nginx, em seguira reinicie o serviço do nginx.

# ln -s /etc/nginx/sites-available/hyperglass.conf /etc/nginx/sites-enabled/hyperglass.conf
# systemctl restart nginx

Agora você já pode acessar seu hyperglass através do nginx.

Criando certificado

Ao executar o Certbot instalado via apt tive alguns erros do python, acredito que conflitou alguma coisa com o hyperglass, (como meu tempo é bem curto inclusive para esta escrevendo aqui) realizei a instalação via snap qual resolveu meu problema.
Segue a instalação do snap:

# apt install snapd
# snap install core

Instale o certbot via snap, crie um link em nossos binários, em seguida execute ele.

# snap install --classic certbot
# ln -s /snap/bin/certbot /usr/bin/certbot
# certbot

Informe os dados, ao finalizar o mesmo irá já ajustar seu arquivo do nginx, e basta acessar seu domínio.

Não esqueça que a cada 90 dias o certificado expira, então crie uma rotina para renovação, você pode adicionar ao cron agendando por exemplo para todo dia primeiro tentar renovar.

# echo '00 00   1 * *   root     certbot renew -q' >> /etc/crontab
# systemctl restart cron

Parabéns você finalizou! Se quiser fazer uma doação para o café ficarei muito feliz pelo seu reconhecimento!

Se não puder doar pode deixar seu agradecimento nos comentário também ficarei feliz em saber que ajudei. Se tiver qualquer pergunta deixe-a também. Se preferir entrar em Contato clique aqui.

Prints

Abraço!

Fontes:
https://hyperglass.dev/
https://hyperglass.dev/docs/

O post Aprenda a instalar um dos melhores Looking Glasses de código aberto: o Hyperglass apareceu primeiro em Remontti.

Para cada rodada de medição, o smokeping envia vários pacotes em seguida, ele classifica os diferentes tempos de ida e volta e seleciona a mediana. Isso significa que quando há 10 valores de tempo, o valor número 5 é selecionado e desenhado. Os outros valores são desenhados como tons sucessivamente mais claros de cinza no fundo (“fumaça”).

Às vezes, um pacote de teste é enviado, mas nunca retorna. Isso é chamado de perda de pacotes. A cor da linha mediana muda de acordo com o número de pacotes perdidos.

A grande flutuação dos valores de RTT (tempo de ida e volta) também indica que a rede está sobrecarregada. Isso é mostrado no gráfico como fumaça; quanto mais fumaça, mais flutuação.

Smokeping não se limita a testar apenas o tempo de ida e volta dos pacotes. Ele também pode realizar algumas tarefas na extremidade remota (“investigação”), como baixar uma página da web. Isso fornecerá uma ‘imagem’ combinada da disponibilidade do servidor web e da integridade da rede.

Requisitos

– Debian 10 – “Instalação limpa”

Instalação

# apt install smokeping curl dnsutils exim4-base- sendmail-base- qmail-base-

Será instalados vários pacotes:

Vou instalar o net-tools para verificar quais portas foram abertas:

# apt install net-tools

Use o comando netstat para verificar

# netstat -putan

Possível erro:

Devemos ter aberta apenas a porta 80 (apache) e 22 (SSH) abertas, se caso você não tiver instalado corretamente coloca o “-” nos pacotes exim (exim4-base-) sendmail e qmail um serviço de e-mail (MTA) será instalado, e estará rodando, isso se deve pois o smokeping faz o envio de notificação via e-mail, caso você tenha instalado por descuido vamos desativa-lo, pois não vamos utilizar o exim4, para isso desativamos esse serviço da inicialização e paramos.

Para desativar o exim faça:

# systemctl stop  exim4
# systemctl disable exim4

Para desativar o sendmail faça:

# systemctl stop sendmail
# systemctl disable sendmail

Para desativar o qmail faça:

# systemctl stop qmail
# systemctl disable qmail

Agora temos apenas nosso Apache e SSH rodando.

Dica troque a porta padrão 22 do SSH, para trocar a porta basta editar o arquivo:

# vim  /etc/ssh/sshd_config

Localize:

# Port 22

Altere para ex:

Port 57410

Agora restarte o serviço SSH.

# systemctl restart sshd

Agora quando for acessar seu servidor a porta SSH é 57410 isso evita os “Robôs Scanners”.

Como podemos ver o apache foi instalado pois o smokeping utiliza do mesmo então se acessarmos http://ip-ou-dominio vamos nos deparar com a pagina padrão do apache.

Por segurança vamos remover a assinatura do servidor, pois não queremos q nenhum scanner ou ate mesmo acessar um endereço que não exista (http://ip-ou-dominio/lalalalala) mostre a versão do apache bem como distribuição linux.

A alteração é feita no arquivo /etc/apache2/conf-enabled/security.conf, usarei o comando sed que faz a substituição de um valor por outro, então o que o comando irá fazer é alterar:
ServerTokens OS por ServerTokens Prod
ServerSignature On por ServerSignature Off

# sed -i 's/ServerTokens OS/ServerTokens Prod/' /etc/apache2/conf-available/security.conf
# sed -i 's/ServerSignature On/ServerSignature Off/' /etc/apache2/conf-available/security.conf

Reinicie o serviço do apache para ele atualizar suas novas configurações:

# systemctl restart apache2

Agora acesse novamente a URL q não existe “http://ip-ou-dominio/lalalalala” e veja que as informações sumiram

Isso deixa o servidor segura? Não nada é seguro, mas evita que os “espetinho” fiquem procurando falhas, pois sem saber qual versão está rodando fica difícil saber qual vulnerabilidade aplicar, e em 99% o “espertinho” não vai perder seu tempo.

Ok, mas como acesso o smokeping? Pela URL http://ip-ou-dominio/smokeping

As configurações do smokeping estão em /etc/apache2/conf-available/smokeping.conf, vamos dar uma olhada…

# vim /etc/apache2/conf-available/smokeping.conf

Podemos perceber que qualquer um pode acessar nosso servidor sem restrições algumas.

ScriptAlias /smokeping/smokeping.cgi /usr/lib/cgi-bin/smokeping.cgi
Alias /smokeping /usr/share/smokeping/www

<Directory "/usr/share/smokeping/www">
    Options FollowSymLinks
    Require all granted
    DirectoryIndex smokeping.cgi
</Directory>

Para melhorar a segurança irei fechar o acesso apenas para os IPs 192.168.0.0/24 2001:db8:c0ca::/48 (Ajuste para seus ips que permite acessar) e em seguida criaremos usuário e senha de acesso, ainda colocarei o ErrorDocument que irá direcionar quem não tiver permissão.

ScriptAlias /smokeping/smokeping.cgi /usr/lib/cgi-bin/smokeping.cgi
Alias /smokeping /usr/share/smokeping/www

<Directory "/usr/share/smokeping/www">
    ErrorDocument 403 http://www.remontti.com.br
    Options FollowSymLinks
	AllowOverride All 
	Require all denied
	<RequireAll>
	 <RequireAny>
	    Require ip 192.168.0.0/24
	    Require ip 2001:db8::/32
	 </RequireAny>
	 <RequireAll>
	    Require valid-user
	    AuthBasicProvider file
	    AuthType Basic
	    AuthName "Login"
	    AuthUserFile /etc/smokeping/www-passwd
	 </RequireAll>
	</RequireAll>
    DirectoryIndex smokeping.cgi
</Directory>

É necessário criar o /etc/smokeping/www-passwd qual conterá nossas usuário e senha de acesso, no comando a baixo vou criar um usuário admin.

# htpasswd -c /etc/smokeping/www-passwd admin

Caso não queira solicitar senha e deixar apenas restrito basta comentar as linha:

#<RequireAll>
#  Require valid-user
#  AuthBasicProvider file
#  AuthType Basic
#  AuthName "Login"
#  AuthUserFile /etc/smokeping/www-passwd
#</RequireAll>

Ou se deseja solicitar senha porem de qualquer origem:

#<RequireAny>
 #  Require ip 192.168.0.0/24
 #  Require ip 2001:db8::/32
 #</RequireAny>

Para que quando alguém acessar seu endereço IP/domínio não exiba a página default do apache você pode criar uma index direcionando o acesso. se preferir pode direcionar para o /smokeping, já que os não autorizados “ErrorDocument 403” já estão sendo redirecionados para o “site”.

# mv /var/www/html/index.html /var/www/html/index.html.default
# vim /var/www/html/index.html

Altere a URL para o endereço que deseja.

<!DOCTYPE html>
<html>
<head>
    <meta charset="utf-8"/>
    <meta http-equiv="refresh" content="0; URL='http://smokeping.remontti.com.br/smokeping'"/>
</head>
</html>

Agora se tudo foi configurado certo acesse seu servidor e uma tela com login e senha será solicitado:

Agora vamos ajustar nossos Probes “Sondas”, meios de coletar.

# vim /etc/smokeping/config.d/Probes

Vamos adicionar o FPing6, DNS (dig) e o Curl, não esqueça de alterar o lookup (dns.google) para o nome do reverso do seu dns e o IP 8.8.8.8 para o IP do seu servidor DNS. (Se dejesar pode usar o do google mesmo, mas para um teste legal é interessante usar o seu DNS)

*** Probes ***
  
+ FPing
binary = /usr/bin/fping
protocol = 4

+ FPing6
binary = /usr/bin/fping
protocol = 6

+ DNS
binary = /usr/bin/dig
lookup = dns.google
server = 8.8.8.8
pings = 5
step = 60

+ Curl
binary = /usr/bin/curl
pings = 5
step = 60

Vamos alterar o padrão de 5min para 1min “assim se um rato passar em cima de um cabo já podemos saber”…

# vim /etc/smokeping/config.d/Database

Altere

step     = 300

Por

step     = 60

# vim /etc/smokeping/config.d/MyFPing

#
## Latências utilizando fping
#

+ PING-V4
probe = FPing
menu = Latências FPing
title = Latências FPing (IPv4)

++ fping-facebook
title = facebook.com
host = www.facebook.com

++ fping-google
title = google.com
host = www.google.com

# vim /etc/smokeping/config.d/MyFPing6

#
## Latências utilizando fping6
#

+ PING-V6
probe = FPing6
menu = Latências FPing6
title = Latências FPing6 (IPv6)

++ fping6-facebook
title = facebook.com
host = www.facebook.com

++ fping6-google
title = google.com
host = www.google.com

# vim /etc/smokeping/config.d/MyDNSResolvers

#
## Tempo que levou para resolver o um dominio
#

+ DNS
probe = DNS
menu = Latências Resolução DNS
title = Latências Resolução DNS (dig)

++ resolv-facebook
title = facebook.com
host = www.facebook.com

++ resolv-google
title = google.com
host = www.google.com

# vim /etc/smokeping/config.d/MyHTTPAccess

#
## Tempo que levou para "abrir" a página
#

+ HTTP
probe = Curl
menu = Latências Acesso HTTP
title = Latências Acesso  HTTP (curl)

++ curl-facebook
menu = facebook.com
title = Latência HTTP para facebook.com
host = www.facebook.com
urlformat = https://www.facebook.com

++ curl-google
menu = google.com
title = Latência HTTP para google.com
host = www.google.com
urlformat = https://www.google.com

Agora vamos incluir as configurações no arquivo /etc/smokeping/config.d/Targets, você pode fazer o mesmo de forma manual se achar melhor.

# echo '@include /etc/smokeping/config.d/MyFPing' >> /etc/smokeping/config.d/Targets
# echo '@include /etc/smokeping/config.d/MyFPing6' >> /etc/smokeping/config.d/Targets
# echo '@include /etc/smokeping/config.d/MyDNSResolvers' >> /etc/smokeping/config.d/Targets
# echo '@include /etc/smokeping/config.d/MyHTTPAccess' >> /etc/smokeping/config.d/Targets

Editando o /etc/smokeping/config.d/Targets você terá a seguinte configurações:

Ex.:

menu = Top
title = Gráfico de latência de rede 
remark = Bem-vindo ao SmokePing \
         Aqui você aprenderá tudo sobre a latência de nossa rede.

Vamos reiniciar o serviço mas como ajustamos o tempo para 60 (1min) será necessário remover os graficos “Local” já gerados, antes para não termos erro.

# rm /var/lib/smokeping/Local/LocalMachine.rrd 
# systemctl restart smokeping

Agora você já tem uma base de como coletar dados com o SmokePing, é importante que você colete informações do peer que você tem conexão bem como os principais roteadores de sua rede. Vou deixar mais alguns exemplos que acho interessante:

Root Servers DNS

# vim /etc/smokeping/config.d/MyRootServers

#
## Roots Servers 
#

+ DNS-Root-Servers
menu = DNS Root Servers
title = Servidores de DNS Autoritativos Raiz

++ Roots-IPv4
menu = Todos Raizes IPv4
title = Todos Raizes IPv4
host = /DNS-Root-Servers/DNS-Root-Servers-IPv4/DNS-ROOT-A-v4 \
       /DNS-Root-Servers/DNS-Root-Servers-IPv4/DNS-ROOT-B-v4 \
       /DNS-Root-Servers/DNS-Root-Servers-IPv4/DNS-ROOT-C-v4 \
       /DNS-Root-Servers/DNS-Root-Servers-IPv4/DNS-ROOT-D-v4 \
       /DNS-Root-Servers/DNS-Root-Servers-IPv4/DNS-ROOT-E-v4 \
       /DNS-Root-Servers/DNS-Root-Servers-IPv4/DNS-ROOT-F-v4 \
       /DNS-Root-Servers/DNS-Root-Servers-IPv4/DNS-ROOT-G-v4 \
       /DNS-Root-Servers/DNS-Root-Servers-IPv4/DNS-ROOT-H-v4 \
       /DNS-Root-Servers/DNS-Root-Servers-IPv4/DNS-ROOT-I-v4 \
       /DNS-Root-Servers/DNS-Root-Servers-IPv4/DNS-ROOT-J-v4 \
       /DNS-Root-Servers/DNS-Root-Servers-IPv4/DNS-ROOT-L-v4 \
       /DNS-Root-Servers/DNS-Root-Servers-IPv4/DNS-ROOT-M-v4 \

++ Roots-IPv6
menu = Todos Raizes IPv6
title = Todos Raizes IPv6
host = /DNS-Root-Servers/DNS-Root-Servers-IPv6/DNS-ROOT-A-v6 \
       /DNS-Root-Servers/DNS-Root-Servers-IPv6/DNS-ROOT-B-v6 \
       /DNS-Root-Servers/DNS-Root-Servers-IPv6/DNS-ROOT-C-v6 \
       /DNS-Root-Servers/DNS-Root-Servers-IPv6/DNS-ROOT-D-v6 \
       /DNS-Root-Servers/DNS-Root-Servers-IPv6/DNS-ROOT-E-v6 \
       /DNS-Root-Servers/DNS-Root-Servers-IPv6/DNS-ROOT-F-v6 \
       /DNS-Root-Servers/DNS-Root-Servers-IPv6/DNS-ROOT-G-v6 \
       /DNS-Root-Servers/DNS-Root-Servers-IPv6/DNS-ROOT-H-v6 \
       /DNS-Root-Servers/DNS-Root-Servers-IPv6/DNS-ROOT-I-v6 \
       /DNS-Root-Servers/DNS-Root-Servers-IPv6/DNS-ROOT-J-v6 \
       /DNS-Root-Servers/DNS-Root-Servers-IPv6/DNS-ROOT-L-v6 \
       /DNS-Root-Servers/DNS-Root-Servers-IPv6/DNS-ROOT-M-v6 \

## Roots IPv4

++ DNS-Root-Servers-IPv4
probe = FPing
menu = DNS Root Servers IPv4
title = Servidores de DNS Autoritativos Raiz
 
+++ DNS-ROOT-A-v4
menu = DNS-ROOT-A
title = Servidor DNS ROOT - A - 198.41.0.4
host = 198.41.0.4
 
+++ DNS-ROOT-B-v4
menu = DNS-ROOT-B
title = Servidor DNS ROOT - B - 192.228.79.201
host = 192.228.79.201
 
+++ DNS-ROOT-C-v4
menu = DNS-ROOT-C
title = Servidor DNS ROOT - C - 192.33.4.12
host = 192.33.4.12
 
+++ DNS-ROOT-D-v4
menu = DNS-ROOT-D
title = Servidor DNS ROOT - D - 199.7.91.13
host = 199.7.91.13
 
+++ DNS-ROOT-E-v4
menu = DNS-ROOT-E
title = Servidor DNS ROOT - E - 192.203.230.10
host = 192.203.230.10
 
+++ DNS-ROOT-F-v4
menu = DNS-ROOT-F
title = Servidor DNS ROOT - F - 192.5.5.241
host = 192.5.5.241
 
+++ DNS-ROOT-G-v4
menu = DNS-ROOT-G
title = Servidor DNS ROOT - G - 192.112.36.4
host = 192.112.36.4
 
+++ DNS-ROOT-H-v4
menu = DNS-ROOT-H
title = Servidor DNS ROOT - H - 198.97.190.53
host = 198.97.190.53
 
+++ DNS-ROOT-I-v4
menu = DNS-ROOT-I
title = Servidor DNS ROOT - I - 192.36.148.17
host = 192.36.148.17
 
+++ DNS-ROOT-J-v4
menu = DNS-ROOT-J
title = Servidor DNS ROOT - J - 192.58.128.30
host = 192.58.128.30
 
+++ DNS-ROOT-K-v4
menu = DNS-ROOT-K
title = Servidor DNS ROOT - K - 193.0.14.129
host = 193.0.14.129
 
+++ DNS-ROOT-L-v4
menu = DNS-ROOT-L
title = Servidor DNS ROOT - L - 199.7.83.42
host = 199.7.83.42
 
+++ DNS-ROOT-M-v4
menu = DNS-ROOT-M
title = Servidor DNS ROOT - M - 202.12.27.33
host = 202.12.27.33

## Roots IPv6

++ DNS-Root-Servers-IPv6
probe = FPing6
menu = DNS Root Servers IPv6
title = Servidores de DNS Autoritativos Raiz

+++ DNS-ROOT-A-v6
menu = DNS-ROOT-A
title = Servidor DNS ROOT - A - 2001:503:ba3e::2:30
host = 2001:503:ba3e::2:30

+++ DNS-ROOT-B-v6
menu = DNS-ROOT-B
title = Servidor DNS ROOT - B - 2001:500:200::b
host = 2001:500:200::b

+++ DNS-ROOT-C-v6
menu = DNS-ROOT-C
title = Servidor DNS ROOT - C - 2001:500:2::c
host = 2001:500:2::c

+++ DNS-ROOT-D-v6
menu = DNS-ROOT-D
title = Servidor DNS ROOT - D - 2001:500:2d::d
host = 2001:500:2d::d

+++ DNS-ROOT-E-v6
menu = DNS-ROOT-E
title = Servidor DNS ROOT - E - 2001:500:a8::e
host = 2001:500:a8::e

+++ DNS-ROOT-F-v6
menu = DNS-ROOT-F
title = Servidor DNS ROOT - F - 2001:500:2f::f
host = 2001:500:2f::f

+++ DNS-ROOT-G-v6
menu = DNS-ROOT-G
title = Servidor DNS ROOT - G - 2001:500:12::d0d
host = 2001:500:12::d0d

+++ DNS-ROOT-H-v6
menu = DNS-ROOT-H
title = Servidor DNS ROOT - H - 2001:500:1::53
host = 2001:500:1::53

+++ DNS-ROOT-I-v6
menu = DNS-ROOT-I
title = Servidor DNS ROOT - I - 2001:7fe::53
host = 2001:7fe::53

+++ DNS-ROOT-J-v6
menu = DNS-ROOT-J
title = Servidor DNS ROOT - J - 2001:503:c27::2:30
host = 2001:503:c27::2:30

+++ DNS-ROOT-K-v6
menu = DNS-ROOT-K
title = Servidor DNS ROOT - K - 2001:7fd::1
host = 2001:7fd::1

+++ DNS-ROOT-L-v6
menu = DNS-ROOT-L
title = Servidor DNS ROOT - L - 2001:500:9f::42
host = 2001:500:9f::42

+++ DNS-ROOT-M-v6
menu = DNS-ROOT-M
title = Servidor DNS ROOT - M - 2001:dc3::35
host = 2001:dc3::35

# echo '@include /etc/smokeping/config.d/MyRootServers' >> /etc/smokeping/config.d/Targets
# systemctl restart smokeping

Ex Peering BGP

# vim /etc/smokeping/config.d/MyPeer

#
## Peering BGP
#

+ PEERS-BGP
menu = Peering BGP
title = Peering BGP

## IPV4

++ Peers-IPv4
probe = FPing
menu = Peers IPv4
title = Peering Operadoras em IPv4

+++ Peers-OP1-v4
menu = Peers OP1
title = Peers OP1 - 192.168.1.1
host = 192.168.1.1

+++ Peers-OP2-v4
menu = Peers OP2
title = Peers OP2 - 192.168.2.1
host = 192.168.2.1

## IPV6

++ Peers-IPv6
probe = FPing6
menu = Peers IPv6
title = Peering Operadoras em IPv6

+++ Peers-OP1-v6
menu = Peers OP1
title = Peers OP1 - 2001:db8:1::1
host = 2001:db8:1::1

+++ Peers-OP2-v6
menu = Peers OP2
title = Peers OP2 - 2001:db8:2::1
host = 2001:db8:2::1

# echo '@include /etc/smokeping/config.d/MyPeer' >> /etc/smokeping/config.d/Targets
# systemctl restart smokeping

Meus Roteadores

# vim /etc/smokeping/config.d/MyRouters

#
## My Routes
#

+ ROUTER
menu = My Routes
title = My Routes

++ Router-IPv4
probe = FPing
menu = My Routes IPv4
title = My Routes IPv4

+++ Router-Border-V4
menu = Border
title = Border - 10.20.30.1
host = 10.20.30.1

+++ Router-Data-v4
menu = Datacenter
title = Datacenter - 10.20.30.2
host = 10.20.30.2

+++ Router-CGNAT-v4
menu = CGNAT
title = CGNAT - 10.20.30.3
host = 10.20.30.3

++ Router-IPv6
probe = FPing6
menu = My Routes IPv6
title = My Routes IPv6

+++ Router-Border-v6
menu = Border
title = Border - 2001:db8::10:20:30:1
host = 2001:db8::10:20:30:2

+++ Router-Data-v6
menu = Datacenter
title = Datacenter - 2001:db8::10:20:30:2
host = 2001:db8::10:20:30:2

+++ Router-CGNAT-v6
menu = CGNAT
title = CGNAT - 2001:db8::10:20:30:3
host = 2001:db8::10:20:30:3

# echo '@include /etc/smokeping/config.d/MyRouters' >> /etc/smokeping/config.d/Targets
# systemctl restart smokeping

Games

Cortesia Patrick Brandao

# vim /etc/smokeping/config.d/MyGames

#
## Games
# Cortesia Patrick Brandao
# http://www.patrickbrandao.com/

+ GAMES
menu = GAMES-IPv4
title = GAMES - Game servers - IPv4

++ CROSS-FIRE-1
menu = CROSS-FIRE-1
title = CROSS-FIRE-1 - 198.49.89.42
host = 198.49.89.42

++ CROSS-FIRE-2
menu = CROSS-FIRE-2
title = CROSS-FIRE-2 - 198.49.89.19
host = 198.49.89.19

++ FREE-FIRE-1
menu = FREE-FIRE-1
title = FREE-FIRE-1 - 143.92.126.71
host = 143.92.126.71

++ FREE-FIRE-2
menu = FREE-FIRE-2
title = FREE-FIRE-2 - 143.92.126.133
host = 143.92.126.133

++ FREE-FIRE-3
menu = FREE-FIRE-3
title = FREE-FIRE-3 - 128.14.221.18
host = 128.14.221.18

++ FREE-FIRE-4
menu = FREE-FIRE-4
title = FREE-FIRE-4 - 143.92.125.169
host = 143.92.125.169

++ FREE-FIRE-5
menu = FREE-FIRE-5
title = FREE-FIRE-5 - 143.92.126.164
host = 143.92.126.164

++ FREE-FIRE-6
menu = FREE-FIRE-6
title = FREE-FIRE-6 - 169.57.197.82
host = 169.57.197.82

++ FREE-FIRE-7
menu = FREE-FIRE-7
title = FREE-FIRE-7 - 143.92.126.145
host = 143.92.126.145

++ FREEFIRE-8
menu = FREEFIRE-8
title = FREEFIRE-8  - 169.57.181.198
host = 169.57.181.198

++ FREEFIRE-9
menu = FREEFIRE-9
title = FREEFIRE-9  - 169.57.197.42
host = 169.57.197.42

++ FREEFIRE-10
menu = FREEFIRE-10
title = FREEFIRE-10  - 169.57.197.161
host = 169.57.197.161

++ FREEFIRE-11
menu = FREEFIRE-11
title = FREEFIRE-11  - 104.124.97.8
host = 104.124.97.8

++ FREEFIRE-12
menu = FREEFIRE-12
title = FREEFIRE-12  - 104.124.97.33
host = 104.124.97.33

++ FREEFIRE-13
menu = FREEFIRE-13
title = FREEFIRE-13  - 169.57.197.100
host = 169.57.197.100

++ PUBG-1
menu = PUBG-1
title = PUBG-1 - 49.51.136.156
host = 49.51.136.156

++ PUBG-2
menu = PUBG-2
title = PUBG-2 - 203.205.179.145
host = 203.205.179.145

++ PUBG-3
menu = PUBG-3
title = PUBG-3 - 52.94.7.70
host = 52.94.7.70

++ CALLOFDUTY-1
menu = CALLOFDUTY-1
title = CALLOFDUTY-1  - 209.197.3.24
host = 209.197.3.24

++ CALLOFDUTY-2
menu = CALLOFDUTY-2
title = CALLOFDUTY-2  - 23.42.246.119
host = 23.42.246.119

++ CALLOFDUTY-3
menu = CALLOFDUTY-3
title = CALLOFDUTY-3  - 157.240.216.14
host = 157.240.216.14

++ CALLOFDUTY-4
menu = CALLOFDUTY-4
title = CALLOFDUTY-4  - 92.122.173.141
host = 92.122.173.141

++ GAMERSCLUB-1
menu = GAMERSCLUB-1
title = GAMERSCLUB-1  - teste-1.gamersclub.com.br
host = teste-1.gamersclub.com.br

++ GAMERSCLUB-2
menu = GAMERSCLUB-2
title = GAMERSCLUB-2  - teste-2.gamersclub.com.br
host = teste-2.gamersclub.com.br

++ GARENA-1
menu = GARENA-1
title = GARENA-1  - 143.92.125.203
host = 143.92.125.203

++ GARENA-2
menu = GARENA-2
title = GARENA-2  - 143.92.126.19
host = 143.92.126.19

++ STEAM-SP1
menu = STEAM-SP1
title = STEAM-SP1  - 209.197.25.1
host = 209.197.25.1

# echo '@include /etc/smokeping/config.d/MyGames' >> /etc/smokeping/config.d/Targets
# systemctl restart smokeping

Acessando o SmokePing temos todas nossa informações agora!

o Hardware para montar esse cenário foi de uma VM com 1 CPU (Xeon(R) 4208 CPU @ 2.10GHz) + 1GB de Memoria

Curtiu o conteúdo? Quer me ajudar manter essa p*** ?

Se quiser fazer uma doação para o café ficarei muito feliz pelo seu reconhecimento!

Participe do canal no telegram para ficar atualizado sempre que publicar um novo tutorial.

Se não puder doar pode deixar seu agradecimento nos comentário também ficarei feliz em saber que ajudei. Se tiver qualquer pergunta deixe-a também. Se preferir entrar em Contato clique aqui.

Abraço!

Fontes:
https://oss.oetiker.ch/smokeping/doc/index.en.html
https://oss.oetiker.ch/smokeping/probe/FPing.en.html
https://oss.oetiker.ch/smokeping/probe/FPing6.en.html
https://oss.oetiker.ch/smokeping/probe/DNS.en.html
https://oss.oetiker.ch/smokeping/probe/Curl.en.html

O post Como configurar o SmokePing para monitoramento de latências #mafiadoping apareceu primeiro em Remontti.

Distribuição usada: Debian 8, tenha o pacote mrtg já instalado.

Instalando
# apt-get install mrtg-ping-probe

Para usar o mrtg-ping-probe você precisa configurar o MRTG para chamá-lo, isto é feito no arquivo de configuração do MRTG, que é geralmente /etc/mrtg.conf

Adicione o seguinte em seu /etc/mrtg.cfg, onde farei o teste para o host www.google.com.br porém pode ser um IP.

Title[www.google.com.br.latencia]: Latencia www.google.com.br
PageTop[www.google.com.br.latencia]:
MaxBytes[www.google.com.br.latencia]: 200
WithPeak[www.google.com.br.latencia]: ymwd
Options[www.google.com.br.latencia]: gauge,nobanner,transparent
Target[www.google.com.br.latencia]: `mrtg-ping-probe <strong>www.google.com.br</strong>`
YLegend[www.google.com.br.latencia]: ms
ShortLegend[www.google.com.br.latencia]: ms
LegendI[www.google.com.br.latencia]:  Max:
LegendO[www.google.com.br.latencia]:  Min:

Title[www.google.com.br.perda]: Pacotes Perdidos para www.google.com.br
PageTop[www.google.com.br.perda]:
Target[www.google.com.br.perda]: `mrtg-ping-probe -t 42 -p loss/loss <strong>www.google.com.br</strong>`
MaxBytes[www.google.com.br.perda]: 100
#AbsMax[www.google.com.br.perda]: 101
WithPeak[www.google.com.br.perda]: ymwd
Options[www.google.com.br.perda]: gauge,nobanner,transparent
Unscaled[www.google.com.br.perda]: dwmy
YLegend[www.google.com.br.perda]: % Pacotes Perdidos
ShortLegend[www.google.com.br.perda]: %
LegendI[www.google.com.br.perda]:  % perda:
LegendO[www.google.com.br.perda]:  % perda:

O post Gerando gráfico ICMP(ms) MRTG apareceu primeiro em Remontti.

Primeiramente instalamos o pacote iproute 2
# aptitude update
# aptitude install iproute

Após configure as tabelas:

# vim /etc/iproute2/rt_tables
Adicione essas duas linhas no final do arquivo:

200 uplink1
201 uplink2

Vamos configurar nossa interface onde em eth0 192.168.1.1 / eth1 192.168.2.1 são os gateways
# vim /etc/network/interfaces

# LOCALHOST
auto lo
iface lo inet loopback

# LINK 1

auto eth0
iface eth0 inet static
        address 192.168.1.100
        netmask 255.255.255.0

        post-up ip route add 192.168.1.1/32 dev eth1 src 192.168.1.100 table uplink1
        post-up ip route add default via 192.168.1.1 table uplink1
        post-up ip rule add from 192.168.1.100 table uplink1
        post-down ip rule del from 192.168.1.100 table uplink1

# LINK 2

auto eth1
iface eth1 inet static
        address 192.168.2.100
        netmask 255.255.255.0

        post-up ip route add 192.168.2.1/32 dev eth1 src 192.168.2.210 table uplink2
        post-up ip route add default via 192.168.2.1 table uplink2
        post-up ip rule add from 192.168.2.210 table uplink2
        post-down ip rule del from 192.168.2.210 table uplink2

# REDE CLIENTE
auto eth2
iface eth2 inet static
        address 192.168.3.1
        netmask 255.255.255.0

Reinicie o serviço:
# /etc/init.d/networking restart

Agora vamos criar um firewall, criaremos as rotas.

#! /bin/sh

# Ativa forward
echo "1" > /proc/sys/net/ipv4/ip_forward

# Limpa regras
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -t nat -F
/sbin/iptables -X -t nat
/sbin/iptables -F -t mangle
/sbin/iptables -X -t mangle

# Carrega modulos
/sbin/modprobe iptable_nat
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_REJECT
/sbin/modprobe ipt_MASQUERADE

#Libera navegacao nas interfaces
/sbin/iptables -t nat -A POSTROUTING -s 192.168.30/24 -o eth0 -j MASQUERADE
/sbin/iptables -t nat -A POSTROUTING -s 192.168.30/24 -o eth1 -j MASQUERADE

# Configurações Proxy
# /sbin/iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128
# /sbin/iptables -A PREROUTING -t mangle -s 192.168.3.0/24 -d 0/0 -j MARK --set-mark 3
# /sbin/iptables -t mangle -A OUTPUT -p TCP -d ! 192.168.3.0/24 --dport 80 -m owner --uid-owner 23 -j MARK --set-mark 3

# Faz com que o servico dns faca consultas pelo outro link
/sbin/iptables -t mangle -A OUTPUT -p UDP --dport 53 -m owner --uid-owner 25 -j MARK --set-mark 2

# Deleta rotas
route del default

# Load balance
ip route add default scope global nexthop via 192.168.1.1 dev eth0 weight 1 nexthop via 192.168.2.1 dev eth1 weight 1

# Limpa cache
ip route flush cached

Use o comando “ip route show table main” para ver como ficou…
# ip route show table main

192.168.1.1/24 dev eth0 proto kernel scope link src 192.168.1.100
192.168.2.1/24 dev eth1 proto kernel scope link src 192.168.2.100
192.168.3.1/24 dev eth2 proto kernel scope link src 192.168.3.1
default
nexthop via 192.168.1.100 dev eth0 weight 1
nexthop via 192.168.2.100 dev eth1 weight 1

Adicione no cron o comando para limpar o cache dos dns a cada 10 min
# vim /etc/crontab
00-59/10 * * * * root ip route flush cached

Aqui fiz o siguinte script para verificar se algum dos link cai, assim refazendo a rota e deixadondo para o que estiver online.

# vim /root/uplink.sh

#! /bin/sh
# - - - - - - - - - - - - - - - #
# Script por Rudimar Remontti   #
# www.remontti.com.br           #
# - - - - - - - - - - - - - - - #
echo -e '\e[33;1mVerificando Links: \e[m'

# - - - - - - - - - - - #
# Configuracoes         #
# - - - - - - - - - - - #
GTW_1=192.168.1.1
ITF_1=eth0
GTW_2=192.168.2.1
ITF_2=eth1
RT_BRT_1=200.176.3.142 # Ip do terra.com.br ele ira pingar p/ verificar se responde
RT_BRT_2=200.176.3.142 # Ip do terra.com.br...
# - - - - - - - - - - - #

echo
echo -e "\e[30;1mLink 1: $GTW_1\e[m"
echo -e "\e[30;1mLink 2: $GTW_2\e[m"
echo 

# - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - #
PING_1=`ping $RT_BRT_1 -I $ITF_1 -c 1 |grep packets |cut -c 24`
PING_2=`ping $RT_BRT_2 -I $ITF_2 -c 1 |grep packets |cut -c 24`
# - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - #

UP=`echo "($PING_1 + $PING_2)" | bc`
if [ $UP = 2 ]; then 

        route del default
        ip route add default scope global nexthop via $GTW_1 dev $ITF_1 weight 1 nexthop via $GTW_2 dev $ITF_2 weight 1
        ip route flush cached

        echo -n 'Link 1 e Link 2  Status:     '
        echo -e '\e[32;1m[ ON ] \e[m'
        echo

elif [ $UP = 0 ]; then

        route del default
        ip route add default scope global nexthop via $GTW_1 dev $ITF_1 weight 1 nexthop via $GTW_2 dev $ITF_2 weight 1
        ip route flush cached

        echo
        echo -n Link 1:
        echo -e '\e[32;1m  [  OKAY  ] \e[m'
        echo -n Link 2:
        echo -e '\e[32;1m  [  OKAY  ] \e[m'
        echo

elif [ $UP = 1 ]; then
        echo
        if [ $PING_1 = 1 ]; then
                echo -n Link 1:
                echo -e '\e[32;1m  [  OKAY  ] \e[m'
        else
                route del default
                ip route add default scope global nexthop via $GTW_2 dev $ITF_2 weight 1
                ip route flush cached
                data=`date`
                echo "$data -> Link 1 OFF" >> /root/links.log
                echo -n Link 1:
                echo -e '\e[31;1m  [  OFF   ] \e[m'
        fi
        if [ $PING_2 = 1 ]; then
                echo -n Link 2:
                echo -e '\e[32;1m  [  OKAY  ] \e[m'
        else
                route del default
                ip route add default scope global nexthop via $GTW_1 dev $ITF_1 weight 1
                ip route flush cached
                data=`date`
                echo "$data -> Link 2 OFF" >> /root/links.log
                echo -n Link 2:
                echo -e '\e[31;1m  [  OFF   ] \e[m'

        fi
        echo
        if [ $PING_1 = 0 ]; then
                echo -e '\e[30;1mRotas reconfigurada, gatway através do Link 2.\e[m'
                ROTE=`ip route show |grep default |cut -c 9-100`
                echo -e "\e[30;1m$ROTE\e[m"

        elif [ $PING_2 = 0 ]; then
                echo -e '\e[30;1mRotas reconfigurada, gatway através do Link 1.\e[m'
                ROTE=`ip route show |grep default |cut -c 9-100`
                echo -e "\e[30;1m$ROTE\e[m"
        fi
else
        echo ERRO!
fi
# - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - #
echo
ip route show |grep nexthop
echo

# chmod 755 /root/uplink.sh

Adicionamos ao cron (5min)
# vim /etc/crontab
00-59/5 * * * * root /root/uplink.sh

Carregue seu firewall na inicialização do sistema, utilize o iptraf para ver o trafego saindo pelas duas interfaces.
Se vc tem dois link com cargas diferente altere o weight.

Abraço

O post Balanceamento de Carga apareceu primeiro em Remontti.