Совокупные порты коммутатора для прохождения через различных iptables серверов, действующих как брандмауэры?
Что Вы используете для зашифровывания/дешифрования трафика SSL прежде haproxy? Stunnel, nginx, апач, что-то еще?
Я подозреваю, что это могло бы быть связано с отсутствием "опции httpclose" на Вашем порте 80, но мне не ясно, почему это вызвало бы проблему только нескольким посетителям.
Вам необходимо настроить порты коммутатора на «дамп» агрегации (без LACP или другого протокола управления). В Linux-системе вам понадобятся ebtables для фильтрации трафика.
Имейте в виду, что распределение трафика между портами коммутатора в группе портов зависит от алгоритма хеширования, используемого коммутатором. Например, Cisco может распределять трафик по миксу IP src / dst, если настроен для этого. Juniper использует информацию L4 (порты) там, где она доступна по умолчанию.
Я не знаю, чтобы кто-нибудь использовал подобную установку, так что это будет первая. ;)
Еще одна вещь, на которую следует обратить внимание: я не знаю, что вам нужно для межсетевого экрана, но, если возможно, попробуйте использовать ACL на маршрутизаторе, если маршрутизатор поддерживает аппаратные ACL. Микросхема маршрутизатора, вероятно, намного мощнее любого Linux-устройства.
Я не знаю, чтобы кто-нибудь использовал такую установку, так что это будет первым. ;)Еще одна вещь, на которую следует обратить внимание: я не знаю, что вам нужно для межсетевого экрана, но, если возможно, попробуйте использовать ACL на маршрутизаторе, если маршрутизатор поддерживает аппаратные ACL. Микросхема маршрутизатора, вероятно, намного мощнее любого Linux-устройства.
Я не знаю, чтобы кто-нибудь использовал подобную установку, поэтому это будет первым. ;)Еще одна вещь, на которую следует обратить внимание: я не знаю, что вам нужно для межсетевого экрана, но, если возможно, попробуйте использовать ACL на маршрутизаторе, если маршрутизатор поддерживает аппаратные ACL. Микросхема маршрутизатора, вероятно, намного мощнее любого Linux-устройства.