Kizim Опубликовано 12 марта, 2015 (изменено) · Жалоба Добрый день, Подскажите пожалуйста как реализовать, имеется: 1) Summit Extreme x460 в роли шлюза по умолчанию, 192.168.0.1/16 2) Сервер, с открытым 3128 портом 192.168.0.2/16 3) DHCP раздает пользователям 192.168.1.1-10.255/16 со шлюзом 192.168.0.1 Мне нужно: Завернуть весь траффик от части сети 192.168.1.1-192.168.1.255/16 с 192.168.0.1:80 на 192.168.0.2:3128 это политика должна работать только в vlan3 Вот аналог с дебиана: -A PREROUTING -p tcp -m tcp -s 192.168.1.1/24 -i eth0 --dport 80 -j REDIRECT --to-ports 3128 Изменено 12 марта, 2015 пользователем Kizim Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 12 марта, 2015 · Жалоба EXOS Concept Guide, раздел ACLs, глава Policy-Based Routing. Concept Guide можно взять с сайта extreme networks. Там вся документация в открытом доступе. p.s. заменить dst-port не получится, только dst-ip , поэтому 192.168.0.2 нужно будет настроить так, чтоб он ловил на 80 порту. получится примерно так: entry redirect_port_81 { if { source-address 192.168.1.0/24; destination-address 192.168.0.1/32; protocol tcp; destination-port 80; } then { redirect 192.168.0.2; } } затем acl вешается на нужный vlan по ingress. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kizim Опубликовано 12 марта, 2015 · Жалоба EXOS Concept Guide благодарю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kizim Опубликовано 12 марта, 2015 · Жалоба http://documentation.extremenetworks.com/exos/EXOS_All/ACL/t_configure-packet-forward-drop.shtml вот это оно как я понял, или есть методы проще без скриптов? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 12 марта, 2015 · Жалоба Без рисования ACL тут никак не обойдется. Самый простой пример см. выше. Вариант с flow-redirect используется, если необходимо предусмотреть резервирование. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kizim Опубликовано 13 марта, 2015 · Жалоба Извиняюсь за тупняк, не работал с экстримами Мои действия: 1) extreme# redirect_80.pol entry redirect_80 { if match all { source-address 192.168.1.0/24; protocol tcp; destination-port 80; } then { permit ; redirect-name 192.168.1.2; redirect-port 3128; } } 2) Как применить к влан эту политику? или это не требуется? или в политике самой нужно прописать в условиях этот влан? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 13 марта, 2015 · Жалоба redirect-port это нечто другое - оно относится к физическому/логическому порту на коммутаторе (например, чтоб завернуть трафик на dpi), потому выше я уже писал, что сервер надо будет перенастроить на 80й порт. полиси можно нарисовать средствами коммутатора edit policy redirect_80 - далее работаем со встроенным редактором vi (если опыта работы с таким нет, то лучше и не пытаться); либо же готовим файлик redirect_80.pol в удобном редакторе и выкладываем его на tftp, откуда позже подтягиваем командой tftp get server_IP file_path vr vr-default после обязательно делаем check policy redirect_80, чтоб избавить себя от непредсказуемых ошибок, и уже затем навешиваем на нужный нам влан командой conf access-list redirect_80 vlan vlanX ingress Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kizim Опубликовано 13 марта, 2015 · Жалоба ааа. все понял, уже на самом сервере проброс сделать с 80 на 3128 -A PREROUTING -p tcp -m tcp -s 192.168.1.1/24 -i eth0 --dport 80 -j REDIRECT --to-ports 3128 все, теперь я тебя понял. благодарю. я думал можно как-то сразу на коммутаторе завернуть Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kizim Опубликовано 13 марта, 2015 · Жалоба Всем кому может понадобиться как сделать: 1) зашли на коммутатор # edit policy redirect_80 entry redirect_80 { if match all { source-address 192.168.1.0/24; protocol tcp; destination-port 80; } then { permit ; redirect-name 192.168.1.2; } } <ESC> :wq 2) # check policy redirect_80 Policy file check successful. 3) # conf access-list redirect_80 vlan vlan3 ingress 4) на сервере с прокси (192.168.1.2) iptables -A PREROUTING -p tcp -m tcp -s 192.168.1.0/24 -i eth0 --dport 80 -j REDIRECT --to-ports 3128 Благодарю еще раз за помощь, надеюсь кому-то поможет продолжение вопросов conf access-list redirect_80 vlan vlan3 ingress Error: Flow redirect name used with the redirect-name keyword does not exist, unable to install this policy Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 13 марта, 2015 · Жалоба Вместо redirect-name надо просто redirect. Либо создавать flow-redirect и дополнительно его настраивать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kizim Опубликовано 13 марта, 2015 · Жалоба redirect-name 192.168.1.2; видимо не то. что надо, нужна другая команда. redirect 192.168.1.2; пока печатал уже ты ответил))) благодарю Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...