Перейти к содержимому
Калькуляторы

ExtremeXOS перенаправить порт

Добрый день,

Подскажите пожалуйста как реализовать, имеется:

1) Summit Extreme x460 в роли шлюза по умолчанию, 192.168.0.1/16

2) Сервер, с открытым 3128 портом 192.168.0.2/16

3) DHCP раздает пользователям 192.168.1.1-10.255/16 со шлюзом 192.168.0.1

Мне нужно:

Завернуть весь траффик от части сети 192.168.1.1-192.168.1.255/16 с 192.168.0.1:80 на 192.168.0.2:3128

это политика должна работать только в vlan3

 

 

Вот аналог с дебиана:

-A PREROUTING -p tcp -m tcp -s 192.168.1.1/24 -i eth0 --dport 80 -j REDIRECT --to-ports 3128

Изменено пользователем Kizim

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

EXOS Concept Guide, раздел ACLs, глава Policy-Based Routing.

Concept Guide можно взять с сайта extreme networks. Там вся документация в открытом доступе.

p.s. заменить dst-port не получится, только dst-ip , поэтому 192.168.0.2 нужно будет настроить так, чтоб он ловил на 80 порту.

получится примерно так:

entry redirect_port_81 {
if {
	source-address 192.168.1.0/24;
	destination-address 192.168.0.1/32;
	protocol tcp;
	destination-port 80;
} then {
	redirect 192.168.0.2;
}
}

затем acl вешается на нужный vlan по ingress.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

EXOS Concept Guide

благодарю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

http://documentation.extremenetworks.com/exos/EXOS_All/ACL/t_configure-packet-forward-drop.shtml вот это оно как я понял, или есть методы проще без скриптов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Без рисования ACL тут никак не обойдется. Самый простой пример см. выше. Вариант с flow-redirect используется, если необходимо предусмотреть резервирование.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Извиняюсь за тупняк, не работал с экстримами

Мои действия:

1) extreme# redirect_80.pol

entry redirect_80 {
if match all {
	source-address 192.168.1.0/24;
	protocol  tcp;
	destination-port 80;
} then 		 {
	permit ;
	redirect-name 192.168.1.2;
	redirect-port 3128;
}
}

2) Как применить к влан эту политику? или это не требуется? или в политике самой нужно прописать в условиях этот влан?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

redirect-port это нечто другое - оно относится к физическому/логическому порту на коммутаторе (например, чтоб завернуть трафик на dpi), потому выше я уже писал, что сервер надо будет перенастроить на 80й порт.

 

полиси можно нарисовать средствами коммутатора

edit policy redirect_80

- далее работаем со встроенным редактором vi (если опыта работы с таким нет, то лучше и не пытаться);

либо же готовим файлик redirect_80.pol в удобном редакторе и выкладываем его на tftp,

откуда позже подтягиваем командой tftp get server_IP file_path vr vr-default

после обязательно делаем check policy redirect_80, чтоб избавить себя от непредсказуемых ошибок,

и уже затем навешиваем на нужный нам влан командой

conf access-list redirect_80 vlan vlanX ingress

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ааа. все понял, уже на самом сервере проброс сделать с 80 на 3128

-A PREROUTING -p tcp -m tcp -s 192.168.1.1/24 -i eth0 --dport 80 -j REDIRECT --to-ports 3128

все, теперь я тебя понял. благодарю. я думал можно как-то сразу на коммутаторе завернуть

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Всем кому может понадобиться как сделать:

1) зашли на коммутатор

# edit policy redirect_80

entry redirect_80 {
       if match all {
               source-address 192.168.1.0/24;
               protocol  tcp;
               destination-port 80;
       } then           {
               permit ;
               redirect-name 192.168.1.2;
       }
}

<ESC> :wq

2) # check policy redirect_80

Policy file check successful.

3) # conf access-list redirect_80 vlan vlan3 ingress

4) на сервере с прокси (192.168.1.2)

iptables -A PREROUTING -p tcp -m tcp -s 192.168.1.0/24 -i eth0 --dport 80 -j REDIRECT --to-ports 3128

 

Благодарю еще раз за помощь, надеюсь кому-то поможет

 

продолжение вопросов

conf access-list redirect_80 vlan vlan3 ingress
Error: Flow redirect name used with the redirect-name keyword does not exist, unable to install this policy

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вместо redirect-name надо просто redirect. Либо создавать flow-redirect и дополнительно его настраивать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

redirect-name 192.168.1.2;

видимо не то. что надо, нужна другая команда.

redirect 192.168.1.2;

 

пока печатал уже ты ответил))) благодарю

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.