ExtremeXOS перенаправить порт

[Kizim]

Добрый день,

Подскажите пожалуйста как реализовать, имеется:

1) Summit Extreme x460 в роли шлюза по умолчанию, 192.168.0.1/16

2) Сервер, с открытым 3128 портом 192.168.0.2/16

3) DHCP раздает пользователям 192.168.1.1-10.255/16 со шлюзом 192.168.0.1

Мне нужно:

Завернуть весь траффик от части сети 192.168.1.1-192.168.1.255/16 с 192.168.0.1:80 на 192.168.0.2:3128

это политика должна работать только в vlan3

 

 

Вот аналог с дебиана:

-A PREROUTING -p tcp -m tcp -s 192.168.1.1/24 -i eth0 --dport 80 -j REDIRECT --to-ports 3128

Edited March 12, 2015 by Kizim

[darkagent]

EXOS Concept Guide, раздел ACLs, глава Policy-Based Routing.

Concept Guide можно взять с сайта extreme networks. Там вся документация в открытом доступе.

p.s. заменить dst-port не получится, только dst-ip , поэтому 192.168.0.2 нужно будет настроить так, чтоб он ловил на 80 порту.

получится примерно так:

entry redirect_port_81 {
if {
	source-address 192.168.1.0/24;
	destination-address 192.168.0.1/32;
	protocol tcp;
	destination-port 80;
} then {
	redirect 192.168.0.2;
}
}

затем acl вешается на нужный vlan по ingress.

[Kizim]

EXOS Concept Guide

благодарю.

[Kizim]

http://documentation.extremenetworks.com/exos/EXOS_All/ACL/t_configure-packet-forward-drop.shtml вот это оно как я понял, или есть методы проще без скриптов?

[darkagent]

Без рисования ACL тут никак не обойдется. Самый простой пример см. выше. Вариант с flow-redirect используется, если необходимо предусмотреть резервирование.

[Kizim]

Извиняюсь за тупняк, не работал с экстримами

Мои действия:

1) extreme# redirect_80.pol

entry redirect_80 {
if match all {
	source-address 192.168.1.0/24;
	protocol  tcp;
	destination-port 80;
} then 		 {
	permit ;
	redirect-name 192.168.1.2;
	redirect-port 3128;
}
}

2) Как применить к влан эту политику? или это не требуется? или в политике самой нужно прописать в условиях этот влан?

[darkagent]

redirect-port это нечто другое - оно относится к физическому/логическому порту на коммутаторе (например, чтоб завернуть трафик на dpi), потому выше я уже писал, что сервер надо будет перенастроить на 80й порт.

 

полиси можно нарисовать средствами коммутатора

edit policy redirect_80

- далее работаем со встроенным редактором vi (если опыта работы с таким нет, то лучше и не пытаться);

либо же готовим файлик redirect_80.pol в удобном редакторе и выкладываем его на tftp,

откуда позже подтягиваем командой tftp get server_IP file_path vr vr-default

после обязательно делаем check policy redirect_80, чтоб избавить себя от непредсказуемых ошибок,

и уже затем навешиваем на нужный нам влан командой

conf access-list redirect_80 vlan vlanX ingress

[Kizim]

ааа. все понял, уже на самом сервере проброс сделать с 80 на 3128

-A PREROUTING -p tcp -m tcp -s 192.168.1.1/24 -i eth0 --dport 80 -j REDIRECT --to-ports 3128

все, теперь я тебя понял. благодарю. я думал можно как-то сразу на коммутаторе завернуть

[Kizim]

Всем кому может понадобиться как сделать:

1) зашли на коммутатор

# edit policy redirect_80

entry redirect_80 {
       if match all {
               source-address 192.168.1.0/24;
               protocol  tcp;
               destination-port 80;
       } then           {
               permit ;
               redirect-name 192.168.1.2;
       }
}

<ESC> :wq

2) # check policy redirect_80

Policy file check successful.

3) # conf access-list redirect_80 vlan vlan3 ingress

4) на сервере с прокси (192.168.1.2)

iptables -A PREROUTING -p tcp -m tcp -s 192.168.1.0/24 -i eth0 --dport 80 -j REDIRECT --to-ports 3128

 

Благодарю еще раз за помощь, надеюсь кому-то поможет

 

продолжение вопросов

conf access-list redirect_80 vlan vlan3 ingress
Error: Flow redirect name used with the redirect-name keyword does not exist, unable to install this policy

[darkagent]

Вместо redirect-name надо просто redirect. Либо создавать flow-redirect и дополнительно его настраивать.

[Kizim]

redirect-name 192.168.1.2;

видимо не то. что надо, нужна другая команда.

redirect 192.168.1.2;

 

пока печатал уже ты ответил))) благодарю