EdgeMAX - enrutamiento para proxy transparente basada en políticas

Resumen


Los lectores aprenderán a utilizar el enrutamiento basado en políticas para permitir el uso de un proxy transparente en la LAN (por ejemplo, no en su dispositivo EdgeMAX).

Construcción de los otros ejemplos de enrutamiento basado en políticas (por ejemplo, Port) de destino, los usuarios pueden definir decisiones de enrutamiento tabla para proporcionar ciertos tipos de tráfico a través de dispositivos específicos. En este ejemplo, vamos definir el tráfico web y tomar la decisión de ruta a través de nuestro proxy transparente.

En la red de ejemplo, nos centraremos en una sola conexión WAN en eth0 y una LAN sola en eth1, con el proxy transparente ocupando una IP de la LAN:

1. eth0 - Internet
2. eth1 - 192.168.1.0/24 - LAN
2a. Proxy transparente - 192.168.1.42

Tablas de enrutamiento


Tenemos las tablas de enrutamiento por defecto definidas por nuestra configuración de red; nada tiene que pasar a los valores predeterminados (si rutas estáticas a la ISP, DHCP, o de lo contrario). Pero tenemos que establecer una nueva tabla y utilice a nuestro Proxy transparente como siguiente salto para cualquier tráfico controlará el proxy.

Nosotros podemos escoger un número de tabla de 1 200 como ya no existe:

set protocols static table 5 route 0.0.0.0/0 next-hop 192.168.1.42

Necesitaremos modificar firewall y algún puerto y grupos de dirección que mejor define nuestro comportamiento.
Nota : PROXY_CLIENTS no debe incluir la IP de proxy propia o se producirá un bucle de enrutamiento
Nota : PROXY_CLIENTS no debe incluir la eth1 gateway IP o la dirección de difusión (.1 o.255)

firewall {
    group {
        address-group PROXY_CLIENTS {
            address 192.168.1.2-192.168.1.41
            address 192.168.1.43-192.168.1.254
        }
        port-group PROXY_PORTS {
            port 80
            port 8080
        }
    }
    modify TRANS_PROXY {
        rule 1 {
            action modify
            description "use table 5 to route for PROXY_PORTS"
            destination {
                group {
                    port-group PROXY_PORTS
                }
            }
            modify {
                table 5
            }
            protocol tcp
            source {
                group {
                    address-group PROXY_CLIENTS
                }
            }
        }
    }
}

Entonces deberíamos aplicar el firewall a la interfaz LAN:

set interfaces ethernet eth1 firewall in modify TRANS_PROXY

Así que en este punto, ver el cortafuegos para el tráfico que viene la interfaz LAN (eth1) destinada a la PROXY_PORTS (HTTP y 8080). Comprobará la fuente; lo es desde un cliente de la LAN que no sea la puerta de enlace, difusión o el propio proxy (ver dirección de grupo PROXY_CLIENTS), entonces modificará el enrutamiento tabla a tabla 5. Esto establece el siguiente salto en el proxy transparente.

Cuando el proxy transparente procesa el tráfico, parece es el próximo salto (la IP de eth1). Pero puesto que el grupo de dirección excluye la IP del proxy transparente, continuará seguir la tabla de enrutamiento y, por ejemplo salir eth0 para Internet. Pero si olvidas a excluye la IP del proxy transparente del dirección-grupo de PROXY_CLIENTS, aparecerá para "romper" tráfico web.

Tecnología de Zendesk