EdgeMAX - roteamento para proxy transparente baseado em políticas

Visão geral


Os leitores vão aprender a empregar o roteamento baseado em políticas para ativar o uso de um proxy transparente na sua rede local (por exemplo, não em seu dispositivo de EdgeMAX).

Fora os outros exemplos de roteamento baseado na política de construção (por exemplo, Port) do destino, os usuários podem definir decisões de tabela de roteamento para entregar a determinados tipos de tráfego através de dispositivos específicos. Neste exemplo, vamos definir o tráfego da web e tomar uma decisão de encaminhá-lo através do nosso proxy transparente.

Na rede de exemplo, vamos nos concentrar em uma única conexão WAN na eth0 e uma única rede na eth1, com o proxy transparente ocupando um IP na LAN:

1. eth0 - Internet
2. eth1 - 192.168.1.0/24 - LAN
2a. Proxy transparente - 192.168.1.42

Tabelas de roteamento


Temos tabelas de roteamento padrão definidas pela configuração de nossa rede; nada precisa acontecer para os padrões (se estático roteia para o ISP, DHCP, ou caso contrário). Mas precisamos de estabelecer uma nova tabela e usar nosso Proxy transparente como o próximo salto para qualquer que seja o proxy irá lidar com o tráfego.

Conseguimos um mesa número 1-200, enquanto já não existe:

set protocols static table 5 route 0.0.0.0/0 next-hop 192.168.1.42

Vamos precisar modificar firewall e um vinho do porto e grupos de endereço para melhor definem o nosso comportamento.
Nota : PROXY_CLIENTS não deve incluir o IP do proxy em si ou haverá um loop de roteamento
Nota : PROXY_CLIENTS não deve incluir o eth1 gateway IP ou o endereço de broadcast (. 1 ou.255)

firewall {
    group {
        address-group PROXY_CLIENTS {
            address 192.168.1.2-192.168.1.41
            address 192.168.1.43-192.168.1.254
        }
        port-group PROXY_PORTS {
            port 80
            port 8080
        }
    }
    modify TRANS_PROXY {
        rule 1 {
            action modify
            description "use table 5 to route for PROXY_PORTS"
            destination {
                group {
                    port-group PROXY_PORTS
                }
            }
            modify {
                table 5
            }
            protocol tcp
            source {
                group {
                    address-group PROXY_CLIENTS
                }
            }
        }
    }
}

Deve, em seguida, aplicar o firewall para a interface de LAN:

set interfaces ethernet eth1 firewall in modify TRANS_PROXY

Portanto, neste ponto, o firewall vai assistir para entrar na interface de LAN (eth1) destinado a PROXY_PORTS de tráfego (HTTP e 8080). Ele irá verificar a fonte; desde que é de um cliente na rede local que não seja o gateway, broadcast ou o proxy em si (ver endereço-grupo PROXY_CLIENTS), então ele irá modificar o roteamento 5 de mesa em mesa. Isso define o próximo salto para o proxy transparente.

Quando o proxy transparente processa o tráfego, olhará para ele é o próximo salto (o IP da eth1). Mas desde que o endereço-grupo exclui o IP do proxy transparente, vai continuar a seguir a tabela de roteamento e, por exemplo, sair eth0 para a Internet. Mas se você esquecer de excluir o IP do proxy transparente do endereço-grupo de PROXY_CLIENTS, você vai aparecer para "quebrar" o tráfego da web.

Powered by Zendesk