Назад | Перейти на главную страницу

Как направить весь сетевой трафик для vlan через прокси-сервер на SRX

Я пытаюсь настроить маршрутизатор SRX для автоматической пересылки всего трафика через прокси-сервер, который у меня есть в США. Я создал отдельный vlan и настроил прокси, но не знаю, как я могу направить через него весь трафик.

Целью этой задачи является создание тестовой сети, которая заставляет пользователей появляться в месте расположения прокси-сервера. (с внешним IP-адресом прокси)

Возможно ли это и как мне это сделать. Правильно ли я подхожу к этому?

Спасибо

Вот как я обычно это делаю в JunOS. На самом деле не имеет значения, что вы используете SRX, но имейте в виду, что правила NAT все еще применяются.

Я рекомендую вам не размещать прокси-сервер в той же VLAN, что и клиенты. Это может быть хорошей петлей маршрутизации.

set routing-options interface-routes rib-group inet IMPORT-PHY
set routing-options rib-groups IMPORT-PHY import-rib inet.0
set routing-options rib-groups IMPORT-PHY import-rib to-proxy.inet.0
set firewall family inet filter to-proxy term one from destination-port 80
set firewall family inet filter to-proxy term one from destination-port 443
set firewall family inet filter to-proxy term one then count to-proxy
set firewall family inet filter to-proxy term one then log
set firewall family inet filter to-proxy term one then routing-instance to-proxy
set firewall family inet filter to-proxy term two then count to-default-route
set firewall family inet filter to-proxy term two then log
set firewall family inet filter to-proxy term two then accept
set routing-instances to-proxy instance-type forwarding
set routing-instances to-proxy routing-options static route 0.0.0.0/0 next-hop X.X.X.X

Затем вы применяете этот фильтр как семейный сетевой фильтр к интерфейсу, в вашем случае к интерфейсу VLAN.

set interfaces vlan.0 family inet filter input to-proxy

Имейте в виду, мой пример перехватывает только порты 80/443 на прокси-сервере, если у вас есть другие приложения или вы хотите сделать это для всей подсети, в фильтре вы можете сопоставить исходный или целевой IP-адрес или просто отправить все .

Если вы хотите отправлять ВЕСЬ трафик на прокси-сервер из этой VLAN, используйте следующие строки:

set routing-options interface-routes rib-group inet IMPORT-PHY
set routing-options rib-groups IMPORT-PHY import-rib inet.0
set routing-options rib-groups IMPORT-PHY import-rib to-proxy.inet.0
set firewall family inet filter to-proxy term one then count to-proxy
set firewall family inet filter to-proxy term one then log
set firewall family inet filter to-proxy term one then routing-instance to-proxy
set routing-instances to-proxy instance-type forwarding
set routing-instances to-proxy routing-options static route 0.0.0.0/0 next-hop X.X.X.X