...
Шаг | Описание | Команда | Ключи | ||
---|---|---|---|---|---|
1 | Cоздать объект с URL | esr(config)# object-group url <NAME> | |||
2 | Указать набор | esr(config-object-group-url)# url <URL> | <URL> – адрес веб страницы, сайта. | ||
3 | Создать профиль проксирования | esr(config)# ip http profile <NAME> | <NAME> – название профиля. | ||
4 | Выбрать действие по умолчанию | esr(config-profile)# default action {deny|permit|redirect} | <URL> – адрес хоста, на который будут передаваться запросы. | ||
5 | Указать описание (не обязательно) | esr(config-profile)# description <description> | <description> – до 255 символов. | ||
6 | Указать удаленный или локальный список URL и тип операции (блокировка/ пропуск трафика/ перенаправление) (не обязательно) | esr(config-profile)# urls {local|remote} <URL_OBJ_GROUP_NAME> | <URL_OBJ_GROUP_NAME> – указать название объекта, содержащего набор URL. | ||
7 | Указать удаленный сервер, где лежат необходимые списки URL (не обязательно) | esr(config)# ip http proxy server-url <URL> | <URL> – адрес сервера, откуда будут брать удалённые списки url. | ||
8 | Указать прослушиваемый порт для проксирования (не обязательно) | esr(config)# ip http proxy listen-ports <OBJ_GROUP_NAME> | <OBJ_GROUP_NAME> – имя профиля порта, задаётся строкой до 31 символа. | ||
9 | Указать прослушиваемый порт для проксирования (не обязательно) | esr(config)# ip https proxy listen-ports <OBJ_GROUP_NAME> | <OBJ_GROUP_NAME> – имя профиля порта, задаётся строкой до 31 символа. | ||
10 | Указать базовый порт для проксирования (не обязательно) | esr(config)# ip https proxy redirect-port <PORT> | <PORT> – номер порта, указывается в диапазоне [1..65535]. Значение по умолчанию 3128 | ||
11 | Включить проксирование на интерфейсе на основе выбранного HTTP-профиля | esr(config-if)# ip http proxy <PROFILE_NAME> | <PROFILE_NAME> – название профиля | ||
1112 | Включить проксирование на интерфейсе на основе выбранного HTTPS-профиля | esr(config-if)# ip https proxy <PROFILE_NAME> | <PROFILE_NAME> – название профиля | ||
1213 | Создать списки сервисов, которые будут использоваться при фильтрации. | esr(config)# object-group service <obj-group-name> | <obj-group-name> – имя профиля сервисов, задается строкой до 31 символа. | ||
1314 | Задать описание списка сервисов (не обязательно). | esr(config-object-group-service)# description <description> | <description> – описание профиля, задается строкой до 255 символов. | ||
1415 | Внести необходимые сервисы (tcp/udp порты) в список. | esr(config-object-group-service)# port-range 31293128-31343135 | Прокси-сервер ESR использует для своей работы порты 3129, 3130, 3133 и 3134. | 15 | начиная с базового порта определённого на 10 шаге Для http proxy используются порты начиная с базового порта по базовый порт + количество cpu данной модели ESR - 1 Для https proxy используются порты начиная с базового порта + количество cpu данной модели ESR по базовый порт + количество cpu данной модели ESR * 2 - 1 |
16 | Создать набор правил межзонового взаимодействия. | esr(config)# security zone-pair <src-zone-name1> self | <src-zone-name> – зона безопасности, в которой находятся интерфейсы с функцией ip http proxy или ip https proxy. self – предопределенная зона безопасности для трафика, поступающего на сам ESR. | ||
1617 | Создать правило межзонового взаимодействия. | esr(config-zone-pair)# rule <rule-number> | <rule-number> – 1..10000. | ||
1718 | Задать описание правила (не обязательно). | esr(config-zone-rule)# description <description> | <description> – до 255 символов. | ||
1819 | Указать действие данного правила. | esr(config-zone-rule)# action <action> [ log ] | <action> – permit log – ключ для активации логирования сессий, которые устанавливаются согласно данному правилу. | ||
1920 | Установить имя IP-протокола, для которого должно срабатывать правило | esr(config-zone-rule)# match protocol <protocol-type> | <protocol-type> – tcp Прокси-сервер ESR работает по протоколу ESR. | ||
2021 | Установить профиль TCP/UDP-портов получателя, для которых должно срабатывать правило (если указан протокол). | esr(config-zone-rule)# match [not] | <obj-group-name> – имя профиля сервисов, созданного на шаге №12 | ||
2122 | Включить правило межзонового взаимодействия. | esr(config-zone-rule)# enable |
...
Блок кода |
---|
esr# configure
esr(config)# object-group url test1
esr(config-object-group-url)# url http://speedtest.net/
esr(config-object-group-url)# url http://www.speedtest.net/
esr(config-object-group-url)# url https://speedtest.net/
esr(config-object-group-url)# url https://www.speedtest.net/
esr(config-object-group-url)# exit |
Создаем профиль:
Блок кода |
---|
esr(config)# ip http profile list1 esr(config-profile)# default action permit esr(config-profile)# urls local test1 action redirect redirect-url http://test.loc esr(config-profile)# exit |
...
Блок кода |
---|
esr(config)# interface gi 1/0/1
esr(config-if)# ip http proxy list1
esr(config-if)# ip https proxy list1 |
Если используется Firewall, создадим для него разрешающие правила:
Допустим мы используем модель ESR-20 у которой 4 CPU.
Для http proxy нам надо открыть порты с 3128 по 3131
Для https proxy нам надо открыть порты с 3132 по 3135
Создаем профиль портов Прокси-сервера:
Блок кода |
---|
esr(config)# object-group service proxy esr(config-object-group-service)# port-range 31293128-31343135 esr(config-object-group-service)# exit |
...