ayf Posted June 25, 2015 · Report post Добрый день! Фильтрую запрещенные сайты через ацл по IP. Но недавно вышел один крупный клиент, который хочет, чтобы ему открывалась заглушка. При этом он не пользуется нашими ДНСами. Если я правильно мыслю, то его порт надо зазеркалить на сервер, который будет при получении запроса на запрещенный ресурс отдавать заглушку до того, как придет ответ от сайта. Правильно? Если да, то как это реализовать? Сервер найду, Freebsd поставлю. Прошу коллег не оставить в печали и подтолкнуть к решению вопроса. Share this post Link to post Share on other sites
sol Posted June 25, 2015 · Report post С помощью PBR заверните 80 порт от этого клиента на что-то, что отдаст ему заглушку. На линуксе iptables -t nat -A PREROUTING -s <КлиентосIP> -p TCP --dport 80 -j DNAT --to <АдресЗаглушки>:80 iptables -t nat -A PREROUTING -s <КлиентосIP> -p TCP --dport 8080 -j DNAT --to <АдресЗаглушки>:80 iptables -t nat -A PREROUTING -s <КлиентосIP> -p TCP --dport 3128 -j DNAT --to <АдресЗаглушки>:80 iptables -t nat -A PREROUTING -s <КлиентосIP> -p TCP --dport 8888 -j DNAT --to <АдресЗаглушки>:80 и т.д. На циске что-то вроде ip acces list clientos permit <КтентосIP> route-map Zapert-Info permit 10 match ip address clientos set ip default next-hop <Адрес Заглушки> interface vlan 999 desc Clientos Net ip policy route-map Zapret-Info Share this post Link to post Share on other sites
joesm Posted June 25, 2015 · Report post Не блокировать по acl, а анонсировать маршруты для ip из реестра на бордер с другого сервера, на котором стоит веб с заглушкой. Заодно и не надо acl все время дергать, гораздо проще менять конфиги у bird/quagga. Share this post Link to post Share on other sites
ayf Posted June 25, 2015 · Report post Я не уточнил. Роутит у меня Cisco ASR-1002. Заворачивать весь трафик не хотелось бы. Вот и думаю, как лучше сделать. Share this post Link to post Share on other sites
rdntw Posted June 25, 2015 · Report post Не блокировать по acl, а анонсировать маршруты для ip из реестра на бордер с другого сервера, на котором стоит веб с заглушкой. Заодно и не надо acl все время дергать, гораздо проще менять конфиги у bird/quagga. тогда все клиенты на блэклисты пойдут через сервер... Share this post Link to post Share on other sites
sol Posted June 25, 2015 · Report post Дык, я же написал, как на кошке завернуть только трафик, который есть смысл заворачивать. Подойдите творчески к написанию ip acces list clientos Share this post Link to post Share on other sites
ayf Posted June 25, 2015 · Report post Дык, я же написал, как на кошке завернуть только трафик, который есть смысл заворачивать. Подойдите творчески к написанию ip acces list clientos Спасибо! У меня, видимо, был какой-то глюк. половина топика не была видна. Share this post Link to post Share on other sites
joesm Posted June 25, 2015 · Report post тогда все клиенты на блэклисты пойдут через сервер... Разумеется и в чем печаль? Разве другим клиентам приятно ждать таймаута и "страница не найдена" в итоге, вместо выданной сразу же заглушки? Share this post Link to post Share on other sites