Jump to content

Редирект без ДНС

ayf
 Share

Recommended Posts

ayf

ayf

Posted
Posted

Добрый день!

Фильтрую запрещенные сайты через ацл по IP. Но недавно вышел один крупный клиент, который хочет, чтобы ему открывалась заглушка. При этом он не пользуется нашими ДНСами.

Если я правильно мыслю, то его порт надо зазеркалить на сервер, который будет при получении запроса на запрещенный ресурс отдавать заглушку до того, как придет ответ от сайта. Правильно? Если да, то как это реализовать? Сервер найду, Freebsd поставлю.

Прошу коллег не оставить в печали и подтолкнуть к решению вопроса.

sol

sol

Posted
Posted

С помощью PBR заверните 80 порт от этого клиента на что-то, что отдаст ему заглушку.

 

На линуксе

iptables -t nat -A PREROUTING -s <КлиентосIP> -p TCP --dport 80 -j DNAT --to <АдресЗаглушки>:80

iptables -t nat -A PREROUTING -s <КлиентосIP> -p TCP --dport 8080 -j DNAT --to <АдресЗаглушки>:80

iptables -t nat -A PREROUTING -s <КлиентосIP> -p TCP --dport 3128 -j DNAT --to <АдресЗаглушки>:80

iptables -t nat -A PREROUTING -s <КлиентосIP> -p TCP --dport 8888 -j DNAT --to <АдресЗаглушки>:80

 

и т.д.

 

На циске что-то вроде

ip acces list clientos

permit <КтентосIP>

 

route-map Zapert-Info permit 10

match ip address clientos

set ip default next-hop <Адрес Заглушки>

 

interface vlan 999

desc Clientos Net

ip policy route-map Zapret-Info

joesm

joesm

Posted
Posted

Не блокировать по acl, а анонсировать маршруты для ip из реестра на бордер с другого сервера, на котором стоит веб с заглушкой.

Заодно и не надо acl все время дергать, гораздо проще менять конфиги у bird/quagga.

rdntw

rdntw

Posted
Posted

Не блокировать по acl, а анонсировать маршруты для ip из реестра на бордер с другого сервера, на котором стоит веб с заглушкой.

Заодно и не надо acl все время дергать, гораздо проще менять конфиги у bird/quagga.

тогда все клиенты на блэклисты пойдут через сервер...

sol

sol

Posted
Posted

Дык, я же написал, как на кошке завернуть только трафик, который есть смысл заворачивать. Подойдите творчески к написанию ip acces list clientos

ayf

ayf

Posted
  • Author
Posted

Дык, я же написал, как на кошке завернуть только трафик, который есть смысл заворачивать. Подойдите творчески к написанию ip acces list clientos

 

Спасибо! У меня, видимо, был какой-то глюк. половина топика не была видна.

joesm

joesm

Posted
Posted

тогда все клиенты на блэклисты пойдут через сервер...

 

Разумеется и в чем печаль? Разве другим клиентам приятно ждать таймаута и "страница не найдена" в итоге, вместо выданной сразу же заглушки?

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.