Jump to content

Редирект без ДНС как реализовать?

Reply to this topic

ayf   

ayf
Posted · Report post

Добрый день!

Фильтрую запрещенные сайты через ацл по IP. Но недавно вышел один крупный клиент, который хочет, чтобы ему открывалась заглушка. При этом он не пользуется нашими ДНСами.

Если я правильно мыслю, то его порт надо зазеркалить на сервер, который будет при получении запроса на запрещенный ресурс отдавать заглушку до того, как придет ответ от сайта. Правильно? Если да, то как это реализовать? Сервер найду, Freebsd поставлю.

Прошу коллег не оставить в печали и подтолкнуть к решению вопроса.

Share this post

Link to post
Share on other sites

sol   

sol
Posted · Report post

С помощью PBR заверните 80 порт от этого клиента на что-то, что отдаст ему заглушку.

 

На линуксе

iptables -t nat -A PREROUTING -s <КлиентосIP> -p TCP --dport 80 -j DNAT --to <АдресЗаглушки>:80

iptables -t nat -A PREROUTING -s <КлиентосIP> -p TCP --dport 8080 -j DNAT --to <АдресЗаглушки>:80

iptables -t nat -A PREROUTING -s <КлиентосIP> -p TCP --dport 3128 -j DNAT --to <АдресЗаглушки>:80

iptables -t nat -A PREROUTING -s <КлиентосIP> -p TCP --dport 8888 -j DNAT --to <АдресЗаглушки>:80

 

и т.д.

 

На циске что-то вроде

ip acces list clientos

permit <КтентосIP>

 

route-map Zapert-Info permit 10

match ip address clientos

set ip default next-hop <Адрес Заглушки>

 

interface vlan 999

desc Clientos Net

ip policy route-map Zapret-Info

Share this post

Link to post
Share on other sites

joesm   

joesm
Posted · Report post

Не блокировать по acl, а анонсировать маршруты для ip из реестра на бордер с другого сервера, на котором стоит веб с заглушкой.

Заодно и не надо acl все время дергать, гораздо проще менять конфиги у bird/quagga.

Share this post

Link to post
Share on other sites

rdntw   

rdntw
Posted · Report post

Не блокировать по acl, а анонсировать маршруты для ip из реестра на бордер с другого сервера, на котором стоит веб с заглушкой.

Заодно и не надо acl все время дергать, гораздо проще менять конфиги у bird/quagga.

тогда все клиенты на блэклисты пойдут через сервер...

Share this post

Link to post
Share on other sites

sol   

sol
Posted · Report post

Дык, я же написал, как на кошке завернуть только трафик, который есть смысл заворачивать. Подойдите творчески к написанию ip acces list clientos

Share this post

Link to post
Share on other sites

ayf   

ayf
Posted · Report post

Дык, я же написал, как на кошке завернуть только трафик, который есть смысл заворачивать. Подойдите творчески к написанию ip acces list clientos

 

Спасибо! У меня, видимо, был какой-то глюк. половина топика не была видна.

Share this post

Link to post
Share on other sites

joesm   

joesm
Posted · Report post

тогда все клиенты на блэклисты пойдут через сервер...

 

Разумеется и в чем печаль? Разве другим клиентам приятно ждать таймаута и "страница не найдена" в итоге, вместо выданной сразу же заглушки?

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Go to topic listing Программное обеспечение, биллинг и *unix системы