ayf Опубликовано 25 июня, 2015 · Жалоба Добрый день! Фильтрую запрещенные сайты через ацл по IP. Но недавно вышел один крупный клиент, который хочет, чтобы ему открывалась заглушка. При этом он не пользуется нашими ДНСами. Если я правильно мыслю, то его порт надо зазеркалить на сервер, который будет при получении запроса на запрещенный ресурс отдавать заглушку до того, как придет ответ от сайта. Правильно? Если да, то как это реализовать? Сервер найду, Freebsd поставлю. Прошу коллег не оставить в печали и подтолкнуть к решению вопроса. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sol Опубликовано 25 июня, 2015 · Жалоба С помощью PBR заверните 80 порт от этого клиента на что-то, что отдаст ему заглушку. На линуксе iptables -t nat -A PREROUTING -s <КлиентосIP> -p TCP --dport 80 -j DNAT --to <АдресЗаглушки>:80 iptables -t nat -A PREROUTING -s <КлиентосIP> -p TCP --dport 8080 -j DNAT --to <АдресЗаглушки>:80 iptables -t nat -A PREROUTING -s <КлиентосIP> -p TCP --dport 3128 -j DNAT --to <АдресЗаглушки>:80 iptables -t nat -A PREROUTING -s <КлиентосIP> -p TCP --dport 8888 -j DNAT --to <АдресЗаглушки>:80 и т.д. На циске что-то вроде ip acces list clientos permit <КтентосIP> route-map Zapert-Info permit 10 match ip address clientos set ip default next-hop <Адрес Заглушки> interface vlan 999 desc Clientos Net ip policy route-map Zapret-Info Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
joesm Опубликовано 25 июня, 2015 · Жалоба Не блокировать по acl, а анонсировать маршруты для ip из реестра на бордер с другого сервера, на котором стоит веб с заглушкой. Заодно и не надо acl все время дергать, гораздо проще менять конфиги у bird/quagga. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ayf Опубликовано 25 июня, 2015 · Жалоба Я не уточнил. Роутит у меня Cisco ASR-1002. Заворачивать весь трафик не хотелось бы. Вот и думаю, как лучше сделать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdntw Опубликовано 25 июня, 2015 · Жалоба Не блокировать по acl, а анонсировать маршруты для ip из реестра на бордер с другого сервера, на котором стоит веб с заглушкой. Заодно и не надо acl все время дергать, гораздо проще менять конфиги у bird/quagga. тогда все клиенты на блэклисты пойдут через сервер... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sol Опубликовано 25 июня, 2015 · Жалоба Дык, я же написал, как на кошке завернуть только трафик, который есть смысл заворачивать. Подойдите творчески к написанию ip acces list clientos Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ayf Опубликовано 25 июня, 2015 · Жалоба Дык, я же написал, как на кошке завернуть только трафик, который есть смысл заворачивать. Подойдите творчески к написанию ip acces list clientos Спасибо! У меня, видимо, был какой-то глюк. половина топика не была видна. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
joesm Опубликовано 25 июня, 2015 · Жалоба тогда все клиенты на блэклисты пойдут через сервер... Разумеется и в чем печаль? Разве другим клиентам приятно ждать таймаута и "страница не найдена" в итоге, вместо выданной сразу же заглушки? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...