Jump to content
Калькуляторы

Редирект без ДНС как реализовать?

Добрый день!

Фильтрую запрещенные сайты через ацл по IP. Но недавно вышел один крупный клиент, который хочет, чтобы ему открывалась заглушка. При этом он не пользуется нашими ДНСами.

Если я правильно мыслю, то его порт надо зазеркалить на сервер, который будет при получении запроса на запрещенный ресурс отдавать заглушку до того, как придет ответ от сайта. Правильно? Если да, то как это реализовать? Сервер найду, Freebsd поставлю.

Прошу коллег не оставить в печали и подтолкнуть к решению вопроса.

Share this post


Link to post
Share on other sites

С помощью PBR заверните 80 порт от этого клиента на что-то, что отдаст ему заглушку.

 

На линуксе

iptables -t nat -A PREROUTING -s <КлиентосIP> -p TCP --dport 80 -j DNAT --to <АдресЗаглушки>:80

iptables -t nat -A PREROUTING -s <КлиентосIP> -p TCP --dport 8080 -j DNAT --to <АдресЗаглушки>:80

iptables -t nat -A PREROUTING -s <КлиентосIP> -p TCP --dport 3128 -j DNAT --to <АдресЗаглушки>:80

iptables -t nat -A PREROUTING -s <КлиентосIP> -p TCP --dport 8888 -j DNAT --to <АдресЗаглушки>:80

 

и т.д.

 

На циске что-то вроде

ip acces list clientos

permit <КтентосIP>

 

route-map Zapert-Info permit 10

match ip address clientos

set ip default next-hop <Адрес Заглушки>

 

interface vlan 999

desc Clientos Net

ip policy route-map Zapret-Info

Share this post


Link to post
Share on other sites

Не блокировать по acl, а анонсировать маршруты для ip из реестра на бордер с другого сервера, на котором стоит веб с заглушкой.

Заодно и не надо acl все время дергать, гораздо проще менять конфиги у bird/quagga.

Share this post


Link to post
Share on other sites

Я не уточнил. Роутит у меня Cisco ASR-1002. Заворачивать весь трафик не хотелось бы. Вот и думаю, как лучше сделать.

Share this post


Link to post
Share on other sites

Не блокировать по acl, а анонсировать маршруты для ip из реестра на бордер с другого сервера, на котором стоит веб с заглушкой.

Заодно и не надо acl все время дергать, гораздо проще менять конфиги у bird/quagga.

тогда все клиенты на блэклисты пойдут через сервер...

Share this post


Link to post
Share on other sites

Дык, я же написал, как на кошке завернуть только трафик, который есть смысл заворачивать. Подойдите творчески к написанию ip acces list clientos

Share this post


Link to post
Share on other sites

Дык, я же написал, как на кошке завернуть только трафик, который есть смысл заворачивать. Подойдите творчески к написанию ip acces list clientos

 

Спасибо! У меня, видимо, был какой-то глюк. половина топика не была видна.

Share this post


Link to post
Share on other sites

тогда все клиенты на блэклисты пойдут через сервер...

 

Разумеется и в чем печаль? Разве другим клиентам приятно ждать таймаута и "страница не найдена" в итоге, вместо выданной сразу же заглушки?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this