Перейти к содержимому
Калькуляторы

Редирект без ДНС как реализовать?

Добрый день!

Фильтрую запрещенные сайты через ацл по IP. Но недавно вышел один крупный клиент, который хочет, чтобы ему открывалась заглушка. При этом он не пользуется нашими ДНСами.

Если я правильно мыслю, то его порт надо зазеркалить на сервер, который будет при получении запроса на запрещенный ресурс отдавать заглушку до того, как придет ответ от сайта. Правильно? Если да, то как это реализовать? Сервер найду, Freebsd поставлю.

Прошу коллег не оставить в печали и подтолкнуть к решению вопроса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

С помощью PBR заверните 80 порт от этого клиента на что-то, что отдаст ему заглушку.

 

На линуксе

iptables -t nat -A PREROUTING -s <КлиентосIP> -p TCP --dport 80 -j DNAT --to <АдресЗаглушки>:80

iptables -t nat -A PREROUTING -s <КлиентосIP> -p TCP --dport 8080 -j DNAT --to <АдресЗаглушки>:80

iptables -t nat -A PREROUTING -s <КлиентосIP> -p TCP --dport 3128 -j DNAT --to <АдресЗаглушки>:80

iptables -t nat -A PREROUTING -s <КлиентосIP> -p TCP --dport 8888 -j DNAT --to <АдресЗаглушки>:80

 

и т.д.

 

На циске что-то вроде

ip acces list clientos

permit <КтентосIP>

 

route-map Zapert-Info permit 10

match ip address clientos

set ip default next-hop <Адрес Заглушки>

 

interface vlan 999

desc Clientos Net

ip policy route-map Zapret-Info

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не блокировать по acl, а анонсировать маршруты для ip из реестра на бордер с другого сервера, на котором стоит веб с заглушкой.

Заодно и не надо acl все время дергать, гораздо проще менять конфиги у bird/quagga.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я не уточнил. Роутит у меня Cisco ASR-1002. Заворачивать весь трафик не хотелось бы. Вот и думаю, как лучше сделать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не блокировать по acl, а анонсировать маршруты для ip из реестра на бордер с другого сервера, на котором стоит веб с заглушкой.

Заодно и не надо acl все время дергать, гораздо проще менять конфиги у bird/quagga.

тогда все клиенты на блэклисты пойдут через сервер...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Дык, я же написал, как на кошке завернуть только трафик, который есть смысл заворачивать. Подойдите творчески к написанию ip acces list clientos

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Дык, я же написал, как на кошке завернуть только трафик, который есть смысл заворачивать. Подойдите творчески к написанию ip acces list clientos

 

Спасибо! У меня, видимо, был какой-то глюк. половина топика не была видна.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

тогда все клиенты на блэклисты пойдут через сервер...

 

Разумеется и в чем печаль? Разве другим клиентам приятно ждать таймаута и "страница не найдена" в итоге, вместо выданной сразу же заглушки?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.