Jump to content

Не работает переадресация на страницу блокировки у заблокированных пользователей

madbed96
 Share

Recommended Posts

madbed96

madbed96

Posted
Posted

Раньше все работало, но в определенный момент перестало, в какой именно-неизвестно, ибо люди на эту штуку не жалуются!

адреса заблоченным выдаются из пула 10.222.222.0/24

/ip firewall nat
add action=masquerade chain=srcnat comment=SberbankOnline dst-address=194.54.12.0/22 protocol=tcp src-address=10.222.222.0/24 to-addresses=194.54.12.0/22
add action=dst-nat chain=dstnat comment=Blocking dst-address=!10.10.4.71 dst-port=0-65535 protocol=tcp src-address=10.222.222.0/24 src-address-list=allow_ip \
   to-addresses=10.10.4.71 to-ports=8080
add action=masquerade chain=srcnat comment="Masquerade for Blocked" src-address=10.222.222.0/24

Saab95

Saab95

Posted
Posted

Вообще если у абонента нет средств, то ему не надо выдавать какие-то другие адреса из пула - достаточно поместить ИП абонента в адрес лист, доступ из которого блокировать в сторону интернета. Переадресация на страничку делается через веб прокси:

 

/ip firewall address-list
add address=10.10.10.10 list=balance_negative
/ip firewall filter
add action=drop chain=forward dst-address=!10.0.0.0/8 src-address-list=balance_negative
/ip firewall nat
add action=redirect chain=dstnat dst-address=!10.0.0.0/8 protocol=tcp src-address-list=balance_negative to-ports=8123
/ip proxy
set enabled=yes port=8123
/ip proxy access
add action=deny redirect-to=10.10.8.1

xaker1

xaker1

Posted
Posted
add action=masquerade chain=srcnat comment=SberbankOnline dst-address=194.54.12.0/22 protocol=tcp src-address=10.222.222.0/24 to-addresses=194.54.12.0/22

Не понял, что хотели сделать этим правилом. Зачем делать srcnat в IP адреса сбербанка?

add action=dst-nat chain=dstnat comment=Blocking dst-address=!10.10.4.71 dst-port=0-65535 protocol=tcp src-address=10.222.222.0/24 src-address-list=allow_ip \

to-addresses=10.10.4.71 to-ports=8080

1) Зачем nat всех tcp портов в порт 8080? Наверное стоит nat'ить только 80 порт.

2) Зачем одновременно указывать src-address и src-address-list. Думаю, стоит ограничиться только src-address.

  • 2 weeks later...
madbed96

madbed96

Posted
  • Author
Posted

Не понял, что хотели сделать этим правилом. Зачем делать srcnat в IP адреса сбербанка?

Этим правилом разрешается доступ заблокированных пользователей в сбербанк онлайн, только правило старое, сейчас стоит action=accept

 

1) Зачем nat всех tcp портов в порт 8080? Наверное стоит nat'ить только 80 порт.

2) Зачем одновременно указывать src-address и src-address-list. Думаю, стоит ограничиться только src-address.

1) Если натить только порт 80, то продолжают работать все остальные, доступ например в танки остается.

2)Тут полностью согласен. Компания молодая, конфиг точить и точить...

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.