Jump to content
Калькуляторы

Не работает переадресация на страницу блокировки у заблокированных пользователей

Раньше все работало, но в определенный момент перестало, в какой именно-неизвестно, ибо люди на эту штуку не жалуются!

адреса заблоченным выдаются из пула 10.222.222.0/24

/ip firewall nat
add action=masquerade chain=srcnat comment=SberbankOnline dst-address=194.54.12.0/22 protocol=tcp src-address=10.222.222.0/24 to-addresses=194.54.12.0/22
add action=dst-nat chain=dstnat comment=Blocking dst-address=!10.10.4.71 dst-port=0-65535 protocol=tcp src-address=10.222.222.0/24 src-address-list=allow_ip \
   to-addresses=10.10.4.71 to-ports=8080
add action=masquerade chain=srcnat comment="Masquerade for Blocked" src-address=10.222.222.0/24

Share this post


Link to post
Share on other sites

Вообще если у абонента нет средств, то ему не надо выдавать какие-то другие адреса из пула - достаточно поместить ИП абонента в адрес лист, доступ из которого блокировать в сторону интернета. Переадресация на страничку делается через веб прокси:

 

/ip firewall address-list
add address=10.10.10.10 list=balance_negative
/ip firewall filter
add action=drop chain=forward dst-address=!10.0.0.0/8 src-address-list=balance_negative
/ip firewall nat
add action=redirect chain=dstnat dst-address=!10.0.0.0/8 protocol=tcp src-address-list=balance_negative to-ports=8123
/ip proxy
set enabled=yes port=8123
/ip proxy access
add action=deny redirect-to=10.10.8.1

Share this post


Link to post
Share on other sites

add action=masquerade chain=srcnat comment=SberbankOnline dst-address=194.54.12.0/22 protocol=tcp src-address=10.222.222.0/24 to-addresses=194.54.12.0/22

Не понял, что хотели сделать этим правилом. Зачем делать srcnat в IP адреса сбербанка?

add action=dst-nat chain=dstnat comment=Blocking dst-address=!10.10.4.71 dst-port=0-65535 protocol=tcp src-address=10.222.222.0/24 src-address-list=allow_ip \

to-addresses=10.10.4.71 to-ports=8080

1) Зачем nat всех tcp портов в порт 8080? Наверное стоит nat'ить только 80 порт.

2) Зачем одновременно указывать src-address и src-address-list. Думаю, стоит ограничиться только src-address.

Share this post


Link to post
Share on other sites

Не понял, что хотели сделать этим правилом. Зачем делать srcnat в IP адреса сбербанка?

Этим правилом разрешается доступ заблокированных пользователей в сбербанк онлайн, только правило старое, сейчас стоит action=accept

 

1) Зачем nat всех tcp портов в порт 8080? Наверное стоит nat'ить только 80 порт.

2) Зачем одновременно указывать src-address и src-address-list. Думаю, стоит ограничиться только src-address.

1) Если натить только порт 80, то продолжают работать все остальные, доступ например в танки остается.

2)Тут полностью согласен. Компания молодая, конфиг точить и точить...

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.