[electro_]

Добрый день, форумчане и земляне! Использую биллинг ABILLS + acell-ppp.

 

Есть задача по фильтру негативного депозита и перенаправления абонентов на страницу негативного депозита

 

1. Сейчас реализовано все при помощи скрипта и работает редирект на 80 порту

 

AWK=/usr/bin/awk

REDIRECT_IP="91.196.176.6"

ALLOW_NET="91.196.176.0/24"

IPTABLES="/sbin/iptables"

DEBUG=1

 

 

EXIST=`${IPTABLES} -t nat -L PREROUTING -v | grep "${IFNAME} "; ${IPTABLES} -L -v | grep DROP | grep "${IFNAME} "`

if [ w != w"${EXIST}" ]; then

${IPTABLES} -t nat -D PREROUTING -i ${IFNAME} -p tcp -m tcp --dport 80 -j DNAT --to-destination ${REDIRECT_IP}:80

${IPTABLES} -D FORWARD -i ${IFNAME} -j DROP

fi;

 

#### Filters

if [ w${FILTERS} != w ] ; then

#Put there filters rule

#echo "Filter: ${FILTERS}"

 

if [ w${FILTERS} = wNEG_DEPOSIT ] ; then

#### Filters

$IPTABLES -t nat -A PREROUTING -i ${IFNAME} -p tcp -m tcp --dport 80 -j DNAT --to-destination $REDIRECT_IP:80

$IPTABLES -t nat -A PREROUTING -i ${IFNAME} -d ${ALLOW_NET} -j RETURN

$IPTABLES -t nat -A PREROUTING -i ${IFNAME} -d 62.149.25.124 -j RETURN

$IPTABLES -t nat -A PREROUTING -i ${IFNAME} -d 185.68.16.86 -j RETURN

$IPTABLES -t nat -A PREROUTING -i ${IFNAME} -d 91.222.137.199 -j RETURN

$IPTABLES -t nat -A PREROUTING -i ${IFNAME} -d 91.200.28.177 -j RETURN

$IPTABLES -t nat -A PREROUTING -i ${IFNAME} -d 195.85.198.17 -j RETURN

$IPTABLES -t nat -A PREROUTING -i ${IFNAME} -d 54.229.21.126 -j RETURN

$IPTABLES -t nat -A PREROUTING -i ${IFNAME} -d 52.30.57.18 -j RETURN

$IPTABLES -t nat -A PREROUTING -i ${IFNAME} -d 54.154.124.100/32 -j RETURN

$IPTABLES -t nat -A PREROUTING -i ${IFNAME} -d 54.154.124.224/32 -j RETURN

$IPTABLES -t nat -A PREROUTING -i ${IFNAME} -d 212.158.173.43 -j RETURN

$IPTABLES -I FORWARD -i ${IFNAME} -d ${ALLOW_NET} -j ACCEPT

$IPTABLES -I FORWARD -i ${IFNAME} -d 62.149.25.124 -j ACCEPT

$IPTABLES -I FORWARD -i ${IFNAME} -d 185.68.16.86 -j ACCEPT

$IPTABLES -I FORWARD -i ${IFNAME} -d 91.222.137.199 -j ACCEPT

$IPTABLES -I FORWARD -i ${IFNAME} -d 91.200.28.177 -j ACCEPT

$IPTABLES -I FORWARD -i ${IFNAME} -d 195.85.198.17 -j ACCEPT

$IPTABLES -I FORWARD -i ${IFNAME} -d 54.229.21.126 -j ACCEPT

$IPTABLES -I FORWARD -i ${IFNAME} -d 52.30.57.18 -j ACCEPT

$IPTABLES -I FORWARD -i ${IFNAME} -d 54.154.124.100/32 -j ACCEPT

$IPTABLES -I FORWARD -i ${IFNAME} -d 54.154.124.224/32 -j ACCEPT

$IPTABLES -I FORWARD -i ${IFNAME} -d 54.229.105.178/31 -j ACCEPT

$IPTABLES -I FORWARD -i ${IFNAME} -d 217.117.64.0/22 -j ACCEPT

$IPTABLES -I FORWARD -i ${IFNAME} -d 212.158.173.43 -j ACCEPT

$IPTABLES -A FORWARD -i ${IFNAME} -j DROP

if [ w${DEBUG} != w ] ; then

echo "UP neg filter / ${FILTERS} / '${IFNAME}'" >> /tmp/neg

fi;

exit;

fi;

 

#Max TCP Sessions filter

FILTER_ID=`echo ${FILTERS} | awk -F: '{ print $1 }'`;

if [ w${FILTER_ID} = wMAX_TCP ]; then

COUNT=`echo ${FILTERS} | awk -F: '{ print $2 }'`;

 

fi;

fi;

 

fi;

 

2. Что мне нужно

 

Все тоже самое, но при обращение на сайты на протокол https также перенаправлялись на страницу негативного депозита на 80 порт или на 443 порт

 

Сейчас много сайтов работает по https:// (google, vk, ok. facebook, ya, ). И все у кого негативный депозит, открывая например https://vk.com не перенапрявляются на страницу негативного депозита, тем самым не могут увидеть что у них не оплачено, что ооочень не удобно.

[kayot]

electro_

Удачи вам.

[shafiev]

А ты попробуй отсюда http://abills.net.ua/wiki/doku.php/abills:docs:nas:mikrotik:redirect?s[]=https

и скажи как оно получилось не для микротика , у самого cisco ISG/BNG

[electro_]

А ты попробуй отсюда http://abills.net.ua/wiki/doku.php/abills:docs:nas:mikrotik:redirect?s[]=https

и скажи как оно получилось не для микротика , у самого cisco ISG/BNG

 

 

да видел я это, но мне нужно именно https iptables redirect

[shafiev]

А ты попробуй отсюда http://abills.net.ua...otik:redirect?s[]=https

и скажи как оно получилось не для микротика , у самого cisco ISG/BNG

 

 

да видел я это, но мне нужно именно https iptables redirect

 

Ну можно тоже делать с iptables + squid ( хотя на микротике наверное что то более простое)

[vop]

Ждем инженерное решение века. :)

[s.lobanov]

И смысл? Абонент испугается страшного warning-а про SSL и закроет страницу. Гугл хром на гугл-сайтах даже продолжить не даст, они там захаркодили защиту от MITM по отношению к своим сайтам.

[electro_]

И смысл? Абонент испугается страшного warning-а про SSL и закроет страницу. Гугл хром на гугл-сайтах даже продолжить не даст, они там захаркодили защиту от MITM по отношению к своим сайтам.

 

да смысл то , что если у абонента не оплачено и он образается к сайта по https: его не редиректит на страницу негативного депозита(на этой страничке указывается кнопалка активировать и переход в личный кабинет), тоесть абонент сам не может активировать услугу и остается в жопе...

 

И смысл? Абонент испугается страшного warning-а про SSL и закроет страницу. Гугл хром на гугл-сайтах даже продолжить не даст, они там захаркодили защиту от MITM по отношению к своим сайтам.

 

Да, понимаю, но мне все равно, хоть через жопу лишь бы работало...

[smollmd]

Да, понимаю, но мне все равно, хоть через жопу лишь бы работало...

Да не будет работать. в том и смысл SSL в защите данных от клиента к серверу. И все браузеры будут очень сильно плакать что идет подмена сертификата при переходе.

Оставляйте доступ на 443 порту, за несколько минут работы юзер по любому словит ваш редирект на 80-м порту.

[s.lobanov]

electro_

Ну тогда делаете dnat на web server, а там отправляете redirect(если абонент согласится принять сертификат)

[electro_]

Да, понимаю, но мне все равно, хоть через жопу лишь бы работало...

Да не будет работать. в том и смысл SSL в защите данных от клиента к серверу. И все браузеры будут очень сильно плакать что идет подмена сертификата при переходе.

Оставляйте доступ на 443 порту, за несколько минут работы юзер по любому словит ваш редирект на 80-м порту.

 

 

Оставляйте доступ на 443 порту, за несколько минут работы юзер по любому словит ваш редирект на 80-м порту. - не сильно понял как и что . Чуть по подробней плз...

 

electro_

Ну тогда делаете dnat на web server, а там отправляете redirect(если абонент согласится принять сертификат)

 

$IPTABLES -t nat -A PREROUTING -i ${IFNAME} -p tcp -m tcp --dport 443 -j DNAT --to-destination $REDIRECT_IP:443, и типа появится не подлинный красный сертификат ?

[s.lobanov]

$IPTABLES -t nat -A PREROUTING -i ${IFNAME} -p tcp -m tcp --dport 443 -j DNAT --to-destination $REDIRECT_IP:443, и типа появится не подлинный красный сертификат ?

 

да.

[disappointed]

Имелось ввиду оставить доступ в интернет по 443 порту, в надежде, что абонент наткнётся на редирект по 80-му.

[shafiev]

Имелось ввиду оставить доступ в интернет по 443 порту, в надежде, что абонент наткнётся на редирект по 80-му.

 

неплохая идея, в принципе.

P.S в качестве бреда поспрашиваю у cisco tac

[myth]

90% абонентов дальше контакта и одноклассников не ходят. А они - https

[shafiev]

90% абонентов дальше контакта и одноклассников не ходят. А они - https

 

У меня youtube ,facebook , правда сайты с российским кино и телесиралом тоже немного есть,а они зачастую не https

[electro_]

90% абонентов дальше контакта и одноклассников не ходят. А они - https

 

та да, в том то и дело, что оставлять доступ по 443 порту - это бесплатно давать интернет :)

 

Имелось ввиду оставить доступ в интернет по 443 порту, в надежде, что абонент наткнётся на редирект по 80-му.

 

неплохая идея, в принципе.

P.S в качестве бреда поспрашиваю у cisco tac

 

Та должно же быть какое то решение. Готов даже цицьку купить :)

Edited June 17, 2016 by electro_

[s.lobanov]

Современные девайсы (iphone, android) сами понимают что на http висит портал и предлагают на него зайти. MacOS X - тоже. Win8 вроде бы тоже, проверьте. Возможно, то, что вы делаете и не нужно

[electro_]

Современные девайсы (iphone, android) сами понимают что на http висит портал и предлагают на него зайти. MacOS X - тоже. Win8 вроде бы тоже, проверьте. Возможно, то, что вы делаете и не нужно

 

девайсы как раз не интересуют, у меня сеть городская, Windows XP,7,8,10

[smollmd]

Возможно хотелось бы странного, но все же...

На лету разбирать весь трафик на 80 и 443 порту, и подставлять свой html-код с контекстной информацией о долге и тд. При этом оставив доступ в интернет на скорости до 1Мб.

Даже как-то хвастались что такое продали и запустили в "Билайне".

Может кто-то слышал о таком?

[s.lobanov]

electro_

ну проверьте сами, win8 вроде показывает что в сети надо "авторизоваться"=есть портал

[electro_]

Возможно хотелось бы странного, но все же...

На лету разбирать весь трафик на 80 и 443 порту, и подставлять свой html-код с контекстной информацией о долге и тд. При этом оставив доступ в интернет на скорости до 1Мб.

Даже как-то хвастались что такое продали и запустили в "Билайне".

Может кто-то слышал о таком?

 

Не слышал. Сам готов купить какое то решение....

[Night_Snake]

Возможно хотелось бы странного, но все же...

На лету разбирать весь трафик на 80 и 443 порту, и подставлять свой html-код с контекстной информацией о долге и тд. При этом оставив доступ в интернет на скорости до 1Мб.

Даже как-то хвастались что такое продали и запустили в "Билайне".

Может кто-то слышал о таком?

А незаконность такого решения (по крайней мере, в России) вас не смущает?

[electro_]

Меня ничего не смущает, мне нужно такое решение и все, а как и где я буду это применять это мое дело.

[No_name]

Ну ладно, предположим вы сделаете так какой то редирект, но как люди например будут по карточкам оплачивать,

там все через ssl, опять костыли будете лепить или что?

 

Как вариант, зарежьте скорость на 443 порт причем сильно, для оплаты хватит, а для вк и одноглазников этого маловато будет, люди сразу поймут,

что что-то не открывается и полезут на другие сайты, а там, как выше сказали, возможно и схватят редиректа на 80 порту.