electro_ Опубликовано 16 июня, 2016 · Жалоба Добрый день, форумчане и земляне! Использую биллинг ABILLS + acell-ppp. Есть задача по фильтру негативного депозита и перенаправления абонентов на страницу негативного депозита 1. Сейчас реализовано все при помощи скрипта и работает редирект на 80 порту AWK=/usr/bin/awk REDIRECT_IP="91.196.176.6" ALLOW_NET="91.196.176.0/24" IPTABLES="/sbin/iptables" DEBUG=1 EXIST=`${IPTABLES} -t nat -L PREROUTING -v | grep "${IFNAME} "; ${IPTABLES} -L -v | grep DROP | grep "${IFNAME} "` if [ w != w"${EXIST}" ]; then ${IPTABLES} -t nat -D PREROUTING -i ${IFNAME} -p tcp -m tcp --dport 80 -j DNAT --to-destination ${REDIRECT_IP}:80 ${IPTABLES} -D FORWARD -i ${IFNAME} -j DROP fi; #### Filters if [ w${FILTERS} != w ] ; then #Put there filters rule #echo "Filter: ${FILTERS}" if [ w${FILTERS} = wNEG_DEPOSIT ] ; then #### Filters $IPTABLES -t nat -A PREROUTING -i ${IFNAME} -p tcp -m tcp --dport 80 -j DNAT --to-destination $REDIRECT_IP:80 $IPTABLES -t nat -A PREROUTING -i ${IFNAME} -d ${ALLOW_NET} -j RETURN $IPTABLES -t nat -A PREROUTING -i ${IFNAME} -d 62.149.25.124 -j RETURN $IPTABLES -t nat -A PREROUTING -i ${IFNAME} -d 185.68.16.86 -j RETURN $IPTABLES -t nat -A PREROUTING -i ${IFNAME} -d 91.222.137.199 -j RETURN $IPTABLES -t nat -A PREROUTING -i ${IFNAME} -d 91.200.28.177 -j RETURN $IPTABLES -t nat -A PREROUTING -i ${IFNAME} -d 195.85.198.17 -j RETURN $IPTABLES -t nat -A PREROUTING -i ${IFNAME} -d 54.229.21.126 -j RETURN $IPTABLES -t nat -A PREROUTING -i ${IFNAME} -d 52.30.57.18 -j RETURN $IPTABLES -t nat -A PREROUTING -i ${IFNAME} -d 54.154.124.100/32 -j RETURN $IPTABLES -t nat -A PREROUTING -i ${IFNAME} -d 54.154.124.224/32 -j RETURN $IPTABLES -t nat -A PREROUTING -i ${IFNAME} -d 212.158.173.43 -j RETURN $IPTABLES -I FORWARD -i ${IFNAME} -d ${ALLOW_NET} -j ACCEPT $IPTABLES -I FORWARD -i ${IFNAME} -d 62.149.25.124 -j ACCEPT $IPTABLES -I FORWARD -i ${IFNAME} -d 185.68.16.86 -j ACCEPT $IPTABLES -I FORWARD -i ${IFNAME} -d 91.222.137.199 -j ACCEPT $IPTABLES -I FORWARD -i ${IFNAME} -d 91.200.28.177 -j ACCEPT $IPTABLES -I FORWARD -i ${IFNAME} -d 195.85.198.17 -j ACCEPT $IPTABLES -I FORWARD -i ${IFNAME} -d 54.229.21.126 -j ACCEPT $IPTABLES -I FORWARD -i ${IFNAME} -d 52.30.57.18 -j ACCEPT $IPTABLES -I FORWARD -i ${IFNAME} -d 54.154.124.100/32 -j ACCEPT $IPTABLES -I FORWARD -i ${IFNAME} -d 54.154.124.224/32 -j ACCEPT $IPTABLES -I FORWARD -i ${IFNAME} -d 54.229.105.178/31 -j ACCEPT $IPTABLES -I FORWARD -i ${IFNAME} -d 217.117.64.0/22 -j ACCEPT $IPTABLES -I FORWARD -i ${IFNAME} -d 212.158.173.43 -j ACCEPT $IPTABLES -A FORWARD -i ${IFNAME} -j DROP if [ w${DEBUG} != w ] ; then echo "UP neg filter / ${FILTERS} / '${IFNAME}'" >> /tmp/neg fi; exit; fi; #Max TCP Sessions filter FILTER_ID=`echo ${FILTERS} | awk -F: '{ print $1 }'`; if [ w${FILTER_ID} = wMAX_TCP ]; then COUNT=`echo ${FILTERS} | awk -F: '{ print $2 }'`; fi; fi; fi; 2. Что мне нужно Все тоже самое, но при обращение на сайты на протокол https также перенаправлялись на страницу негативного депозита на 80 порт или на 443 порт Сейчас много сайтов работает по https:// (google, vk, ok. facebook, ya, ). И все у кого негативный депозит, открывая например https://vk.com не перенапрявляются на страницу негативного депозита, тем самым не могут увидеть что у них не оплачено, что ооочень не удобно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kayot Опубликовано 16 июня, 2016 · Жалоба electro_ Удачи вам. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shafiev Опубликовано 16 июня, 2016 · Жалоба А ты попробуй отсюда http://abills.net.ua/wiki/doku.php/abills:docs:nas:mikrotik:redirect?s[]=https и скажи как оно получилось не для микротика , у самого cisco ISG/BNG Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
electro_ Опубликовано 16 июня, 2016 · Жалоба А ты попробуй отсюда http://abills.net.ua/wiki/doku.php/abills:docs:nas:mikrotik:redirect?s[]=https и скажи как оно получилось не для микротика , у самого cisco ISG/BNG да видел я это, но мне нужно именно https iptables redirect Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shafiev Опубликовано 16 июня, 2016 · Жалоба А ты попробуй отсюда http://abills.net.ua...otik:redirect?s[]=https и скажи как оно получилось не для микротика , у самого cisco ISG/BNG да видел я это, но мне нужно именно https iptables redirect Ну можно тоже делать с iptables + squid ( хотя на микротике наверное что то более простое) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vop Опубликовано 16 июня, 2016 · Жалоба Ждем инженерное решение века. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 16 июня, 2016 · Жалоба И смысл? Абонент испугается страшного warning-а про SSL и закроет страницу. Гугл хром на гугл-сайтах даже продолжить не даст, они там захаркодили защиту от MITM по отношению к своим сайтам. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
electro_ Опубликовано 16 июня, 2016 · Жалоба И смысл? Абонент испугается страшного warning-а про SSL и закроет страницу. Гугл хром на гугл-сайтах даже продолжить не даст, они там захаркодили защиту от MITM по отношению к своим сайтам. да смысл то , что если у абонента не оплачено и он образается к сайта по https: его не редиректит на страницу негативного депозита(на этой страничке указывается кнопалка активировать и переход в личный кабинет), тоесть абонент сам не может активировать услугу и остается в жопе... И смысл? Абонент испугается страшного warning-а про SSL и закроет страницу. Гугл хром на гугл-сайтах даже продолжить не даст, они там захаркодили защиту от MITM по отношению к своим сайтам. Да, понимаю, но мне все равно, хоть через жопу лишь бы работало... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
smollmd Опубликовано 16 июня, 2016 · Жалоба Да, понимаю, но мне все равно, хоть через жопу лишь бы работало... Да не будет работать. в том и смысл SSL в защите данных от клиента к серверу. И все браузеры будут очень сильно плакать что идет подмена сертификата при переходе. Оставляйте доступ на 443 порту, за несколько минут работы юзер по любому словит ваш редирект на 80-м порту. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 16 июня, 2016 · Жалоба electro_ Ну тогда делаете dnat на web server, а там отправляете redirect(если абонент согласится принять сертификат) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
electro_ Опубликовано 17 июня, 2016 · Жалоба Да, понимаю, но мне все равно, хоть через жопу лишь бы работало... Да не будет работать. в том и смысл SSL в защите данных от клиента к серверу. И все браузеры будут очень сильно плакать что идет подмена сертификата при переходе. Оставляйте доступ на 443 порту, за несколько минут работы юзер по любому словит ваш редирект на 80-м порту. Оставляйте доступ на 443 порту, за несколько минут работы юзер по любому словит ваш редирект на 80-м порту. - не сильно понял как и что . Чуть по подробней плз... electro_ Ну тогда делаете dnat на web server, а там отправляете redirect(если абонент согласится принять сертификат) $IPTABLES -t nat -A PREROUTING -i ${IFNAME} -p tcp -m tcp --dport 443 -j DNAT --to-destination $REDIRECT_IP:443, и типа появится не подлинный красный сертификат ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 17 июня, 2016 · Жалоба $IPTABLES -t nat -A PREROUTING -i ${IFNAME} -p tcp -m tcp --dport 443 -j DNAT --to-destination $REDIRECT_IP:443, и типа появится не подлинный красный сертификат ? да. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
disappointed Опубликовано 17 июня, 2016 · Жалоба Имелось ввиду оставить доступ в интернет по 443 порту, в надежде, что абонент наткнётся на редирект по 80-му. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shafiev Опубликовано 17 июня, 2016 · Жалоба Имелось ввиду оставить доступ в интернет по 443 порту, в надежде, что абонент наткнётся на редирект по 80-му. неплохая идея, в принципе. P.S в качестве бреда поспрашиваю у cisco tac Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 17 июня, 2016 · Жалоба 90% абонентов дальше контакта и одноклассников не ходят. А они - https Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shafiev Опубликовано 17 июня, 2016 · Жалоба 90% абонентов дальше контакта и одноклассников не ходят. А они - https У меня youtube ,facebook , правда сайты с российским кино и телесиралом тоже немного есть,а они зачастую не https Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
electro_ Опубликовано 17 июня, 2016 (изменено) · Жалоба 90% абонентов дальше контакта и одноклассников не ходят. А они - https та да, в том то и дело, что оставлять доступ по 443 порту - это бесплатно давать интернет :) Имелось ввиду оставить доступ в интернет по 443 порту, в надежде, что абонент наткнётся на редирект по 80-му. неплохая идея, в принципе. P.S в качестве бреда поспрашиваю у cisco tac Та должно же быть какое то решение. Готов даже цицьку купить :) Изменено 17 июня, 2016 пользователем electro_ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 17 июня, 2016 · Жалоба Современные девайсы (iphone, android) сами понимают что на http висит портал и предлагают на него зайти. MacOS X - тоже. Win8 вроде бы тоже, проверьте. Возможно, то, что вы делаете и не нужно Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
electro_ Опубликовано 17 июня, 2016 · Жалоба Современные девайсы (iphone, android) сами понимают что на http висит портал и предлагают на него зайти. MacOS X - тоже. Win8 вроде бы тоже, проверьте. Возможно, то, что вы делаете и не нужно девайсы как раз не интересуют, у меня сеть городская, Windows XP,7,8,10 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
smollmd Опубликовано 17 июня, 2016 · Жалоба Возможно хотелось бы странного, но все же... На лету разбирать весь трафик на 80 и 443 порту, и подставлять свой html-код с контекстной информацией о долге и тд. При этом оставив доступ в интернет на скорости до 1Мб. Даже как-то хвастались что такое продали и запустили в "Билайне". Может кто-то слышал о таком? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 17 июня, 2016 · Жалоба electro_ ну проверьте сами, win8 вроде показывает что в сети надо "авторизоваться"=есть портал Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
electro_ Опубликовано 17 июня, 2016 · Жалоба Возможно хотелось бы странного, но все же... На лету разбирать весь трафик на 80 и 443 порту, и подставлять свой html-код с контекстной информацией о долге и тд. При этом оставив доступ в интернет на скорости до 1Мб. Даже как-то хвастались что такое продали и запустили в "Билайне". Может кто-то слышал о таком? Не слышал. Сам готов купить какое то решение.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Night_Snake Опубликовано 17 июня, 2016 · Жалоба Возможно хотелось бы странного, но все же... На лету разбирать весь трафик на 80 и 443 порту, и подставлять свой html-код с контекстной информацией о долге и тд. При этом оставив доступ в интернет на скорости до 1Мб. Даже как-то хвастались что такое продали и запустили в "Билайне". Может кто-то слышал о таком? А незаконность такого решения (по крайней мере, в России) вас не смущает? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
electro_ Опубликовано 17 июня, 2016 · Жалоба Меня ничего не смущает, мне нужно такое решение и все, а как и где я буду это применять это мое дело. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
No_name Опубликовано 17 июня, 2016 · Жалоба Ну ладно, предположим вы сделаете так какой то редирект, но как люди например будут по карточкам оплачивать, там все через ssl, опять костыли будете лепить или что? Как вариант, зарежьте скорость на 443 порт причем сильно, для оплаты хватит, а для вк и одноглазников этого маловато будет, люди сразу поймут, что что-то не открывается и полезут на другие сайты, а там, как выше сказали, возможно и схватят редиректа на 80 порту. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...