[xxxupg]

Приветствую всех

 

хлтим Сделать заглушку для абонентов

 

примерно на 3000—4000 абонентов которые под неё попадут

 

что лучше использовать для веб сервера?

подойдет ли простой апач?

 Мб какой-то конфиг есть для него?

[EDA_SPB]

Апач не нужен.

nginx.

[EShirokiy]

nginx с обычным конфигом

[default_vlan]

Абоненты, которые попадают под правила для заглушки редиректятся на нее.

[rm_]

Не надо редиректов, URL не меняйте, а то будет мат перемат от гиков, запустил браузер с 50 вкладками с прошлого раза, а они все прое заменились на URL заглушки.

При должной настройке перехватывающего сервера есть возможность отдавать контент так, чтобы в строке адреса у пользователя оставался прежний URL.

Разумеется если речь не про HTTPS.

Изменено 24 октября, 2017 пользователем rm_

[alibek]

2 часа назад, rm_ сказал:

а они все прое заменились на URL заглушки.

Для этого есть кнопка Back.

Не нужно подменять контент, нужно использовать редирект.

[rm_]

10 минут назад, alibek сказал:

Для этого есть кнопка Back.

На каждой вкладке жать кнопку Back (100 кликов)? Или, закрыл браузер не пронажимав везде, при следующем запуске уже сразу 50 страниц заглушек, и кнопка Back больше не работает.

[alibek]

12 минут назад, rm_ сказал:

Или, закрыл браузер не пронажимав везде, при следующем запуске уже сразу 50 страниц заглушек, и кнопка Back больше не работает.

Ничего страшного.

Это правильнее, чем подделка контента и порча кеша.

[YuryD]

 Да чего вы юзеров-то так боитесь ? Ревизор в полной проверке к вам столько раз на заглушку зайдёт - мало серверу не покажется. А не получит заглушку - вам втык и будет.

[rm_]

1 час назад, YuryD сказал:

 Да чего вы юзеров-то так боитесь ? Ревизор в полной проверке к вам столько раз на заглушку зайдёт - мало серверу не покажется. А не получит заглушку - вам втык и будет.

Я так понял речь не про блокировки, а про заглушку в духе "у вас неоплачен инторнет" или "ваш тариф скоро превратится в тыкву".

Иначе откуда так точно знать количество абонентов, которые на неё обязательно попадут.

[RN3DCX]

В 24.10.2017 в 08:35, default_vlan сказал:

Абоненты, которые попадают под правила для заглушки редиректятся на нее

А после этого видят у себя вот такое сообщение:

 

 

[myth]

Это неизбежно

[default_vlan]

В 28.10.2017 в 23:39, RN3DCX сказал:

А после этого видят у себя вот такое сообщение:

Тут либо всеми любимый mitm, либо заворачивать трафик с 443 порта на 80. Либо ждать, когда правительство РФ объявит о создании единого сертификата, как это было в KZ, только я сомневаюсь, что нам светит получение такого сертификата

[Sacrament]

6 часов назад, default_vlan сказал:

Тут либо всеми любимый mitm, либо заворачивать трафик с 443 порта на 80. Либо ждать, когда правительство РФ объявит о создании единого сертификата, как это было в KZ, только я сомневаюсь, что нам светит получение такого сертификата

Оно и в КЗ не взлетело

[pppoetest]

Зато почитайте как это было хммм... забавно:
https://bugzilla.mozilla.org/show_bug.cgi?id=1232689

[NiTr0]

В 10/30/2017 в 09:42, default_vlan сказал:

либо заворачивать трафик с 443 порта на 80

каким волшебным образом вы заставите https запрос отредиректиться на http, не имея сертификата целевого узла (т.е. без полноценного mitm)?

 

отдельные случаи возможно отработают (ну, там, хром вроде умеет в captive порталы), или через опцию dhcp (тоже не везде взлетит - сохо роутеры в нее скорее всего не умеют).

[vop]

17 часов назад, NiTr0 сказал:

каким волшебным образом вы заставите https запрос отредиректиться на http, не имея сертификата целевого узла (т.е. без полноценного mitm)?

Можно попробовать через Status 511 redirect.

[myth]

А браузер его потом не запомнит?

[vop]

41 минуту назад, myth сказал:

А браузер его потом не запомнит?

Он, как бы, придуман для авторизации. Браузер либо знает этот статус, либо не знает, тогда, ткм более, не должен запоминать 5XX ответы.

 

[rm_]

1 час назад, vop сказал:

Можно попробовать через Status 511 redirect.

Попробовать что? Если соединение от браузера на 443 порт, то он ждёт там HTTPS, а в рамках HTTPS ждёт валидного доверенного сертификата от сервера, иначе вы злой MITMер и разговаривать с вами не о чём, а тем более принимать какие-то коды редиректов. Давайте, продолжайте различными "ну наверняка как-то можно" и "а если попробовать" демонстровать свою полную неграмотность в работе этих протоколов.

[vop]

Я уверен, что браузер обязательно должен пасти так же статус, иначе нафига придумывать такую фигню, как 511?

Если на 443 ответить обычным http, браузер расстроится и  раскажет, что, мол, не тот протокол приехал. Так-что, похоже, пасет.

[rm_]

1 час назад, vop сказал:

Если на 443 ответить обычным http, браузер расстроится и  раскажет, что, мол, не тот протокол приехал.

Вы можете легко проверить это следующим образом: https://forum.nag.ru:80/

я вижу "SSL Protocol Error". Мы попытались SSL, а там неведомая фигня.

ожидать что браузер при таком раскладе будет смотреть как сервер лепит ему оттуда какие-то коды редиректов, а тем более их слушаться -- неразумно.

 

И собсна если посмотреть RFC про код 511, там речь идёт только о HTTP и 80-м порте: https://tools.ietf.org/html/rfc6585#section-6

[default_vlan]

23 часа назад, NiTr0 сказал:

каким волшебным образом вы заставите https запрос отредиректиться на http, не имея сертификата целевого узла (т.е. без полноценного mitm)?

 

отдельные случаи возможно отработают (ну, там, хром вроде умеет в captive порталы), или через опцию dhcp (тоже не везде взлетит - сохо роутеры в нее скорее всего не умеют).

 

rdr в pf. Я разве что-то писал про сертификаты? 

[myth]

при хттп заработает

[Susanin]

Дом.ру как то умудряется https запрос переадресовывать на свою заглушку "Активируйте тариф"...