QWE Posted April 11, 2018 (edited) · Report post Схема такая. http/https трафик всех клиентов проходит через 4948E свич. На нем настроен pbr для отруливания запросов (всего трафика) отключенных клиентов на сервер, на котором крутится страничка с информацией об отключении за неуплату. PBR заработал, но вот дальше пока не понятно - на сервере то IP адрес поднят не тот который IP dst в http/https пакете от клиента. Каким софтом или настройками linux можно решить задачу - чтобы сервер со страничкой устанавливал TCP соединения с http(s) запросами от клиентов, которые идут на любой IP адрес интернета? Как это вообще называется в линукс? Кто как делает подобный функционал? пока нашел вот такую статью https://habrahabr.ru/post/267851/ кто нибудь так делал ? Edited April 12, 2018 by QWE Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted April 11, 2018 · Report post Уведомление нужно делать на сайте или рассылать по SMS. Заруливать на веб-страницу не нужно - всего не предусмотреть и многим вы испортите сервисы. И кстати, с https не сработает. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vurd Posted April 11, 2018 · Report post Каким софтом или настройками linux можно решить задачу - чтобы сервер устанавливал TCP соединения с http(s) запросами на любой IP адрес? Попробуйте iptables, ключевое слово DNAT. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rdc Posted April 11, 2018 · Report post 3 часа назад, QWE сказал: Сейчас планируется схема такая Поздно планировать. Лет 10 назад это работало - все сайты были http. Сейчас уже почти все сайты https и это работать уже не будет. Вместо вашей странички будет сообщение от браузера про кривой сертификат, и всё. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
QWE Posted April 11, 2018 · Report post 1 минуту назад, rdc сказал: Поздно планировать. Лет 10 назад это работало - все сайты были http. Сейчас уже почти все сайты https и это работать уже не будет. Вместо вашей странички будет сообщение от браузера про кривой сертификат, и всё. как же тогда сейчас делать правильно для сайтов https? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rdc Posted April 11, 2018 · Report post Никак… Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
stalker86 Posted April 11, 2018 · Report post а вот интересно.. Что будут делать кафешки и прочие публичные вайфаи где при 1 обращении перекидывает на страницу где предлагают ввести номер телефона? Не знаю как в других городах..но у нас 100500 подобных мест Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
QWE Posted April 11, 2018 (edited) · Report post 16 минут назад, rdc сказал: Никак… https://wiki.squid-cache.org/Features/SslPeekAndSplice вот тут пишут в разделе Actions про action bump - Establish a TLS connection with the server (using client SNI, if any) and establish a TLS connection with the client (using a mimicked server certificate). т.е. с подменами - для сервера клиентские параметры, для клиента серт с сервера. Правда там баг какой то есть... Интересно можно заставить сквид отдать страничку с сертом сайта на который идет запрос от отключенного клиента. Edited April 11, 2018 by QWE Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vurd Posted April 11, 2018 · Report post 7 минут назад, stalker86 сказал: а вот интересно.. Что будут делать кафешки и прочие публичные вайфаи где при 1 обращении перекидывает на страницу где предлагают ввести номер телефона? Не знаю как в других городах..но у нас 100500 подобных мест В телефонах, почти везде, при подключении к вифи идёт запрос на страницу в интернете, можно поискать какую именно - у всех разные, обращение идёт по http, таким образом телефон проверяет не подключен ли он к хотспоту. Одно но, работает только при подключении к беспарольной сети. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
stalker86 Posted April 11, 2018 · Report post Речь именно про публичные вайфаи, которые крутятся в аля бербершопах,кафешках и прочих публичных местах, где выпуск в интернеты именно после отправки номера мобильника через некий портал и получения смс с волшебным словом. У нас этого пока нет..но вот в 1 месте возможно придётся что-то колхозить. Поэтому вот собираю что да как дальше. Опять же.. ходит то не сам браузер клиента..а что-то внутрителефонное для проверки есть интернетик или нет. А задача - когда клиент откроет на телефоне браузер что бы его перекинуло на некий портал который запросит сначала номер телефона,а затем некий код.. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rdc Posted April 11, 2018 · Report post 27 минут назад, stalker86 сказал: Что будут делать кафешки и прочие публичные вайфаи где при 1 обращении перекидывает на страницу где предлагают ввести номер телефона? Будут использовать автоматический запуск портала в iOS, например. Может, и в андроиде есть подобное. Будут печатать в меню инструкцию, в конце концов) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dr Tr0jan Posted April 11, 2018 · Report post 3 hours ago, stalker86 said: Что будут делать кафешки и прочие публичные вайфаи где при 1 обращении перекидывает на страницу где предлагают ввести номер телефона? Это называется captive portal и к теме никакого отношения не имеет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted April 12, 2018 · Report post В железных роутерах фича называется L4-redirect. Делает DST-NAT, у меня перебрасывает HTTP и DNS запросы, есесно только для "проблемных" сеансов. На апаче виртуальный сервер с "ServerAlias *" и "RewriteRule ^.*$ /redirected.php" В линуксах/бсдях также делается почти, только апач и DNS можно хостить прямо на нем. Насчет "ломает клиенту сервисы" - если он денег не занес, то какая разница? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rm_ Posted April 12, 2018 · Report post 10 hours ago, QWE said: т.е. с подменами - для сервера клиентские параметры, для клиента серт с сервера. Правда там баг какой то есть... Интересно можно заставить сквид отдать страничку с сертом сайта на который идет запрос от отключенного клиента. Перефразируя: настолько ли дырявое говно HTTPS, чтобы можно было тривиально обойти всю эту систему с сертификатами и проверкой их подлинности двумя настройками в Squid'е. Спойлер: нет, не настолько. Автор очередной очумелец из разряда "Ну наверное ведь как-то можно" (с) (тм) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
snvoronkov Posted April 12, 2018 · Report post 27 минут назад, ShyLion сказал: Насчет "ломает клиенту сервисы" - если он денег не занес, то какая разница? А мне вот добрые люди из "самого-самого местного оператора" под новый год обновления бубунты поломали. Потому, что им взбрело в голову предупредить о новогодних праздниках. При этом оплачено все было сильно заблаговременно. <сарказм> HTTP ведь только из броузера использууется! Вы чё, не знали чёли?! </сарказм> Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
stalker86 Posted April 12, 2018 · Report post 46 минут назад, snvoronkov сказал: А мне вот добрые люди из "самого-самого местного оператора" под новый год обновления бубунты поломали. Потому, что им взбрело в голову предупредить о новогодних праздниках. При этом оплачено все было сильно заблаговременно. <сарказм> HTTP ведь только из броузера использууется! Вы чё, не знали чёли?! </сарказм> Эр-телеком таким же страдает.. Особенно весело когда после закрытия браузера с кучей вкладок открывается такая же куча вкладок со спамом от... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alexwin Posted April 12, 2018 · Report post 11 часов назад, QWE сказал: как же тогда сейчас делать правильно для сайтов https? Смотрите в сторону squid+ssl bump,может что и взлетит. 10 часов назад, stalker86 сказал: Речь именно про публичные вайфаи, которые крутятся в аля бербершопах,кафешках и прочих публичных местах, где выпуск в интернеты именно после отправки номера мобильника через некий портал и получения смс с волшебным словом. Вам нужен WLC. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
QWE Posted April 12, 2018 · Report post 9 минут назад, alexwin сказал: Смотрите в сторону squid+ssl bump,может что и взлетит. Можно ли в squid для https на лету менять содержимое запрашиваемых страниц - подставлять вместо нужной страницы страницу с заглушкой? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted April 12, 2018 · Report post Конечно можно. Просто никто не догадался, что так можно делать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alexwin Posted April 12, 2018 (edited) · Report post 14 минут назад, QWE сказал: Можно ли в squid для https на лету менять содержимое запрашиваемых страниц - подставлять вместо нужной страницы страницу с заглушкой? Squid при MiTM,грубо говоря,прикидывается тем сайтом с которым соединяется клиент. Далее можно сделать редирект. Есть ли это там искаробки или придется "использовать напильник"/"приделывать костыли",нужно проверять. У меня нет опыта использования squid для такой задачи,это все теоретически. Ну а вообще,в принципе,содержимое в прокси можно менять,так как одно время использовали squid для врезки рекламы. В принципе,и с https это можно сделать,ssl bump - это чтобы вскрыть https. Edited April 12, 2018 by alexwin Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
QWE Posted April 12, 2018 · Report post 12 минут назад, alibek сказал: Конечно можно. Просто никто не догадался, что так можно делать. Вы так делали? У Вас заработало? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted April 12, 2018 · Report post Нет, я тоже не догадался. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vvertexx Posted April 12, 2018 · Report post Прочтите уже как делается бампинг.... И что такое SNI. И чем это отличается от MitM с невалидными сертификатами. Все вопросы отпадут. Детский сад... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
QWE Posted April 12, 2018 (edited) · Report post 9 минут назад, vvertexx сказал: Прочтите уже как делается бампинг.... И что такое SNI. И чем это отличается от MitM с невалидными сертификатами. Все вопросы отпадут. Детский сад... Можете попроще и яснее ответить в чем проблема? Edited April 12, 2018 by QWE Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted April 12, 2018 · Report post Уже трижды отвечали. Что может быть проще и яснее, чем ответ «никак»? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...