Jump to content

Каким образом запросы в интернет на http/https от отключенных клиентов за неуплату переправить на страничку с информацией об их отключении за неуплату? планируемая схема внутри

QWE
 Share

Recommended Posts

QWE

QWE

Posted
Posted (edited)

Схема такая. http/https трафик  всех клиентов проходит через 4948E свич. На нем настроен pbr для отруливания запросов (всего трафика) отключенных клиентов на сервер, на котором крутится страничка с информацией об отключении за неуплату. 

PBR заработал, но вот дальше пока не понятно - на сервере то IP адрес поднят не тот который IP dst в http/https пакете от клиента. Каким софтом или настройками linux можно решить задачу - чтобы сервер со страничкой устанавливал TCP соединения с http(s) запросами от клиентов, которые идут на любой IP адрес интернета?

Как это вообще называется в линукс?

 

Кто как делает подобный функционал?

пока нашел вот такую статью https://habrahabr.ru/post/267851/     кто нибудь так делал ?

Edited by QWE
alibek

alibek

Posted
Posted

Уведомление нужно делать на сайте или рассылать по SMS.

Заруливать на веб-страницу не нужно - всего не предусмотреть и многим вы испортите сервисы. И кстати, с https не сработает.

vurd

vurd

Posted
Posted

Каким софтом или настройками linux можно решить задачу - чтобы сервер устанавливал TCP соединения с http(s) запросами на любой IP адрес?

 

Попробуйте iptables, ключевое слово DNAT.

rdc

rdc

Posted
Posted
3 часа назад, QWE сказал:

Сейчас планируется схема такая

Поздно планировать.

Лет 10 назад это работало - все сайты были http.

Сейчас уже почти все сайты https и это работать уже не будет. Вместо вашей странички будет сообщение от браузера про кривой сертификат, и всё.

QWE

QWE

Posted
  • Author
Posted
1 минуту назад, rdc сказал:

Поздно планировать.

Лет 10 назад это работало - все сайты были http.

Сейчас уже почти все сайты https и это работать уже не будет. Вместо вашей странички будет сообщение от браузера про кривой сертификат, и всё.

как же тогда сейчас делать правильно для сайтов https?

stalker86

stalker86

Posted
Posted

а вот интересно..
Что будут делать кафешки и прочие публичные вайфаи где при 1 обращении перекидывает на страницу где предлагают ввести номер телефона?

Не знаю как в других городах..но у нас 100500 подобных мест

QWE

QWE

Posted
  • Author
Posted (edited)
16 минут назад, rdc сказал:

Никак…

https://wiki.squid-cache.org/Features/SslPeekAndSplice

вот тут пишут в разделе Actions про action bump - Establish a TLS connection with the server (using client SNI, if any) and establish a TLS connection with the client (using a mimicked server certificate).

 

т.е. с подменами - для сервера клиентские параметры, для клиента серт с сервера. Правда там баг какой то есть...

Интересно можно заставить сквид отдать страничку с сертом сайта на который идет запрос от отключенного клиента.

Edited by QWE
vurd

vurd

Posted
Posted
7 минут назад, stalker86 сказал:

а вот интересно..
Что будут делать кафешки и прочие публичные вайфаи где при 1 обращении перекидывает на страницу где предлагают ввести номер телефона?

Не знаю как в других городах..но у нас 100500 подобных мест

В телефонах, почти везде, при подключении к вифи идёт запрос на страницу в интернете, можно поискать какую именно - у всех разные, обращение идёт по http, таким образом телефон проверяет не подключен ли он к хотспоту. Одно но, работает только при подключении к беспарольной сети.

stalker86

stalker86

Posted
Posted

Речь именно про публичные вайфаи, которые крутятся в аля бербершопах,кафешках и прочих публичных местах, где выпуск в интернеты именно после отправки номера мобильника  через некий портал и получения смс с волшебным словом.

 

У нас этого пока нет..но вот в 1 месте  возможно придётся что-то колхозить. Поэтому вот собираю что да как дальше.

 

Опять же.. ходит то не сам браузер клиента..а что-то внутрителефонное для проверки есть интернетик или нет. А задача - когда клиент откроет на телефоне браузер что бы его перекинуло на некий портал который запросит сначала номер телефона,а затем некий код..

rdc

rdc

Posted
Posted
27 минут назад, stalker86 сказал:

Что будут делать кафешки и прочие публичные вайфаи где при 1 обращении перекидывает на страницу где предлагают ввести номер телефона?

Будут использовать автоматический запуск портала в iOS, например. Может, и в андроиде есть подобное.

Будут печатать в меню инструкцию, в конце концов)

dr Tr0jan

dr Tr0jan

Posted
Posted
3 hours ago, stalker86 said:

Что будут делать кафешки и прочие публичные вайфаи где при 1 обращении перекидывает на страницу где предлагают ввести номер телефона?

Это называется captive portal и к теме никакого отношения не имеет.

ShyLion

ShyLion

Posted
Posted

В железных роутерах фича называется L4-redirect. Делает DST-NAT, у меня перебрасывает HTTP и DNS запросы, есесно только для "проблемных" сеансов. На апаче виртуальный сервер с "ServerAlias *" и "RewriteRule ^.*$ /redirected.php"

В линуксах/бсдях также делается почти, только апач и DNS можно хостить прямо на нем.

 

Насчет "ломает клиенту сервисы" - если он денег не занес, то какая разница?

rm_

rm_

Posted
Posted
10 hours ago, QWE said:

т.е. с подменами - для сервера клиентские параметры, для клиента серт с сервера. Правда там баг какой то есть...

Интересно можно заставить сквид отдать страничку с сертом сайта на который идет запрос от отключенного клиента.

Перефразируя: настолько ли дырявое говно HTTPS, чтобы можно было тривиально обойти всю эту систему с сертификатами и проверкой их подлинности двумя настройками в Squid'е.

Спойлер: нет, не настолько.

Автор очередной очумелец из разряда "Ну наверное ведь как-то можно" (с) (тм)

snvoronkov

snvoronkov

Posted
Posted
27 минут назад, ShyLion сказал:

Насчет "ломает клиенту сервисы" - если он денег не занес, то какая разница?

А мне вот добрые люди из "самого-самого местного оператора" под новый год обновления бубунты поломали. Потому, что им взбрело в голову предупредить о новогодних праздниках.

При этом оплачено все было сильно заблаговременно.

 

<сарказм>

HTTP ведь только из броузера использууется! Вы чё, не знали чёли?!

</сарказм>

stalker86

stalker86

Posted
Posted
46 минут назад, snvoronkov сказал:

А мне вот добрые люди из "самого-самого местного оператора" под новый год обновления бубунты поломали. Потому, что им взбрело в голову предупредить о новогодних праздниках.

При этом оплачено все было сильно заблаговременно.

 

<сарказм>

HTTP ведь только из броузера использууется! Вы чё, не знали чёли?!

</сарказм>

Эр-телеком таким же страдает..  Особенно весело когда после закрытия браузера с кучей вкладок открывается такая же куча вкладок со спамом от...

alexwin

alexwin

Posted
Posted
11 часов назад, QWE сказал:

как же тогда сейчас делать правильно для сайтов https?

Смотрите в сторону squid+ssl bump,может что и взлетит.

 

10 часов назад, stalker86 сказал:

Речь именно про публичные вайфаи, которые крутятся в аля бербершопах,кафешках и прочих публичных местах, где выпуск в интернеты именно после отправки номера мобильника  через некий портал и получения смс с волшебным словом.

Вам нужен WLC.

QWE

QWE

Posted
  • Author
Posted
9 минут назад, alexwin сказал:

Смотрите в сторону squid+ssl bump,может что и взлетит.

 

 

Можно ли в squid  для https на лету менять содержимое запрашиваемых страниц - подставлять вместо нужной страницы страницу с заглушкой?

alexwin

alexwin

Posted
Posted (edited)
14 минут назад, QWE сказал:

Можно ли в squid  для https на лету менять содержимое запрашиваемых страниц - подставлять вместо нужной страницы страницу с заглушкой?

Squid при MiTM,грубо говоря,прикидывается тем сайтом с которым соединяется клиент. Далее можно сделать редирект. Есть ли это там искаробки или придется "использовать напильник"/"приделывать костыли",нужно проверять. У меня нет опыта использования squid для такой задачи,это все теоретически.

 

Ну а вообще,в принципе,содержимое в прокси можно менять,так как одно время использовали squid для врезки рекламы. В принципе,и с https это можно сделать,ssl bump - это чтобы вскрыть https.

Edited by alexwin
vvertexx

vvertexx

Posted
Posted

Прочтите уже как делается бампинг.... И что такое SNI. И чем это отличается от MitM с невалидными сертификатами. Все вопросы отпадут. Детский сад...

QWE

QWE

Posted
  • Author
Posted (edited)
9 минут назад, vvertexx сказал:

Прочтите уже как делается бампинг.... И что такое SNI. И чем это отличается от MitM с невалидными сертификатами. Все вопросы отпадут. Детский сад...

Можете попроще и яснее ответить в чем проблема?

Edited by QWE

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.