Jump to content
Калькуляторы

Каким образом запросы в интернет на http/https от отключенных клиентов за неуплату переправить на страничку с информацией об их отключении за неуплату? планируемая схема внутри

Схема такая. http/https трафик  всех клиентов проходит через 4948E свич. На нем настроен pbr для отруливания запросов (всего трафика) отключенных клиентов на сервер, на котором крутится страничка с информацией об отключении за неуплату. 

PBR заработал, но вот дальше пока не понятно - на сервере то IP адрес поднят не тот который IP dst в http/https пакете от клиента. Каким софтом или настройками linux можно решить задачу - чтобы сервер со страничкой устанавливал TCP соединения с http(s) запросами от клиентов, которые идут на любой IP адрес интернета?

Как это вообще называется в линукс?

 

Кто как делает подобный функционал?

пока нашел вот такую статью https://habrahabr.ru/post/267851/     кто нибудь так делал ?

Edited by QWE

Share this post


Link to post
Share on other sites

Уведомление нужно делать на сайте или рассылать по SMS.

Заруливать на веб-страницу не нужно - всего не предусмотреть и многим вы испортите сервисы. И кстати, с https не сработает.

Share this post


Link to post
Share on other sites

Каким софтом или настройками linux можно решить задачу - чтобы сервер устанавливал TCP соединения с http(s) запросами на любой IP адрес?

 

Попробуйте iptables, ключевое слово DNAT.

Share this post


Link to post
Share on other sites

3 часа назад, QWE сказал:

Сейчас планируется схема такая

Поздно планировать.

Лет 10 назад это работало - все сайты были http.

Сейчас уже почти все сайты https и это работать уже не будет. Вместо вашей странички будет сообщение от браузера про кривой сертификат, и всё.

Share this post


Link to post
Share on other sites

1 минуту назад, rdc сказал:

Поздно планировать.

Лет 10 назад это работало - все сайты были http.

Сейчас уже почти все сайты https и это работать уже не будет. Вместо вашей странички будет сообщение от браузера про кривой сертификат, и всё.

как же тогда сейчас делать правильно для сайтов https?

Share this post


Link to post
Share on other sites

а вот интересно..
Что будут делать кафешки и прочие публичные вайфаи где при 1 обращении перекидывает на страницу где предлагают ввести номер телефона?

Не знаю как в других городах..но у нас 100500 подобных мест

Share this post


Link to post
Share on other sites

16 минут назад, rdc сказал:

Никак…

https://wiki.squid-cache.org/Features/SslPeekAndSplice

вот тут пишут в разделе Actions про action bump - Establish a TLS connection with the server (using client SNI, if any) and establish a TLS connection with the client (using a mimicked server certificate).

 

т.е. с подменами - для сервера клиентские параметры, для клиента серт с сервера. Правда там баг какой то есть...

Интересно можно заставить сквид отдать страничку с сертом сайта на который идет запрос от отключенного клиента.

Edited by QWE

Share this post


Link to post
Share on other sites

7 минут назад, stalker86 сказал:

а вот интересно..
Что будут делать кафешки и прочие публичные вайфаи где при 1 обращении перекидывает на страницу где предлагают ввести номер телефона?

Не знаю как в других городах..но у нас 100500 подобных мест

В телефонах, почти везде, при подключении к вифи идёт запрос на страницу в интернете, можно поискать какую именно - у всех разные, обращение идёт по http, таким образом телефон проверяет не подключен ли он к хотспоту. Одно но, работает только при подключении к беспарольной сети.

Share this post


Link to post
Share on other sites

Речь именно про публичные вайфаи, которые крутятся в аля бербершопах,кафешках и прочих публичных местах, где выпуск в интернеты именно после отправки номера мобильника  через некий портал и получения смс с волшебным словом.

 

У нас этого пока нет..но вот в 1 месте  возможно придётся что-то колхозить. Поэтому вот собираю что да как дальше.

 

Опять же.. ходит то не сам браузер клиента..а что-то внутрителефонное для проверки есть интернетик или нет. А задача - когда клиент откроет на телефоне браузер что бы его перекинуло на некий портал который запросит сначала номер телефона,а затем некий код..

Share this post


Link to post
Share on other sites

27 минут назад, stalker86 сказал:

Что будут делать кафешки и прочие публичные вайфаи где при 1 обращении перекидывает на страницу где предлагают ввести номер телефона?

Будут использовать автоматический запуск портала в iOS, например. Может, и в андроиде есть подобное.

Будут печатать в меню инструкцию, в конце концов)

Share this post


Link to post
Share on other sites

3 hours ago, stalker86 said:

Что будут делать кафешки и прочие публичные вайфаи где при 1 обращении перекидывает на страницу где предлагают ввести номер телефона?

Это называется captive portal и к теме никакого отношения не имеет.

Share this post


Link to post
Share on other sites

В железных роутерах фича называется L4-redirect. Делает DST-NAT, у меня перебрасывает HTTP и DNS запросы, есесно только для "проблемных" сеансов. На апаче виртуальный сервер с "ServerAlias *" и "RewriteRule ^.*$ /redirected.php"

В линуксах/бсдях также делается почти, только апач и DNS можно хостить прямо на нем.

 

Насчет "ломает клиенту сервисы" - если он денег не занес, то какая разница?

Share this post


Link to post
Share on other sites

10 hours ago, QWE said:

т.е. с подменами - для сервера клиентские параметры, для клиента серт с сервера. Правда там баг какой то есть...

Интересно можно заставить сквид отдать страничку с сертом сайта на который идет запрос от отключенного клиента.

Перефразируя: настолько ли дырявое говно HTTPS, чтобы можно было тривиально обойти всю эту систему с сертификатами и проверкой их подлинности двумя настройками в Squid'е.

Спойлер: нет, не настолько.

Автор очередной очумелец из разряда "Ну наверное ведь как-то можно" (с) (тм)

Share this post


Link to post
Share on other sites

27 минут назад, ShyLion сказал:

Насчет "ломает клиенту сервисы" - если он денег не занес, то какая разница?

А мне вот добрые люди из "самого-самого местного оператора" под новый год обновления бубунты поломали. Потому, что им взбрело в голову предупредить о новогодних праздниках.

При этом оплачено все было сильно заблаговременно.

 

<сарказм>

HTTP ведь только из броузера использууется! Вы чё, не знали чёли?!

</сарказм>

Share this post


Link to post
Share on other sites

46 минут назад, snvoronkov сказал:

А мне вот добрые люди из "самого-самого местного оператора" под новый год обновления бубунты поломали. Потому, что им взбрело в голову предупредить о новогодних праздниках.

При этом оплачено все было сильно заблаговременно.

 

<сарказм>

HTTP ведь только из броузера использууется! Вы чё, не знали чёли?!

</сарказм>

Эр-телеком таким же страдает..  Особенно весело когда после закрытия браузера с кучей вкладок открывается такая же куча вкладок со спамом от...

Share this post


Link to post
Share on other sites

11 часов назад, QWE сказал:

как же тогда сейчас делать правильно для сайтов https?

Смотрите в сторону squid+ssl bump,может что и взлетит.

 

10 часов назад, stalker86 сказал:

Речь именно про публичные вайфаи, которые крутятся в аля бербершопах,кафешках и прочих публичных местах, где выпуск в интернеты именно после отправки номера мобильника  через некий портал и получения смс с волшебным словом.

Вам нужен WLC.

Share this post


Link to post
Share on other sites

9 минут назад, alexwin сказал:

Смотрите в сторону squid+ssl bump,может что и взлетит.

 

 

Можно ли в squid  для https на лету менять содержимое запрашиваемых страниц - подставлять вместо нужной страницы страницу с заглушкой?

Share this post


Link to post
Share on other sites

14 минут назад, QWE сказал:

Можно ли в squid  для https на лету менять содержимое запрашиваемых страниц - подставлять вместо нужной страницы страницу с заглушкой?

Squid при MiTM,грубо говоря,прикидывается тем сайтом с которым соединяется клиент. Далее можно сделать редирект. Есть ли это там искаробки или придется "использовать напильник"/"приделывать костыли",нужно проверять. У меня нет опыта использования squid для такой задачи,это все теоретически.

 

Ну а вообще,в принципе,содержимое в прокси можно менять,так как одно время использовали squid для врезки рекламы. В принципе,и с https это можно сделать,ssl bump - это чтобы вскрыть https.

Edited by alexwin

Share this post


Link to post
Share on other sites

Прочтите уже как делается бампинг.... И что такое SNI. И чем это отличается от MitM с невалидными сертификатами. Все вопросы отпадут. Детский сад...

Share this post


Link to post
Share on other sites

9 минут назад, vvertexx сказал:

Прочтите уже как делается бампинг.... И что такое SNI. И чем это отличается от MitM с невалидными сертификатами. Все вопросы отпадут. Детский сад...

Можете попроще и яснее ответить в чем проблема?

Edited by QWE

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.