[QWE]

Схема такая. http/https трафик  всех клиентов проходит через 4948E свич. На нем настроен pbr для отруливания запросов (всего трафика) отключенных клиентов на сервер, на котором крутится страничка с информацией об отключении за неуплату. 

PBR заработал, но вот дальше пока не понятно - на сервере то IP адрес поднят не тот который IP dst в http/https пакете от клиента. Каким софтом или настройками linux можно решить задачу - чтобы сервер со страничкой устанавливал TCP соединения с http(s) запросами от клиентов, которые идут на любой IP адрес интернета?

Как это вообще называется в линукс?

 

Кто как делает подобный функционал?

пока нашел вот такую статью https://habrahabr.ru/post/267851/     кто нибудь так делал ?

Изменено 12 апреля, 2018 пользователем QWE

[alibek]

Уведомление нужно делать на сайте или рассылать по SMS.

Заруливать на веб-страницу не нужно - всего не предусмотреть и многим вы испортите сервисы. И кстати, с https не сработает.

[vurd]

Каким софтом или настройками linux можно решить задачу - чтобы сервер устанавливал TCP соединения с http(s) запросами на любой IP адрес?

 

Попробуйте iptables, ключевое слово DNAT.

[rdc]

3 часа назад, QWE сказал:

Сейчас планируется схема такая

Поздно планировать.

Лет 10 назад это работало - все сайты были http.

Сейчас уже почти все сайты https и это работать уже не будет. Вместо вашей странички будет сообщение от браузера про кривой сертификат, и всё.

[QWE]

1 минуту назад, rdc сказал:

Поздно планировать.

Лет 10 назад это работало - все сайты были http.

Сейчас уже почти все сайты https и это работать уже не будет. Вместо вашей странички будет сообщение от браузера про кривой сертификат, и всё.

как же тогда сейчас делать правильно для сайтов https?

[rdc]

Никак…

[stalker86]

а вот интересно..
Что будут делать кафешки и прочие публичные вайфаи где при 1 обращении перекидывает на страницу где предлагают ввести номер телефона?

Не знаю как в других городах..но у нас 100500 подобных мест

[QWE]

16 минут назад, rdc сказал:

Никак…

https://wiki.squid-cache.org/Features/SslPeekAndSplice

вот тут пишут в разделе Actions про action bump - Establish a TLS connection with the server (using client SNI, if any) and establish a TLS connection with the client (using a mimicked server certificate).

 

т.е. с подменами - для сервера клиентские параметры, для клиента серт с сервера. Правда там баг какой то есть...

Интересно можно заставить сквид отдать страничку с сертом сайта на который идет запрос от отключенного клиента.

Изменено 11 апреля, 2018 пользователем QWE

[vurd]

7 минут назад, stalker86 сказал:

а вот интересно..
Что будут делать кафешки и прочие публичные вайфаи где при 1 обращении перекидывает на страницу где предлагают ввести номер телефона?

Не знаю как в других городах..но у нас 100500 подобных мест

В телефонах, почти везде, при подключении к вифи идёт запрос на страницу в интернете, можно поискать какую именно - у всех разные, обращение идёт по http, таким образом телефон проверяет не подключен ли он к хотспоту. Одно но, работает только при подключении к беспарольной сети.

[stalker86]

Речь именно про публичные вайфаи, которые крутятся в аля бербершопах,кафешках и прочих публичных местах, где выпуск в интернеты именно после отправки номера мобильника  через некий портал и получения смс с волшебным словом.

 

У нас этого пока нет..но вот в 1 месте  возможно придётся что-то колхозить. Поэтому вот собираю что да как дальше.

 

Опять же.. ходит то не сам браузер клиента..а что-то внутрителефонное для проверки есть интернетик или нет. А задача - когда клиент откроет на телефоне браузер что бы его перекинуло на некий портал который запросит сначала номер телефона,а затем некий код..

[rdc]

27 минут назад, stalker86 сказал:

Что будут делать кафешки и прочие публичные вайфаи где при 1 обращении перекидывает на страницу где предлагают ввести номер телефона?

Будут использовать автоматический запуск портала в iOS, например. Может, и в андроиде есть подобное.

Будут печатать в меню инструкцию, в конце концов)

[dr Tr0jan]

3 hours ago, stalker86 said:

Что будут делать кафешки и прочие публичные вайфаи где при 1 обращении перекидывает на страницу где предлагают ввести номер телефона?

Это называется captive portal и к теме никакого отношения не имеет.

[ShyLion]

В железных роутерах фича называется L4-redirect. Делает DST-NAT, у меня перебрасывает HTTP и DNS запросы, есесно только для "проблемных" сеансов. На апаче виртуальный сервер с "ServerAlias *" и "RewriteRule ^.*$ /redirected.php"

В линуксах/бсдях также делается почти, только апач и DNS можно хостить прямо на нем.

 

Насчет "ломает клиенту сервисы" - если он денег не занес, то какая разница?

[rm_]

10 hours ago, QWE said:

т.е. с подменами - для сервера клиентские параметры, для клиента серт с сервера. Правда там баг какой то есть...

Интересно можно заставить сквид отдать страничку с сертом сайта на который идет запрос от отключенного клиента.

Перефразируя: настолько ли дырявое говно HTTPS, чтобы можно было тривиально обойти всю эту систему с сертификатами и проверкой их подлинности двумя настройками в Squid'е.

Спойлер: нет, не настолько.

Автор очередной очумелец из разряда "Ну наверное ведь как-то можно" (с) (тм)

[snvoronkov]

27 минут назад, ShyLion сказал:

Насчет "ломает клиенту сервисы" - если он денег не занес, то какая разница?

А мне вот добрые люди из "самого-самого местного оператора" под новый год обновления бубунты поломали. Потому, что им взбрело в голову предупредить о новогодних праздниках.

При этом оплачено все было сильно заблаговременно.

 

<сарказм>

HTTP ведь только из броузера использууется! Вы чё, не знали чёли?!

</сарказм>

[stalker86]

46 минут назад, snvoronkov сказал:

А мне вот добрые люди из "самого-самого местного оператора" под новый год обновления бубунты поломали. Потому, что им взбрело в голову предупредить о новогодних праздниках.

При этом оплачено все было сильно заблаговременно.

 

<сарказм>

HTTP ведь только из броузера использууется! Вы чё, не знали чёли?!

</сарказм>

Эр-телеком таким же страдает..  Особенно весело когда после закрытия браузера с кучей вкладок открывается такая же куча вкладок со спамом от...

[alexwin]

11 часов назад, QWE сказал:

как же тогда сейчас делать правильно для сайтов https?

Смотрите в сторону squid+ssl bump,может что и взлетит.

 

10 часов назад, stalker86 сказал:

Речь именно про публичные вайфаи, которые крутятся в аля бербершопах,кафешках и прочих публичных местах, где выпуск в интернеты именно после отправки номера мобильника  через некий портал и получения смс с волшебным словом.

Вам нужен WLC.

[QWE]

9 минут назад, alexwin сказал:

Смотрите в сторону squid+ssl bump,может что и взлетит.

 

 

Можно ли в squid  для https на лету менять содержимое запрашиваемых страниц - подставлять вместо нужной страницы страницу с заглушкой?

[alibek]

Конечно можно.

Просто никто не догадался, что так можно делать.

[alexwin]

14 минут назад, QWE сказал:

Можно ли в squid  для https на лету менять содержимое запрашиваемых страниц - подставлять вместо нужной страницы страницу с заглушкой?

Squid при MiTM,грубо говоря,прикидывается тем сайтом с которым соединяется клиент. Далее можно сделать редирект. Есть ли это там искаробки или придется "использовать напильник"/"приделывать костыли",нужно проверять. У меня нет опыта использования squid для такой задачи,это все теоретически.

 

Ну а вообще,в принципе,содержимое в прокси можно менять,так как одно время использовали squid для врезки рекламы. В принципе,и с https это можно сделать,ssl bump - это чтобы вскрыть https.

Изменено 12 апреля, 2018 пользователем alexwin

[QWE]

12 минут назад, alibek сказал:

Конечно можно.

Просто никто не догадался, что так можно делать.

Вы так делали? У Вас заработало?

[alibek]

Нет, я тоже не догадался.

[vvertexx]

Прочтите уже как делается бампинг.... И что такое SNI. И чем это отличается от MitM с невалидными сертификатами. Все вопросы отпадут. Детский сад...

[QWE]

9 минут назад, vvertexx сказал:

Прочтите уже как делается бампинг.... И что такое SNI. И чем это отличается от MitM с невалидными сертификатами. Все вопросы отпадут. Детский сад...

Можете попроще и яснее ответить в чем проблема?

Изменено 12 апреля, 2018 пользователем QWE

[alibek]

Уже трижды отвечали.

Что может быть проще и яснее, чем ответ «никак»?