vop Опубликовано 28 октября, 2015 · Жалоба Никак, видимо... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Red_Sam Опубликовано 30 октября, 2015 (изменено) · Жалоба биллинг не поддерживает ISG биллинг не умеет Radius атрибуты и CoA? Все так активно предлагают решение, а абоненты к BRAS подключаются по PPPoE? не углядел, действительно PPPoE Если так то что мешает отдавать разные атрибуты разным группам пользователей? Изменено 30 октября, 2015 пользователем Red_Sam Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Red_Sam Опубликовано 30 октября, 2015 · Жалоба В связи с постепенным переходом на https, как в таком случае реализовать перенаправление? !https трафик попадает под ip access-list extended ACL permit ip any any !значит его можно маркировать class-map type traffic match-any MATCH match access-group input name ACL match access-group output name ACL !значит его можно перенаправлять redirect server-group REDIRECT server ip 10.0.0.2 port 80 policy-map type service REDIRECT_POLICY service local class type traffic MATCH redirect to group REDIRECT Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 31 октября, 2015 · Жалоба Браузер ошибку даст. Он ожидает ответ в стиле хттпс.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Red_Sam Опубликовано 31 октября, 2015 · Жалоба проверил, действительно. Если перенаправлять на порт без шифрования получаем ошибку SSL соединения. Это уже задача конфигуринга httpd. Могу лишь сказать что мало людей в адресной строке пишут https:// обычно идет обращение идет по 80, а там уже RewriteRule на https Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vop Опубликовано 31 октября, 2015 · Жалоба Для перенаправления http на https, да и для любого редиректа Rewrite Rule не нужен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 1 ноября, 2015 (изменено) · Жалоба если на блок сервере как-то понимать в таблесах, что пакет хттпс, то менять ему порт.. Будет ругань на сертификат.. Но уже лучше ошибки.. Изменено 1 ноября, 2015 пользователем zhenya` Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dyr Опубликовано 5 ноября, 2015 (изменено) · Жалоба У меня конфиг nginx так сделан: worker_processes 1; error_log /dev/null crit; events { worker_connections 1024; } http { include mime.types; default_type application/octet-stream; log_format brief '$remote_addr'; sendfile on; tcp_nopush on; keepalive_timeout 65; #BLOCK server { listen 10.78.76.3:8080; server_name localhost; expires 10s; add_header Cache-Control private; access_log /var/log/nginx/block.log brief ; location / { root /data/nginx; index block.html; } error_page 404 403 /block.html; error_page 500 502 503 504 /block.html; location ~ /\. { deny all; } } } Изменено 5 ноября, 2015 пользователем Dyr Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Irka-kefirka Опубликовано 10 ноября, 2015 · Жалоба а я вообщем пытаюсь сделать так делаю в ipfw правило ipfw add 1900 fwd 10.0.0.1,80 tcp from table\(4\) to not table\(11\) в таблице 4 адреса юзеров у которых отрицательный баланс, в таблице 11 сайты доступные даже при отрицательном балансе. Редиректа нет. А если сделать вот так, например: ipfw add 1900 fwd 10.0.0.1,80 tcp from 10.0.0.106/32 to not table\(11\) то все работает. ipfw не умеет чтоли несколько адресов из таблицы редиректить или что?? Поясните, что не так делаю? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
t0ly Опубликовано 11 ноября, 2015 · Жалоба а я вообщем пытаюсь сделать так делаю в ipfw правило ipfw add 1900 fwd 10.0.0.1,80 tcp from table\(4\) to not table\(11\) в таблице 4 адреса юзеров у которых отрицательный баланс, в таблице 11 сайты доступные даже при отрицательном балансе. Редиректа нет. А если сделать вот так, например: ipfw add 1900 fwd 10.0.0.1,80 tcp from 10.0.0.106/32 to not table\(11\) то все работает. ipfw не умеет чтоли несколько адресов из таблицы редиректить или что?? Поясните, что не так делаю? думаю стоит посмотреть в tcpdump в обоих случаях и посмотреть разницу. смотреть надо на интерфейсе в сторону клиентов и в сторону 10.0.0.1 (куда направляется редирект) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
No_name Опубликовано 11 ноября, 2015 · Жалоба table\(4\) Покажите вывод, что там в ней. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mechanic Опубликовано 19 декабря, 2015 · Жалоба запросы https(443) кто-нить заворячивает на стоп страницу или только 80,8080 ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vop Опубликовано 19 декабря, 2015 · Жалоба запросы https(443) кто-нить заворячивает на стоп страницу или только 80,8080 ? Нет, не заворачивает. Точнее, кто-то может и заворачивает, но из этого ничего хорошего не получится. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Иванов Денис Опубликовано 28 июля, 2017 · Жалоба если на блок сервере как-то понимать в таблесах, что пакет хттпс, то менять ему порт.. Будет ругань на сертификат.. Но уже лучше ошибки.. Коллеги, за это время кто-нибудь решил проблему с предупреждением о левом сертификате? Я пытаюсь вместо nginx использовать squid без подмены сертификата, но пока не получается. Нашёл такой вот рецепт: https://habrahabr.ru/post/267851/ Обсуждение: https://www.linux.org.ru/forum/admin/13207928 И официальную документацию: http://wiki.squid-cache.org/Features/SslPeekAndSplice Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Иванов Денис Опубликовано 31 июля, 2017 · Жалоба Я пытаюсь вместо nginx использовать squid без подмены сертификата, но пока не получается. В итоге понял, что в этом нет смысла, т.к. Squid в режиме PeekAndSplice не может осуществлять переадресацию. Теперь есть такая идея: направлять DNS запросы абонентов с отрицательным балансом на DNS сервер, на котором для всех зон прописан * IN CNAME my-portal-for-blocked-users.org Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ne-vlezay80 Опубликовано 31 июля, 2017 · Жалоба Я пытаюсь вместо nginx использовать squid без подмены сертификата, но пока не получается. В итоге понял, что в этом нет смысла, т.к. Squid в режиме PeekAndSplice не может осуществлять переадресацию. Теперь есть такая идея: направлять DNS запросы абонентов с отрицательным балансом на DNS сервер, на котором для всех зон прописан * IN CNAME my-portal-for-blocked-users.org А потом они пропишут сторонний dns, и будут интернет втихую тырить Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 31 июля, 2017 · Жалоба Отчего же? Традиционный DNAT куда надо + днс Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
911 Опубликовано 31 июля, 2017 · Жалоба dns не поможет для https (( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sanyasi Опубликовано 1 августа, 2017 (изменено) · Жалоба 2012 году было предложено специально для таких случаев ввести код 511[3]. Поскольку сценарий работы с captive portal корректно себя ведёт только в браузере при обращении к не-https сайту, большинство современных клиентских операционных систем после подключения к сети выполняют проверку на его наличие: Android начиная с версии 4 через несколько секунд после подключения запрашивает с одного из серверов компании Google файл с названием generate_204 и не получая в http-ответе код 204 создает соответствующее уведомление, при нажатии на которое в браузере открывается captive portal. Windows и Windows Phone используют сервис Network Connectivity Status Indicator, который запрашивает файл с сайта, принадлежащего Microsoft, ожидая получить предопределённое содержимое. В некоторых случаях сверяется с эталоном IP-адрес сайта, возвращаемый DNS-сервером. При обнаружении captive portal так же как и в Android формируется уведомление для пользователя[4]. iOS-устройства, так же как Windows, запрашивают файл (с одного из нескольких сотен[5] принадлежащих Apple сайтов) и сверяют его содержимое. В случае обнаружения captive portal во всплывающем окне открывается Captive Network Assistant, представляющий собой браузер без поддержки HTTP cookies. Изменено 1 августа, 2017 пользователем sanyasi Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...