[vop]

Никак, видимо...

[Red_Sam]

биллинг не поддерживает ISG

биллинг не умеет Radius атрибуты и CoA? Все так активно предлагают решение, а абоненты к BRAS подключаются по PPPoE? не углядел, действительно PPPoE

Если так то что мешает отдавать разные атрибуты разным группам пользователей?

Изменено 30 октября, 2015 пользователем Red_Sam

[Red_Sam]

В связи с постепенным переходом на https, как в таком случае реализовать перенаправление?

 

!https трафик попадает под

ip access-list extended ACL

permit ip any any

!значит его можно маркировать

class-map type traffic match-any MATCH

match access-group input name ACL

match access-group output name ACL

!значит его можно перенаправлять

redirect server-group REDIRECT

server ip 10.0.0.2 port 80

 

policy-map type service REDIRECT_POLICY

service local

class type traffic MATCH

redirect to group REDIRECT

[zhenya`]

Браузер ошибку даст. Он ожидает ответ в стиле хттпс..

[Red_Sam]

проверил, действительно. Если перенаправлять на порт без шифрования получаем ошибку SSL соединения. Это уже задача конфигуринга httpd.

Могу лишь сказать что мало людей в адресной строке пишут https:// обычно идет обращение идет по 80, а там уже RewriteRule на https

[vop]

Для перенаправления http на https, да и для любого редиректа Rewrite Rule не нужен.

[zhenya`]

если на блок сервере как-то понимать в таблесах, что пакет хттпс, то менять ему порт.. Будет ругань на сертификат.. Но уже лучше ошибки..

Изменено 1 ноября, 2015 пользователем zhenya`

[Dyr]

У меня конфиг nginx так сделан:

 

worker_processes  1;

error_log /dev/null crit;

events {
   worker_connections  1024;
}

http {
   include   	mime.types;
   default_type  application/octet-stream;

    log_format brief '$remote_addr';


   sendfile        on;


   tcp_nopush 	on;

    keepalive_timeout  65;

     #BLOCK
   server {
       listen  10.78.76.3:8080;
       server_name  localhost;
       expires 10s;
       add_header  Cache-Control  private;
       access_log  /var/log/nginx/block.log  brief ;

       location / {
           root   /data/nginx;
           index block.html;
       }

       error_page  404 403       	/block.html;
       error_page   500 502 503 504  /block.html;

       location ~ /\. {
           deny  all;
       }
   }


}

Изменено 5 ноября, 2015 пользователем Dyr

[Irka-kefirka]

а я вообщем пытаюсь сделать так

 

делаю в ipfw правило

 

ipfw add 1900 fwd 10.0.0.1,80 tcp from table\(4\) to not table\(11\)

 

в таблице 4 адреса юзеров у которых отрицательный баланс, в таблице 11 сайты доступные даже при отрицательном балансе. Редиректа нет. А если сделать вот так, например:

 

ipfw add 1900 fwd 10.0.0.1,80 tcp from 10.0.0.106/32 to not table\(11\) то все работает.

 

ipfw не умеет чтоли несколько адресов из таблицы редиректить или что?? Поясните, что не так делаю?

[t0ly]

а я вообщем пытаюсь сделать так

 

делаю в ipfw правило

 

ipfw add 1900 fwd 10.0.0.1,80 tcp from table\(4\) to not table\(11\)

 

в таблице 4 адреса юзеров у которых отрицательный баланс, в таблице 11 сайты доступные даже при отрицательном балансе. Редиректа нет. А если сделать вот так, например:

 

ipfw add 1900 fwd 10.0.0.1,80 tcp from 10.0.0.106/32 to not table\(11\) то все работает.

 

ipfw не умеет чтоли несколько адресов из таблицы редиректить или что?? Поясните, что не так делаю?

думаю стоит посмотреть в tcpdump в обоих случаях и посмотреть разницу.

смотреть надо на интерфейсе в сторону клиентов и в сторону 10.0.0.1 (куда направляется редирект)

[No_name]

table\(4\)

Покажите вывод, что там в ней.

[Mechanic]

запросы https(443) кто-нить заворячивает на стоп страницу или только 80,8080 ?

[vop]

запросы https(443) кто-нить заворячивает на стоп страницу или только 80,8080 ?

 

Нет, не заворачивает. Точнее, кто-то может и заворачивает, но из этого ничего хорошего не получится.

[Иванов Денис]

если на блок сервере как-то понимать в таблесах, что пакет хттпс, то менять ему порт.. Будет ругань на сертификат.. Но уже лучше ошибки..

Коллеги, за это время кто-нибудь решил проблему с предупреждением о левом сертификате?

 

Я пытаюсь вместо nginx использовать squid без подмены сертификата, но пока не получается.

 

Нашёл такой вот рецепт: https://habrahabr.ru/post/267851/

Обсуждение: https://www.linux.org.ru/forum/admin/13207928

И официальную документацию: http://wiki.squid-cache.org/Features/SslPeekAndSplice

[Иванов Денис]

Я пытаюсь вместо nginx использовать squid без подмены сертификата, но пока не получается.

В итоге понял, что в этом нет смысла, т.к. Squid в режиме PeekAndSplice не может осуществлять переадресацию.

 

Теперь есть такая идея: направлять DNS запросы абонентов с отрицательным балансом на DNS сервер, на котором для всех зон прописан * IN CNAME my-portal-for-blocked-users.org

[ne-vlezay80]

Я пытаюсь вместо nginx использовать squid без подмены сертификата, но пока не получается.

В итоге понял, что в этом нет смысла, т.к. Squid в режиме PeekAndSplice не может осуществлять переадресацию.

 

Теперь есть такая идея: направлять DNS запросы абонентов с отрицательным балансом на DNS сервер, на котором для всех зон прописан * IN CNAME my-portal-for-blocked-users.org

А потом они пропишут сторонний dns, и будут интернет втихую тырить

[myth]

Отчего же? Традиционный DNAT куда надо + днс

[911]

dns не поможет для https ((

[sanyasi]

2012 году было предложено специально для таких случаев ввести код 511[3].

 

Поскольку сценарий работы с captive portal корректно себя ведёт только в браузере при обращении к не-https сайту, большинство современных клиентских операционных систем после подключения к сети выполняют проверку на его наличие:

 

Android начиная с версии 4 через несколько секунд после подключения запрашивает с одного из серверов компании Google файл с названием generate_204 и не получая в http-ответе код 204 создает соответствующее уведомление, при нажатии на которое в браузере открывается captive portal.

Windows и Windows Phone используют сервис Network Connectivity Status Indicator, который запрашивает файл с сайта, принадлежащего Microsoft, ожидая получить предопределённое содержимое. В некоторых случаях сверяется с эталоном IP-адрес сайта, возвращаемый DNS-сервером. При обнаружении captive portal так же как и в Android формируется уведомление для пользователя[4].

iOS-устройства, так же как Windows, запрашивают файл (с одного из нескольких сотен[5] принадлежащих Apple сайтов) и сверяют его содержимое. В случае обнаружения captive portal во всплывающем окне открывается Captive Network Assistant, представляющий собой браузер без поддержки HTTP cookies.

Изменено 1 августа, 2017 пользователем sanyasi