Jump to content

http-redirect на SE100 с https

smerch
 Share

Recommended Posts

smerch

smerch

Posted
Posted

Всем добрый день.

Настраиваю перенаправление на SE100 посредством http-redirect.

Задача - перенаправить все запросы с ПК на "https://1.2.3.4/index.html"

Перенаправление с http сайтов успешно отрабатывает, с сайтов https - нет.

 

Снял дамп траффика с ПК, на котором тестирую перенаправление. Из него вижу, что при успешном редиректе (если захожу на http страницу) сначала с ПК отправляется пакет на ip запрашиваемого сайта, затем с SE100 на ПК идет ответ без флага FIN в пакете, затем с ПК отправляется еще один пакет на ip запрашиваемого сайта, после этого с SE100 на ПК приходит http пакет, содержащий url редиректа, а затем уже браузер на ПК переходит на этот url.

При неуспешном редиректе (если пытаюсь зайти на https страницу), в первом же ответном пакете от SE100 приходит флаг RST (Reset the connection).

Версия SEOS: SEOS-11.1.2.7-Release

 

В чем может быть проблема? Может кто-нибудь сталкивался с подобной задачей? Реализуемо ли в принципе на SE100 перенаправление на url с https страниц?

 

Конфигурация http-redirect на SE100:

 

context CONTEXT

 

policy access-list http-fwd

seq 10 permit udp any host 8.8.8.8 eq domain class CLASS

seq 20 permit tcp any host 1.2.3.4 eq 443 class CLASS

seq 30 permit tcp any host 1.2.3.4 eq www class CLASS

seq 40 permit tcp any any eq www class redirect

seq 50 permit tcp any any eq 443 class redirect

seq 60 permit ip any any class DROP

 

http-redirect profile REDIRECT

url "https://1.2.3.4/index.html"

message "Redirect message"

timeout 2

 

 

context local

 

forward policy REDIRECT

ip access-group http-fwd CONTEXT

class redirect

redirect destination local

class CLASS

class DROP

drop

 

http-redirect server

port 80

 

dignity

dignity

Posted
Posted (edited)

Мне кажется, что это что-то типа атаки Man In The middle. Работать не должно (IMHO - из-за свойств протокола).

Edited by dignity
Tosha

Tosha

Posted
Posted

Разобрать https сессию чтобы что-то там прочитать и(или) подменить?

 

Разве se100 это умеет? Игры с подменой сертификатов, например?

 

Работать не должно (IMHO - из-за свойств протокола).

Ну да, SSL и HTTPS создавались как раз чтобы никто между сервером и клиентом ничего не смог прочитать и тем более поменять.

snark

snark

Posted
Posted

В SE есть свой микро НТТР сервер, который и занимается редиректом, но НТТРS он не поддерживает и поэтому ничего не выходит.

Попробуйте не с его помощью редиректить, а редиректить простым роутмапом.

smerch

smerch

Posted
  • Author
Posted

У меня стоит задача сделать перенаправление именно с помощью http-redirect, так как биллинг при отрицательном балансе передает в сессию radius-атрибут http-redirect с соответствующим значением. И да, разве можно сделать перенаправление посредством роутмапа не на ip, а на url?

Blaar

Blaar

Posted
Posted

в теории можно завернуть все на проксик со squid, там заморочится с сертификатами и попробывать сделать редирект на https.

насколько это будет успешно - сказать сложно.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.