smerch Опубликовано 29 августа, 2013 · Жалоба Всем добрый день. Настраиваю перенаправление на SE100 посредством http-redirect. Задача - перенаправить все запросы с ПК на "https://1.2.3.4/index.html" Перенаправление с http сайтов успешно отрабатывает, с сайтов https - нет. Снял дамп траффика с ПК, на котором тестирую перенаправление. Из него вижу, что при успешном редиректе (если захожу на http страницу) сначала с ПК отправляется пакет на ip запрашиваемого сайта, затем с SE100 на ПК идет ответ без флага FIN в пакете, затем с ПК отправляется еще один пакет на ip запрашиваемого сайта, после этого с SE100 на ПК приходит http пакет, содержащий url редиректа, а затем уже браузер на ПК переходит на этот url. При неуспешном редиректе (если пытаюсь зайти на https страницу), в первом же ответном пакете от SE100 приходит флаг RST (Reset the connection). Версия SEOS: SEOS-11.1.2.7-Release В чем может быть проблема? Может кто-нибудь сталкивался с подобной задачей? Реализуемо ли в принципе на SE100 перенаправление на url с https страниц? Конфигурация http-redirect на SE100: context CONTEXT policy access-list http-fwd seq 10 permit udp any host 8.8.8.8 eq domain class CLASS seq 20 permit tcp any host 1.2.3.4 eq 443 class CLASS seq 30 permit tcp any host 1.2.3.4 eq www class CLASS seq 40 permit tcp any any eq www class redirect seq 50 permit tcp any any eq 443 class redirect seq 60 permit ip any any class DROP http-redirect profile REDIRECT url "https://1.2.3.4/index.html" message "Redirect message" timeout 2 context local forward policy REDIRECT ip access-group http-fwd CONTEXT class redirect redirect destination local class CLASS class DROP drop http-redirect server port 80 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dignity Опубликовано 29 августа, 2013 (изменено) · Жалоба Мне кажется, что это что-то типа атаки Man In The middle. Работать не должно (IMHO - из-за свойств протокола). Изменено 29 августа, 2013 пользователем dignity Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tosha Опубликовано 29 августа, 2013 · Жалоба Разобрать https сессию чтобы что-то там прочитать и(или) подменить? Разве se100 это умеет? Игры с подменой сертификатов, например? Работать не должно (IMHO - из-за свойств протокола). Ну да, SSL и HTTPS создавались как раз чтобы никто между сервером и клиентом ничего не смог прочитать и тем более поменять. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
smerch Опубликовано 29 августа, 2013 · Жалоба Спасибо большое за ответ, думаю так и есть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snark Опубликовано 30 августа, 2013 · Жалоба В SE есть свой микро НТТР сервер, который и занимается редиректом, но НТТРS он не поддерживает и поэтому ничего не выходит. Попробуйте не с его помощью редиректить, а редиректить простым роутмапом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
smerch Опубликовано 30 августа, 2013 · Жалоба У меня стоит задача сделать перенаправление именно с помощью http-redirect, так как биллинг при отрицательном балансе передает в сессию radius-атрибут http-redirect с соответствующим значением. И да, разве можно сделать перенаправление посредством роутмапа не на ip, а на url? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snark Опубликовано 30 августа, 2013 · Жалоба Кидаете на IP, а там уже сервер ловит запрос и отдает страничку. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Blaar Опубликовано 30 августа, 2013 · Жалоба в теории можно завернуть все на проксик со squid, там заморочится с сертификатами и попробывать сделать редирект на https. насколько это будет успешно - сказать сложно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MMM Опубликовано 3 сентября, 2013 · Жалоба имхо оно того не стоит. будет ругань браузеров на кривой сертификат, лишние звонки в поддержку и т.п. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...