[smerch]

Всем добрый день.

Настраиваю перенаправление на SE100 посредством http-redirect.

Задача - перенаправить все запросы с ПК на "https://1.2.3.4/index.html"

Перенаправление с http сайтов успешно отрабатывает, с сайтов https - нет.

 

Снял дамп траффика с ПК, на котором тестирую перенаправление. Из него вижу, что при успешном редиректе (если захожу на http страницу) сначала с ПК отправляется пакет на ip запрашиваемого сайта, затем с SE100 на ПК идет ответ без флага FIN в пакете, затем с ПК отправляется еще один пакет на ip запрашиваемого сайта, после этого с SE100 на ПК приходит http пакет, содержащий url редиректа, а затем уже браузер на ПК переходит на этот url.

При неуспешном редиректе (если пытаюсь зайти на https страницу), в первом же ответном пакете от SE100 приходит флаг RST (Reset the connection).

Версия SEOS: SEOS-11.1.2.7-Release

 

В чем может быть проблема? Может кто-нибудь сталкивался с подобной задачей? Реализуемо ли в принципе на SE100 перенаправление на url с https страниц?

 

Конфигурация http-redirect на SE100:

 

context CONTEXT

 

policy access-list http-fwd

seq 10 permit udp any host 8.8.8.8 eq domain class CLASS

seq 20 permit tcp any host 1.2.3.4 eq 443 class CLASS

seq 30 permit tcp any host 1.2.3.4 eq www class CLASS

seq 40 permit tcp any any eq www class redirect

seq 50 permit tcp any any eq 443 class redirect

seq 60 permit ip any any class DROP

 

http-redirect profile REDIRECT

url "https://1.2.3.4/index.html"

message "Redirect message"

timeout 2

 

 

context local

 

forward policy REDIRECT

ip access-group http-fwd CONTEXT

class redirect

redirect destination local

class CLASS

class DROP

drop

 

http-redirect server

port 80

 

[dignity]

Мне кажется, что это что-то типа атаки Man In The middle. Работать не должно (IMHO - из-за свойств протокола).

Изменено 29 августа, 2013 пользователем dignity

[Tosha]

Разобрать https сессию чтобы что-то там прочитать и(или) подменить?

 

Разве se100 это умеет? Игры с подменой сертификатов, например?

 

Работать не должно (IMHO - из-за свойств протокола).

Ну да, SSL и HTTPS создавались как раз чтобы никто между сервером и клиентом ничего не смог прочитать и тем более поменять.

[smerch]

Спасибо большое за ответ, думаю так и есть.

[snark]

В SE есть свой микро НТТР сервер, который и занимается редиректом, но НТТРS он не поддерживает и поэтому ничего не выходит.

Попробуйте не с его помощью редиректить, а редиректить простым роутмапом.

[smerch]

У меня стоит задача сделать перенаправление именно с помощью http-redirect, так как биллинг при отрицательном балансе передает в сессию radius-атрибут http-redirect с соответствующим значением. И да, разве можно сделать перенаправление посредством роутмапа не на ip, а на url?

[snark]

Кидаете на IP, а там уже сервер ловит запрос и отдает страничку.

[Blaar]

в теории можно завернуть все на проксик со squid, там заморочится с сертификатами и попробывать сделать редирект на https.

насколько это будет успешно - сказать сложно.

[MMM]

имхо оно того не стоит.

будет ругань браузеров на кривой сертификат, лишние звонки в поддержку и т.п.