Tem Posted September 26, 2013 Posted September 26, 2013 Для блокировки сайтов из единого реестра генерится address-list, куда вносятся запрещенные ip в правилах файера след /ip firewall filter add action=drop chain=forward disabled=no dst-address-list=zapretip Но хочу перенаправить 80 порт на заглушку /ip firewall nat add action=dst-nat chain=dstnat disabled=yes dst-address-list=zapretip dst-port=80 protocol=tcp to-addresses=x.y.z.2 to-ports=80 Если вместо x.y.z.2 указать ip не принадлежащий моей сети, то редирект проходит без проблем, а вот если указываю ip своего веб сервера, то редиректа не происходит. Вставить ник Quote
Saab95 Posted September 26, 2013 Posted September 26, 2013 Просто в правиле маскардинга нужно исключить ваш сервер, сделайте вида src=10.0.0.0/8 (например ваша сеть) dst=! 10.0.0.0/8, тогда для внутренних адресов все будет работать без проблем. Вставить ник Quote
Tem Posted September 26, 2013 Author Posted September 26, 2013 я не использую серые ip и нет никакого маскарадинга. Вставить ник Quote
Saab95 Posted September 26, 2013 Posted September 26, 2013 Тогда делайте переадресацию через redirect на web-proxy, установленном на микротике, который на все запросы и выдает страничку с вашего сервера. Например вот так, тут адрес 192.168.88.2 и есть адрес сервера. /ip firewall address-list add address=10.10.10.10 list=balance_negative /ip firewall filter add action=drop chain=forward dst-address=!192.168.0.0/16 src-address-list=\ balance_negative /ip firewall nat add action=redirect chain=dstnat dst-address=!192.168.0.0/16 protocol=tcp \ src-address-list=balance_negative to-ports=8123 /ip proxy set enabled=yes port=8123 /ip proxy access add action=deny redirect-to=192.168.88.2 Вставить ник Quote
Tem Posted September 26, 2013 Author Posted September 26, 2013 Спасибо, как раз то что нужно, получилось даже лучше, чем хотелось ) Вставить ник Quote
nicolenkoe Posted November 27, 2013 Posted November 27, 2013 (edited) Подскажите, как заменить страницу ошибки с вебпрокси на микротике вер. 3.22 Edited November 27, 2013 by nicolenkoe Вставить ник Quote
Saab95 Posted November 14, 2014 Posted November 14, 2014 Подскажите, как заменить страницу ошибки с вебпрокси на микротике вер. 3.22 Зайти в меню Files и найти там эту страничку, скопировать ее себе на компьютер и произвести необходимые изменения. Вставить ник Quote
weedman Posted July 5, 2019 Posted July 5, 2019 Апну тему. Не выходит каменный цветок. Находил в интернете инструкции с редиректами через dst-nat, c web-proxy, но эффекта нет. Для теста перенаравлял на другой микротик в сети. Есть какие-то обноврения? Адрес сети перенаправляемого компьютера- 10.1.0.0/24, перенаправлял на 10.1.17.1 (доступен через pptp) Вставить ник Quote
Jora_1 Posted July 7, 2019 Posted July 7, 2019 В 05.07.2019 в 21:30, weedman сказал: Адрес сети перенаправляемого компьютера- 10.1.0.0/24, перенаправлял на 10.1.17.1 (доступен через pptp) Если есть маскарад, то поднять правило выше маскарада. 10.1.17.1 должен быть доступен из сети. /ip firewall nat add action=netmap chain=dstnat dst-port=80 protocol=tcp src-address=10.1.0.0/24 to-addresses=10.1.17.1 to-ports=80 Вставить ник Quote
weedman Posted July 8, 2019 Posted July 8, 2019 11 часов назад, jora_1 сказал: Если есть маскарад, то поднять правило выше маскарада. 10.1.17.1 должен быть доступен из сети. /ip firewall nat add action=netmap chain=dstnat dst-port=80 protocol=tcp src-address=10.1.0.0/24 to-addresses=10.1.17.1 to-ports=80 пропускает https, добавил 443 порти просто не грузит страницы, бер редиректа Вставить ник Quote
Jora_1 Posted July 8, 2019 Posted July 8, 2019 @weedman Ну 443 можно переадресовать если есть сертификат, но браузеры будут ругаться на не соответствие сертификата. Вставить ник Quote
jffulcrum Posted July 8, 2019 Posted July 8, 2019 @weedman Встроенный веб-прокси mikrotik https не поддерживает в принципе. Надо ставить отдельно какой-нибудь SQUID с сертификатом и делать netmap на него, а уже SQUID будет перенаправлять на страницу. Вставить ник Quote
weedman Posted July 8, 2019 Posted July 8, 2019 1 час назад, jffulcrum сказал: @weedman Встроенный веб-прокси mikrotik https не поддерживает в принципе. Надо ставить отдельно какой-нибудь SQUID с сертификатом и делать netmap на него, а уже SQUID будет перенаправлять на страницу. Делал как-то на pfsence SQUID, кажется не было проблем. ак можно получить сертификат для этих нужд? Как правильно задать вопрос в гугле? Вставить ник Quote
user71 Posted July 8, 2019 Posted July 8, 2019 @weedman ))))) никак. Это митм сертификаты для того и сделаны чтоб никто и никогда. Хттпс ни у кого не редиректит. Вы хотите страного. Если нужна заглушка лучше редиректить через днс. Пока он еще не у всех шифрованый А еще лучше оставте эту затею. С долбаными подменами днса уже никакого спасения нет каждый норовит впендюрить свою хрень Вставить ник Quote
Jora_1 Posted July 8, 2019 Posted July 8, 2019 @weedman Переадресовать на свой сервер можно, если у него есть свой сертификат, но браузеры ругаться будут и в предупреждение появится кнопка "всё равно открыть сайт" зависит от браузер. Это конечно как вариант. но не красиво это всё :). Вставить ник Quote
user71 Posted July 8, 2019 Posted July 8, 2019 Кнопка эта находится в такой глубокой заднице что из всей сети редирект работать будет только у тса и то не факт что и он найдет Вставить ник Quote
Saab95 Posted November 21, 2019 Posted November 21, 2019 Редирект на микротике через веб прокси, который перенаправляет запросы на сторонний веб сервер, например апач на винде, работает в любом браузере и с любого, даже https сайта. Вставить ник Quote
edii102 Posted December 4, 2019 Posted December 4, 2019 В 22.11.2019 в 03:16, Saab95 сказал: Редирект на микротике через веб прокси, который перенаправляет запросы на сторонний веб сервер, например апач на винде, работает в любом браузере и с любого, даже https сайта. А подробнее можно? реализации вашей идеи Вставить ник Quote
Saab95 Posted January 14, 2020 Posted January 14, 2020 В 04.12.2019 в 23:18, edii102 сказал: А подробнее можно? реализации вашей идеи /ip firewall address-list add address=192.168.100.10 list=balance_negative /ip firewall filter add action=drop chain=forward dst-address=!192.168.0.0/16 src-address-list=balance_negative /ip firewall nat add action=redirect chain=dstnat dst-address=!192.168.0.0/16 protocol=tcp src-address-list=balance_negative to-ports=8123 /ip proxy set enabled=yes port=8123 /ip proxy access add action=deny redirect-to=192.168.88.2 Соответственно страничка в заглушкой лежит на сервере 192.168.88.2, на нее и перенаправляются все запросы. При перенаправлении особенно важно отфильтровать весь мусор, потому что на веб порты могут ломиться и другие сервисы, всякие там закачки и прочие, и если это все кидать на веб сервер - он может раздуваться по оперативной памяти, или вообще временами зависать. Веб прокси все же несколько фильтрует такой трафик. Вставить ник Quote
SOFTOLAB Posted January 15, 2020 Posted January 15, 2020 21 hours ago, Saab95 said: /ip firewall address-list add address=192.168.100.10 list=balance_negative /ip firewall filter add action=drop chain=forward dst-address=!192.168.0.0/16 src-address-list=balance_negative /ip firewall nat add action=redirect chain=dstnat dst-address=!192.168.0.0/16 protocol=tcp src-address-list=balance_negative to-ports=8123 /ip proxy set enabled=yes port=8123 /ip proxy access add action=deny redirect-to=192.168.88.2 Соответственно страничка в заглушкой лежит на сервере 192.168.88.2, на нее и перенаправляются все запросы. При перенаправлении особенно важно отфильтровать весь мусор, потому что на веб порты могут ломиться и другие сервисы, всякие там закачки и прочие, и если это все кидать на веб сервер - он может раздуваться по оперативной памяти, или вообще временами зависать. Веб прокси все же несколько фильтрует такой трафик. Нужно просто не древний апач использовать, а прогрессивный nginx. Вставить ник Quote
Jora_1 Posted January 16, 2020 Posted January 16, 2020 (edited) @Saab95 Так https не будет переадресовываться, максимум при конекте подключения, выскачет каптивпортал на некоторых устройствах. Да и смысл использовать для переадресации встроенный webproxy, когда проще нетмапом переадресовать? тогда уже проще так: /ip firewall address-list add address=192.168.100.10 list=balance_negative /ip firewall filter add action=drop chain=forward dst-address=!192.168.0.0/16 src-address-list=balance_negative /ip firewall nat add action=netmap chain=dstnat dst-address=!192.168.0.0/16 protocol=tcp src-address-list=balance_negative to-addresses=192.168.88.2 или даже так: /ip firewall address-list add address=192.168.100.10 list=balance_negative /ip firewall filter add action=drop chain=forward dst-address=!192.168.88.2 src-address-list=balance_negative /ip firewall nat add action=netmap chain=dstnat dst-address=!192.168.88.2 protocol=tcp src-address-list=balance_negative to-addresses=192.168.88.2 или с только для 80 порта отсеять лишний мусор: /ip firewall address-list add address=192.168.100.10 list=balance_negative /ip firewall filter add action=drop chain=forward dst-address=!192.168.88.2 src-address-list=balance_negative /ip firewall nat add action=netmap chain=dstnat dst-address=!192.168.88.2 dst-port=80 protocol=tcp src-address-list=balance_negative to-addresses=192.168.88.2 Edited January 16, 2020 by jora_1 Вставить ник Quote
Saab95 Posted January 16, 2020 Posted January 16, 2020 Проблема в том, что когда идет такое перенаправление все запросы летят на указанный сервер. Даже если это совершенно не веб запросы. Через веб прокси все не нужное отбрасывается. Вставить ник Quote
Jora_1 Posted January 16, 2020 Posted January 16, 2020 @Saab95 ну так для этого и указываем фильтр в виде tcp и 80 порта, что бы не летела всякое. А так летит всё на веб сервер микротик, что грузит его, а уж потом он уже редериктит. Ну всё равно, это всё не решает редирикт https запросов, точней подмены сертификата. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.