[Tem]

Для блокировки сайтов из единого реестра генерится address-list, куда вносятся запрещенные ip

в правилах файера след

/ip firewall filter
add action=drop chain=forward disabled=no dst-address-list=zapretip

Но хочу перенаправить 80 порт на заглушку

/ip firewall nat
add action=dst-nat chain=dstnat disabled=yes dst-address-list=zapretip dst-port=80 protocol=tcp to-addresses=x.y.z.2 to-ports=80

Если вместо x.y.z.2 указать ip не принадлежащий моей сети, то редирект проходит без проблем, а вот если указываю ip своего веб сервера, то редиректа не происходит.

[Saab95]

Просто в правиле маскардинга нужно исключить ваш сервер, сделайте вида src=10.0.0.0/8 (например ваша сеть) dst=! 10.0.0.0/8, тогда для внутренних адресов все будет работать без проблем.

[Tem]

я не использую серые ip и нет никакого маскарадинга.

[Saab95]

Тогда делайте переадресацию через redirect на web-proxy, установленном на микротике, который на все запросы и выдает страничку с вашего сервера.

 

Например вот так, тут адрес 192.168.88.2 и есть адрес сервера.

 

/ip firewall address-list

add address=10.10.10.10 list=balance_negative

/ip firewall filter

add action=drop chain=forward dst-address=!192.168.0.0/16 src-address-list=\

balance_negative

/ip firewall nat

add action=redirect chain=dstnat dst-address=!192.168.0.0/16 protocol=tcp \

src-address-list=balance_negative to-ports=8123

/ip proxy

set enabled=yes port=8123

/ip proxy access

add action=deny redirect-to=192.168.88.2

[Tem]

Спасибо, как раз то что нужно, получилось даже лучше, чем хотелось )

[nicolenkoe]

Подскажите, как заменить страницу ошибки с вебпрокси на микротике вер. 3.22

Изменено 27 ноября, 2013 пользователем nicolenkoe

[Saab95]

Подскажите, как заменить страницу ошибки с вебпрокси на микротике вер. 3.22

 

Зайти в меню Files и найти там эту страничку, скопировать ее себе на компьютер и произвести необходимые изменения.

[weedman]

Апну тему. Не выходит каменный цветок.

Находил в интернете инструкции с редиректами через dst-nat, c web-proxy, но эффекта нет. Для теста перенаравлял на другой микротик в сети. Есть какие-то обноврения?

Адрес сети перенаправляемого компьютера- 10.1.0.0/24, перенаправлял на 10.1.17.1 (доступен через pptp)

[Jora_1]

В ‎05‎.‎07‎.‎2019 в 21:30, weedman сказал:

Адрес сети перенаправляемого компьютера- 10.1.0.0/24, перенаправлял на 10.1.17.1 (доступен через pptp)

 

Если есть маскарад, то поднять правило выше маскарада.

 

10.1.17.1 должен быть доступен из сети.

 

/ip firewall nat
add action=netmap chain=dstnat dst-port=80 protocol=tcp src-address=10.1.0.0/24 to-addresses=10.1.17.1 to-ports=80

 

 

[weedman]

11 часов назад, jora_1 сказал:

 

Если есть маскарад, то поднять правило выше маскарада.

 

10.1.17.1 должен быть доступен из сети.

 

/ip firewall nat
add action=netmap chain=dstnat dst-port=80 protocol=tcp src-address=10.1.0.0/24 to-addresses=10.1.17.1 to-ports=80

 

 

пропускает https, добавил 443 порти просто не грузит страницы, бер редиректа 

[Jora_1]

@weedman Ну 443 можно переадресовать если есть сертификат, но браузеры будут ругаться на не соответствие сертификата.

[jffulcrum]

@weedman Встроенный веб-прокси mikrotik https не поддерживает в принципе. Надо ставить отдельно какой-нибудь SQUID с сертификатом и делать netmap на него, а уже SQUID будет перенаправлять на страницу.

[weedman]

1 час назад, jffulcrum сказал:

@weedman Встроенный веб-прокси mikrotik https не поддерживает в принципе. Надо ставить отдельно какой-нибудь SQUID с сертификатом и делать netmap на него, а уже SQUID будет перенаправлять на страницу.

Делал как-то на pfsence SQUID, кажется не было проблем. ак можно получить сертификат для этих нужд? Как правильно задать вопрос в гугле?

[user71]

@weedman ))))) никак. Это митм сертификаты для того и сделаны чтоб никто и никогда. Хттпс ни у кого не редиректит. Вы хотите страного. Если нужна заглушка лучше редиректить через днс. Пока он еще не у всех шифрованый 

 

А еще лучше оставте эту затею. С долбаными подменами днса уже никакого спасения нет каждый норовит впендюрить свою хрень

[Jora_1]

@weedman Переадресовать на свой сервер можно, если у него есть свой сертификат, но браузеры ругаться будут и в предупреждение появится кнопка "всё равно открыть сайт" зависит от браузер. Это конечно как вариант. но не красиво это всё :).

[user71]

Кнопка эта находится в такой глубокой заднице что из всей сети редирект работать будет только у тса и то не факт что и он найдет

[Saab95]

Редирект на микротике через веб прокси, который перенаправляет запросы на сторонний веб сервер, например апач на винде, работает в любом браузере и с любого, даже https сайта.

[edii102]

В 22.11.2019 в 03:16, Saab95 сказал:

Редирект на микротике через веб прокси, который перенаправляет запросы на сторонний веб сервер, например апач на винде, работает в любом браузере и с любого, даже https сайта.

А подробнее можно? реализации вашей идеи

[Saab95]

В 04.12.2019 в 23:18, edii102 сказал:

А подробнее можно? реализации вашей идеи

 

/ip firewall address-list
add address=192.168.100.10 list=balance_negative
/ip firewall filter
add action=drop chain=forward dst-address=!192.168.0.0/16 src-address-list=balance_negative
/ip firewall nat
add action=redirect chain=dstnat dst-address=!192.168.0.0/16 protocol=tcp src-address-list=balance_negative to-ports=8123
/ip proxy
set enabled=yes port=8123
/ip proxy access
add action=deny redirect-to=192.168.88.2

Соответственно страничка в заглушкой лежит на сервере 192.168.88.2, на нее и перенаправляются все запросы.

При перенаправлении особенно важно отфильтровать весь мусор, потому что на веб порты могут ломиться и другие сервисы, всякие там закачки и прочие, и если это все кидать на веб сервер - он может раздуваться по оперативной памяти, или вообще временами зависать. Веб прокси все же несколько фильтрует такой трафик.

[SOFTOLAB]

21 hours ago, Saab95 said:

 

/ip firewall address-list
add address=192.168.100.10 list=balance_negative
/ip firewall filter
add action=drop chain=forward dst-address=!192.168.0.0/16 src-address-list=balance_negative
/ip firewall nat
add action=redirect chain=dstnat dst-address=!192.168.0.0/16 protocol=tcp src-address-list=balance_negative to-ports=8123
/ip proxy
set enabled=yes port=8123
/ip proxy access
add action=deny redirect-to=192.168.88.2

Соответственно страничка в заглушкой лежит на сервере 192.168.88.2, на нее и перенаправляются все запросы.

При перенаправлении особенно важно отфильтровать весь мусор, потому что на веб порты могут ломиться и другие сервисы, всякие там закачки и прочие, и если это все кидать на веб сервер - он может раздуваться по оперативной памяти, или вообще временами зависать. Веб прокси все же несколько фильтрует такой трафик.

Нужно просто не древний апач использовать, а прогрессивный nginx.

[Jora_1]

@Saab95 Так https не будет переадресовываться, максимум при конекте подключения, выскачет каптивпортал на некоторых устройствах. Да и смысл использовать для переадресации встроенный webproxy, когда проще нетмапом переадресовать?

 

тогда уже проще так:

 

/ip firewall address-list
add address=192.168.100.10 list=balance_negative
/ip firewall filter
add action=drop chain=forward dst-address=!192.168.0.0/16 src-address-list=balance_negative
/ip firewall nat
add action=netmap chain=dstnat dst-address=!192.168.0.0/16 protocol=tcp src-address-list=balance_negative to-addresses=192.168.88.2

или даже так:

 

/ip firewall address-list
add address=192.168.100.10 list=balance_negative
/ip firewall filter
add action=drop chain=forward dst-address=!192.168.88.2 src-address-list=balance_negative
/ip firewall nat
add action=netmap chain=dstnat dst-address=!192.168.88.2 protocol=tcp src-address-list=balance_negative to-addresses=192.168.88.2

или с только для 80 порта отсеять лишний мусор:

 

/ip firewall address-list
add address=192.168.100.10 list=balance_negative
/ip firewall filter
add action=drop chain=forward dst-address=!192.168.88.2 src-address-list=balance_negative
/ip firewall nat
add action=netmap chain=dstnat dst-address=!192.168.88.2 dst-port=80 protocol=tcp src-address-list=balance_negative to-addresses=192.168.88.2

 

Изменено 16 января, 2020 пользователем jora_1

[Saab95]

Проблема в том, что когда идет такое перенаправление все запросы летят на указанный сервер. Даже если это совершенно не веб запросы.

Через веб прокси все не нужное отбрасывается.

[Jora_1]

@Saab95 ну так для этого и указываем фильтр в виде tcp и 80 порта, что бы не летела всякое. А так летит всё на веб сервер микротик, что грузит его, а уж потом он уже редериктит. Ну всё равно, это всё не решает редирикт https запросов, точней подмены сертификата.