Tem Опубликовано 26 сентября, 2013 · Жалоба Для блокировки сайтов из единого реестра генерится address-list, куда вносятся запрещенные ip в правилах файера след /ip firewall filter add action=drop chain=forward disabled=no dst-address-list=zapretip Но хочу перенаправить 80 порт на заглушку /ip firewall nat add action=dst-nat chain=dstnat disabled=yes dst-address-list=zapretip dst-port=80 protocol=tcp to-addresses=x.y.z.2 to-ports=80 Если вместо x.y.z.2 указать ip не принадлежащий моей сети, то редирект проходит без проблем, а вот если указываю ip своего веб сервера, то редиректа не происходит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 26 сентября, 2013 · Жалоба Просто в правиле маскардинга нужно исключить ваш сервер, сделайте вида src=10.0.0.0/8 (например ваша сеть) dst=! 10.0.0.0/8, тогда для внутренних адресов все будет работать без проблем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tem Опубликовано 26 сентября, 2013 · Жалоба я не использую серые ip и нет никакого маскарадинга. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 26 сентября, 2013 · Жалоба Тогда делайте переадресацию через redirect на web-proxy, установленном на микротике, который на все запросы и выдает страничку с вашего сервера. Например вот так, тут адрес 192.168.88.2 и есть адрес сервера. /ip firewall address-list add address=10.10.10.10 list=balance_negative /ip firewall filter add action=drop chain=forward dst-address=!192.168.0.0/16 src-address-list=\ balance_negative /ip firewall nat add action=redirect chain=dstnat dst-address=!192.168.0.0/16 protocol=tcp \ src-address-list=balance_negative to-ports=8123 /ip proxy set enabled=yes port=8123 /ip proxy access add action=deny redirect-to=192.168.88.2 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tem Опубликовано 26 сентября, 2013 · Жалоба Спасибо, как раз то что нужно, получилось даже лучше, чем хотелось ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nicolenkoe Опубликовано 27 ноября, 2013 (изменено) · Жалоба Подскажите, как заменить страницу ошибки с вебпрокси на микротике вер. 3.22 Изменено 27 ноября, 2013 пользователем nicolenkoe Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 14 ноября, 2014 · Жалоба Подскажите, как заменить страницу ошибки с вебпрокси на микротике вер. 3.22 Зайти в меню Files и найти там эту страничку, скопировать ее себе на компьютер и произвести необходимые изменения. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
weedman Опубликовано 5 июля, 2019 · Жалоба Апну тему. Не выходит каменный цветок. Находил в интернете инструкции с редиректами через dst-nat, c web-proxy, но эффекта нет. Для теста перенаравлял на другой микротик в сети. Есть какие-то обноврения? Адрес сети перенаправляемого компьютера- 10.1.0.0/24, перенаправлял на 10.1.17.1 (доступен через pptp) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Jora_1 Опубликовано 7 июля, 2019 · Жалоба В 05.07.2019 в 21:30, weedman сказал: Адрес сети перенаправляемого компьютера- 10.1.0.0/24, перенаправлял на 10.1.17.1 (доступен через pptp) Если есть маскарад, то поднять правило выше маскарада. 10.1.17.1 должен быть доступен из сети. /ip firewall nat add action=netmap chain=dstnat dst-port=80 protocol=tcp src-address=10.1.0.0/24 to-addresses=10.1.17.1 to-ports=80 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
weedman Опубликовано 8 июля, 2019 · Жалоба 11 часов назад, jora_1 сказал: Если есть маскарад, то поднять правило выше маскарада. 10.1.17.1 должен быть доступен из сети. /ip firewall nat add action=netmap chain=dstnat dst-port=80 protocol=tcp src-address=10.1.0.0/24 to-addresses=10.1.17.1 to-ports=80 пропускает https, добавил 443 порти просто не грузит страницы, бер редиректа Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Jora_1 Опубликовано 8 июля, 2019 · Жалоба @weedman Ну 443 можно переадресовать если есть сертификат, но браузеры будут ругаться на не соответствие сертификата. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 8 июля, 2019 · Жалоба @weedman Встроенный веб-прокси mikrotik https не поддерживает в принципе. Надо ставить отдельно какой-нибудь SQUID с сертификатом и делать netmap на него, а уже SQUID будет перенаправлять на страницу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
weedman Опубликовано 8 июля, 2019 · Жалоба 1 час назад, jffulcrum сказал: @weedman Встроенный веб-прокси mikrotik https не поддерживает в принципе. Надо ставить отдельно какой-нибудь SQUID с сертификатом и делать netmap на него, а уже SQUID будет перенаправлять на страницу. Делал как-то на pfsence SQUID, кажется не было проблем. ак можно получить сертификат для этих нужд? Как правильно задать вопрос в гугле? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
user71 Опубликовано 8 июля, 2019 · Жалоба @weedman ))))) никак. Это митм сертификаты для того и сделаны чтоб никто и никогда. Хттпс ни у кого не редиректит. Вы хотите страного. Если нужна заглушка лучше редиректить через днс. Пока он еще не у всех шифрованый А еще лучше оставте эту затею. С долбаными подменами днса уже никакого спасения нет каждый норовит впендюрить свою хрень Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Jora_1 Опубликовано 8 июля, 2019 · Жалоба @weedman Переадресовать на свой сервер можно, если у него есть свой сертификат, но браузеры ругаться будут и в предупреждение появится кнопка "всё равно открыть сайт" зависит от браузер. Это конечно как вариант. но не красиво это всё :). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
user71 Опубликовано 8 июля, 2019 · Жалоба Кнопка эта находится в такой глубокой заднице что из всей сети редирект работать будет только у тса и то не факт что и он найдет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 21 ноября, 2019 · Жалоба Редирект на микротике через веб прокси, который перенаправляет запросы на сторонний веб сервер, например апач на винде, работает в любом браузере и с любого, даже https сайта. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
edii102 Опубликовано 4 декабря, 2019 · Жалоба В 22.11.2019 в 03:16, Saab95 сказал: Редирект на микротике через веб прокси, который перенаправляет запросы на сторонний веб сервер, например апач на винде, работает в любом браузере и с любого, даже https сайта. А подробнее можно? реализации вашей идеи Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 14 января, 2020 · Жалоба В 04.12.2019 в 23:18, edii102 сказал: А подробнее можно? реализации вашей идеи /ip firewall address-list add address=192.168.100.10 list=balance_negative /ip firewall filter add action=drop chain=forward dst-address=!192.168.0.0/16 src-address-list=balance_negative /ip firewall nat add action=redirect chain=dstnat dst-address=!192.168.0.0/16 protocol=tcp src-address-list=balance_negative to-ports=8123 /ip proxy set enabled=yes port=8123 /ip proxy access add action=deny redirect-to=192.168.88.2 Соответственно страничка в заглушкой лежит на сервере 192.168.88.2, на нее и перенаправляются все запросы. При перенаправлении особенно важно отфильтровать весь мусор, потому что на веб порты могут ломиться и другие сервисы, всякие там закачки и прочие, и если это все кидать на веб сервер - он может раздуваться по оперативной памяти, или вообще временами зависать. Веб прокси все же несколько фильтрует такой трафик. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SOFTOLAB Опубликовано 15 января, 2020 · Жалоба 21 hours ago, Saab95 said: /ip firewall address-list add address=192.168.100.10 list=balance_negative /ip firewall filter add action=drop chain=forward dst-address=!192.168.0.0/16 src-address-list=balance_negative /ip firewall nat add action=redirect chain=dstnat dst-address=!192.168.0.0/16 protocol=tcp src-address-list=balance_negative to-ports=8123 /ip proxy set enabled=yes port=8123 /ip proxy access add action=deny redirect-to=192.168.88.2 Соответственно страничка в заглушкой лежит на сервере 192.168.88.2, на нее и перенаправляются все запросы. При перенаправлении особенно важно отфильтровать весь мусор, потому что на веб порты могут ломиться и другие сервисы, всякие там закачки и прочие, и если это все кидать на веб сервер - он может раздуваться по оперативной памяти, или вообще временами зависать. Веб прокси все же несколько фильтрует такой трафик. Нужно просто не древний апач использовать, а прогрессивный nginx. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Jora_1 Опубликовано 16 января, 2020 (изменено) · Жалоба @Saab95 Так https не будет переадресовываться, максимум при конекте подключения, выскачет каптивпортал на некоторых устройствах. Да и смысл использовать для переадресации встроенный webproxy, когда проще нетмапом переадресовать? тогда уже проще так: /ip firewall address-list add address=192.168.100.10 list=balance_negative /ip firewall filter add action=drop chain=forward dst-address=!192.168.0.0/16 src-address-list=balance_negative /ip firewall nat add action=netmap chain=dstnat dst-address=!192.168.0.0/16 protocol=tcp src-address-list=balance_negative to-addresses=192.168.88.2 или даже так: /ip firewall address-list add address=192.168.100.10 list=balance_negative /ip firewall filter add action=drop chain=forward dst-address=!192.168.88.2 src-address-list=balance_negative /ip firewall nat add action=netmap chain=dstnat dst-address=!192.168.88.2 protocol=tcp src-address-list=balance_negative to-addresses=192.168.88.2 или с только для 80 порта отсеять лишний мусор: /ip firewall address-list add address=192.168.100.10 list=balance_negative /ip firewall filter add action=drop chain=forward dst-address=!192.168.88.2 src-address-list=balance_negative /ip firewall nat add action=netmap chain=dstnat dst-address=!192.168.88.2 dst-port=80 protocol=tcp src-address-list=balance_negative to-addresses=192.168.88.2 Изменено 16 января, 2020 пользователем jora_1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 16 января, 2020 · Жалоба Проблема в том, что когда идет такое перенаправление все запросы летят на указанный сервер. Даже если это совершенно не веб запросы. Через веб прокси все не нужное отбрасывается. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Jora_1 Опубликовано 16 января, 2020 · Жалоба @Saab95 ну так для этого и указываем фильтр в виде tcp и 80 порта, что бы не летела всякое. А так летит всё на веб сервер микротик, что грузит его, а уж потом он уже редериктит. Ну всё равно, это всё не решает редирикт https запросов, точней подмены сертификата. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...