accel-ppp заглушка

[Pa4ka]

Приветсвую уважаемые!)
Кто настраивал NAS с accel-ipoe, как реализовали заглушку?
Точнее интересует как сделали перенаправление на сервер с биллингом(заглушкой) через iptables+ipset.
Спасибо!

[fet4]

Код:

echo "REDIRECT на заглушку"
$IPT -w -t nat -N redirect
$IPT -w -t nat -A redirect -m set --match-set $nodeny_list src -j RETURN # выводим тех кому разрешен доступ 
$IPT -w -t nat -A redirect -m set --match-set $liqpay_list dst -j RETURN
$IPT -w -t nat -A redirect -d $no_redirect_ip,$redirect_ip,$REAL_IP -j RETURN
$IPT -w -t nat -A redirect -p tcp -j DNAT --to-destination $redirect_ip:8080 # порт заглушки
$IPT -w -t nat -A redirect -p udp -j DNAT --to-destination $redirect_ip:8080

$IPT -w -t nat -I PREROUTING -s $clients_ippool -j redirect

[sever]

Разрешаем заблокированным клиентам доступ к платёжным шлюзам, приват24 и тп.
Все остальные запросы перекидываем на заглушку.

Код:

$IPT -F
$IPT -F -t nat
$IPT -X

$IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -A INPUT -i lo -j ACCEPT

$IPT -A FORWARD -s 0/0 -d 172.22.0.0/21 -j ACCEPT
$IPT -A FORWARD -d 0/0 -s 172.22.0.0/21 -j ACCEPT

$IPT -t nat -A PREROUTING -p tcp -m set --match-set $ACC_DISABLE src -m set ! --match-set $PAYSYSTEM dst -j DNAT --to-destination $IP_ZAGLUSHKI:8080
$IPT -t nat -A POSTROUTING -m set --match-set $ACC_DISABLE src -m set --match-set $PAYSYSTEM dst -j SNAT --to-source $WAN_IP

[fet4]

И так можно, вообще в iptables можно кучу вариантов придумать, мне нравится строить правила с цепочками откуда выводить не нужное.
Модуль cap не поднимал, т.к. он очень много потребляет ресурсов.
Просто сделал еще один хост на апаче с редиректом.

Код:

<VirtualHost *:8080>

RewriteEngine on
RedirectMatch 302 ^(.*)$ h__ps://*.*.*.*/cgi-bin/cap.pl

</VirtualHost>

А кто как редиректит c https? У одной сетки видел такое. Хотя пишут что невозможно.

[Efendy]

А кто как редиректит c https? У одной сетки видел такое. Хотя пишут что невозможно.

Ты видел чтоб оно реально работало? Иначе это революция - какой смысл в https? - мы на стороне провайдера перехватываем https к платежным системам, выуживаем cvv и т.д и пиздим бабки. Невозможно это в принципе. Максимум ты пропатчишь браузеры твоих абонентов чтоб они доверяли твоему сертификату)  Ты ж наверняка не раз слышал о проблеме в России - нельзя заблокировать https страницу, приходится блокировать весь сайт

[ser970]

ну не совсем так...
другое дело законность....

[Efendy]

ну не совсем так...
другое дело законность....

Ну а как?)

[fet4]

Реально. Один из провайдеров, когда подключаешься к нему по дхцп, редиректит на страницу авторизации с любой страницы на заглушку.

[ser970]

ну не совсем так...
другое дело законность....

Ну а как?)

вариантов есть куча..
но все они ресурсоемкие....

самый простой подмена ssl и только свой dns....  


p/s по поводу "Ты ж наверняка не раз слышал о проблеме в России "  - ростелеком.

да и наши кое кто не так давно сунул рекламу в https....

[sever]

Берешь nginx подсовываешь ему самоподписывающийся сертификат и ключ
Слушаешь 443 порт и редиректишь средствами nginx на 80 порт ну или какой нужен.
Все A DNS записи закрепляешь за своим днс.
В теории работать будет.

[ser970]

Берешь nginx подсовываешь ему самоподписывающийся сертификат и ключ
Слушаешь 443 порт и редиректишь средствами nginx на 80 порт ну или какой нужен.
Все A DNS записи закрепляешь за своим днс.
В теории работать будет.

ну не все так просто... выскочит рамочка что не заслуживает доверия...

[sever]

Берешь nginx подсовываешь ему самоподписывающийся сертификат и ключ
Слушаешь 443 порт и редиректишь средствами nginx на 80 порт ну или какой нужен.
Все A DNS записи закрепляешь за своим днс.
В теории работать будет.

ну не все так просто... выскочит рамочка что не заслуживает доверия...

У заблокированного абонента вариантов не много ))
Через пару страниц всеравно попадет на http с нормальным редиректом.