Биллинговая система Nodeny
22 Ноября 2024, 17:32:56 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
Новости: Прекращена поддержка версии Nodeny 49
 
   Начало   Помощь Поиск Войти Регистрация  
Страниц: [1]
  Печать  
Автор Тема: accel-ppp заглушка  (Прочитано 7753 раз)
Pa4ka
Старожил
****

Карма: 4
Offline Offline

Сообщений: 281

591884591
Просмотр профиля Email
« : 27 Августа 2016, 13:24:48 »

Приветсвую уважаемые!)
Кто настраивал NAS с accel-ipoe, как реализовали заглушку?
Точнее интересует как сделали перенаправление на сервер с биллингом(заглушкой) через iptables+ipset.
Спасибо!
Записан
fet4
Старожил
****

Карма: 2
Offline Offline

Сообщений: 326


Просмотр профиля Email
« Ответ #1 : 27 Августа 2016, 18:51:07 »

Код:
echo "REDIRECT на заглушку"
$IPT -w -t nat -N redirect
$IPT -w -t nat -A redirect -m set --match-set $nodeny_list src -j RETURN # выводим тех кому разрешен доступ
$IPT -w -t nat -A redirect -m set --match-set $liqpay_list dst -j RETURN
$IPT -w -t nat -A redirect -d $no_redirect_ip,$redirect_ip,$REAL_IP -j RETURN
$IPT -w -t nat -A redirect -p tcp -j DNAT --to-destination $redirect_ip:8080 # порт заглушки
$IPT -w -t nat -A redirect -p udp -j DNAT --to-destination $redirect_ip:8080

$IPT -w -t nat -I PREROUTING -s $clients_ippool -j redirect
Записан
sever
Пользователь
**

Карма: 1
Offline Offline

Сообщений: 82


Просмотр профиля
« Ответ #2 : 12 Декабря 2016, 11:19:38 »

Разрешаем заблокированным клиентам доступ к платёжным шлюзам, приват24 и тп.
Все остальные запросы перекидываем на заглушку.

Код:
$IPT -F
$IPT -F -t nat
$IPT -X

$IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -A INPUT -i lo -j ACCEPT

$IPT -A FORWARD -s 0/0 -d 172.22.0.0/21 -j ACCEPT
$IPT -A FORWARD -d 0/0 -s 172.22.0.0/21 -j ACCEPT

$IPT -t nat -A PREROUTING -p tcp -m set --match-set $ACC_DISABLE src -m set ! --match-set $PAYSYSTEM dst -j DNAT --to-destination $IP_ZAGLUSHKI:8080
$IPT -t nat -A POSTROUTING -m set --match-set $ACC_DISABLE src -m set --match-set $PAYSYSTEM dst -j SNAT --to-source $WAN_IP


Записан
fet4
Старожил
****

Карма: 2
Offline Offline

Сообщений: 326


Просмотр профиля Email
« Ответ #3 : 12 Декабря 2016, 11:48:00 »

И так можно, вообще в iptables можно кучу вариантов придумать, мне нравится строить правила с цепочками откуда выводить не нужное.
Модуль cap не поднимал, т.к. он очень много потребляет ресурсов.
Просто сделал еще один хост на апаче с редиректом.
Код:
<VirtualHost *:8080>

RewriteEngine on
RedirectMatch 302 ^(.*)$ h__ps://*.*.*.*/cgi-bin/cap.pl

</VirtualHost>

А кто как редиректит c https? У одной сетки видел такое. Хотя пишут что невозможно.

Записан
Efendy
Администратор
Спец
*****

Карма: 138
Offline Offline

Сообщений: 4790



Просмотр профиля
« Ответ #4 : 12 Декабря 2016, 13:06:22 »

А кто как редиректит c https? У одной сетки видел такое. Хотя пишут что невозможно.
Ты видел чтоб оно реально работало? Иначе это революция - какой смысл в https? - мы на стороне провайдера перехватываем https к платежным системам, выуживаем cvv и т.д и пиздим бабки. Невозможно это в принципе. Максимум ты пропатчишь браузеры твоих абонентов чтоб они доверяли твоему сертификату)  Ты ж наверняка не раз слышал о проблеме в России - нельзя заблокировать https страницу, приходится блокировать весь сайт
Записан
ser970
NoDeny
Спец
*

Карма: 70
Offline Offline

Сообщений: 1323

262462619
Просмотр профиля Email
« Ответ #5 : 12 Декабря 2016, 18:26:30 »

ну не совсем так...
другое дело законность....
Записан
Efendy
Администратор
Спец
*****

Карма: 138
Offline Offline

Сообщений: 4790



Просмотр профиля
« Ответ #6 : 12 Декабря 2016, 19:13:30 »

ну не совсем так...
другое дело законность....
Ну а как?)
Записан
fet4
Старожил
****

Карма: 2
Offline Offline

Сообщений: 326


Просмотр профиля Email
« Ответ #7 : 12 Декабря 2016, 19:21:06 »

Реально. Один из провайдеров, когда подключаешься к нему по дхцп, редиректит на страницу авторизации с любой страницы на заглушку.
Записан
ser970
NoDeny
Спец
*

Карма: 70
Offline Offline

Сообщений: 1323

262462619
Просмотр профиля Email
« Ответ #8 : 12 Декабря 2016, 19:36:38 »

ну не совсем так...
другое дело законность....
Ну а как?)
вариантов есть куча..
но все они ресурсоемкие....

самый простой подмена ssl и только свой dns....  


p/s по поводу "Ты ж наверняка не раз слышал о проблеме в России "  - ростелеком.

да и наши кое кто не так давно сунул рекламу в https....
Записан
sever
Пользователь
**

Карма: 1
Offline Offline

Сообщений: 82


Просмотр профиля
« Ответ #9 : 12 Декабря 2016, 19:53:51 »

Берешь nginx подсовываешь ему самоподписывающийся сертификат и ключ
Слушаешь 443 порт и редиректишь средствами nginx на 80 порт ну или какой нужен.
Все A DNS записи закрепляешь за своим днс.
В теории работать будет.
Записан
ser970
NoDeny
Спец
*

Карма: 70
Offline Offline

Сообщений: 1323

262462619
Просмотр профиля Email
« Ответ #10 : 12 Декабря 2016, 20:28:15 »

Берешь nginx подсовываешь ему самоподписывающийся сертификат и ключ
Слушаешь 443 порт и редиректишь средствами nginx на 80 порт ну или какой нужен.
Все A DNS записи закрепляешь за своим днс.
В теории работать будет.
ну не все так просто... выскочит рамочка что не заслуживает доверия...
Записан
sever
Пользователь
**

Карма: 1
Offline Offline

Сообщений: 82


Просмотр профиля
« Ответ #11 : 12 Декабря 2016, 20:35:09 »

Берешь nginx подсовываешь ему самоподписывающийся сертификат и ключ
Слушаешь 443 порт и редиректишь средствами nginx на 80 порт ну или какой нужен.
Все A DNS записи закрепляешь за своим днс.
В теории работать будет.
ну не все так просто... выскочит рамочка что не заслуживает доверия...
У заблокированного абонента вариантов не много ))
Через пару страниц всеравно попадет на http с нормальным редиректом.
Записан
Страниц: [1]
  Печать  
 
Перейти в:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.20 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!