Перейти до

Перенаправление отключенных в Mikrotik на страницу-заглушку


Рекомендованные сообщения

/ip firewall nat

add action=redirect chain=dstnat dst-address=!192.168.0.0/16 dst-port=80 protocol=tcp \

src-address-list=balance_negative to-ports=8123

/ip proxy

set enabled=yes port=8123

 

Таки правила работают но почему то с задержкой 1-2 мин у клиента. Браузер у клиента крутит 1-2 мин потом редиректит на страницу заглушку в прокси.

В чем причина задержки?

Также не работает с портом 443, когда клиент идет по https. Как решить?

Ссылка на сообщение
Поделиться на других сайтах
5 часов назад, vit75 сказал:

/ip firewall nat

add action=redirect chain=dstnat dst-address=!192.168.0.0/16 dst-port=80 protocol=tcp \

src-address-list=balance_negative to-ports=8123

/ip proxy

set enabled=yes port=8123

 

Таки правила работают но почему то с задержкой 1-2 мин у клиента. Браузер у клиента крутит 1-2 мин потом редиректит на страницу заглушку в прокси.

В чем причина задержки?

Также не работает с портом 443, когда клиент идет по https. Как решить?

/ib/mikrotik_2021.03.04.gif

У вас абоненты отключается по нат-у? 

Ссылка на сообщение
Поделиться на других сайтах
3 часа назад, Kiano сказал:

с https никак, только через задницу с генерацией сертификата и подстановкой

 

Сертификата будет мало... еще потребуется перехватить DNS-запросы клиента и перекинуть на свой "правильный" DNS.

 

С юридической точки зрения, DNS-спуфинг, к которому прибегает тот же Киевстар и другие провайдеры, подпадает под ст. 361 ККУ. Но мы живем в Украине )))

Ссылка на сообщение
Поделиться на других сайтах
26 minutes ago, DVSGROUP said:

С юридической точки зрения, DNS-спуфинг, к которому прибегает тот же Киевстар и другие провайдеры, подпадает под ст. 361 ККУ. Но мы живем в Украине )))

 

С юридической точки зрения и блокировать (цензура) тоже незаконно, но это мало кого волнует. Украина, сэр! :)

Ссылка на сообщение
Поделиться на других сайтах
1 час назад, DVSGROUP сказал:

 

Сертификата будет мало... еще потребуется перехватить DNS-запросы клиента и перекинуть на свой "правильный" DNS.

 

С юридической точки зрения, DNS-спуфинг, к которому прибегает тот же Киевстар и другие провайдеры, подпадает под ст. 361 ККУ. Но мы живем в Украине )))

днсы - да, всё верно.

это возможно лишь если не используется DoH и ему подобное

Ссылка на сообщение
Поделиться на других сайтах
9 часов назад, DVSGROUP сказал:

Сертификата будет мало... еще потребуется перехватить DNS-запросы клиента и перекинуть на свой "правильный" DNS.

Зачем это делать если можно просто на уровне пакета поменять дст-адрес??

 

7 часов назад, Kiano сказал:

это возможно лишь если не используется DoH и ему подобное

Хм, так если уже свой сертификат прикручен то разве не получится ответить своим фейковым Днс? 

Ссылка на сообщение
Поделиться на других сайтах
2 часа назад, tkapluk сказал:

Зачем это делать если можно просто на уровне пакета поменять дст-адрес??

 

В масштабах провайдера это отнимет немало вычислительных ресурсов железа.

 

2 часа назад, tkapluk сказал:

Хм, так если уже свой сертификат прикручен то разве не получится ответить своим фейковым Днс?

 

Пользователь может использовать свои DNS (1.1.1.1, 8.8.8.8), а не провайдерские - тогда работать не будет.

 

Например, Куклостар использует разные DNS - если оплачена услуга - нормальные; если не оплачена - используется DNS, который все запросы пересылает на заглушку.

Ссылка на сообщение
Поделиться на других сайтах
5 часов назад, DVSGROUP сказал:

Например, Куклостар использует разные DNS - если оплачена услуга - нормальные; если не оплачена - используется DNS, который все запросы пересылает на заглушку.

Есть пример (адрес) таких ДНС?

Ссылка на сообщение
Поделиться на других сайтах
В 03.05.2021 в 09:53, DVSGROUP сказал:

В масштабах провайдера это отнимет немало вычислительных ресурсов железа.

Обычное правило нат, который и так абсолютное большинство используют... да и трафика станет существенно меньше. 

 

В 03.05.2021 в 09:53, DVSGROUP сказал:

Пользователь может использовать свои DNS (1.1.1.1, 8.8.8.8), а не провайдерские - тогда работать не будет.

Опять таки звернуть весь трафик на 53 порт на свой днс сервер. 

Но вопрос был в другом... Если используется DoH то получится ли с помощью кастомного сертификата обмануть приложение и отправить валидный ответ со своего сервера? 

 

Ссылка на сообщение
Поделиться на других сайтах
В 03.05.2021 в 15:10, vit75 сказал:

Есть пример (адрес) таких ДНС?

не платите за услугу - увидите DNS IP )))

 

11 часов назад, tkapluk сказал:

Опять таки звернуть весь трафик на 53 порт на свой днс сервер. 

 

1) при желании абонента - уголовно наказуемо

2) в случае отказа вашего DNS или любых атак - сляжет вся сеть

 

Как обмануть современный браузер, если он использует обновляемую базу корневиков?

 

В случае с DoH, хз .... нужен сертификат, выданный корневым центром сертификации.

 

Ссылка на сообщение
Поделиться на других сайтах
12 часов назад, DVSGROUP сказал:

1) при желании абонента - уголовно наказуемо

Есть хоть один прецедент? Сомневаюсь, что удастся натянуть сюда хоть какую небудь статью. 

12 часов назад, DVSGROUP сказал:

2) в случае отказа вашего DNS или любых атак - сляжет вся сеть

Сляжет вся сеть для неплательщиков? Да и х... с ним ) 

Відредаговано tkapluk
Ссылка на сообщение
Поделиться на других сайтах
  • 3 weeks later...

Попробовал на не большой сети с микротиком.

1. на микротике поднял свой ДНС, который всем хостам присваивает ір 1.2.3.4

2. на 1.2.3.4 свой веб сервер с http и https на 80 и 443 с заглушкой

3. файрвол перенаправляет днс (53) трафик должников на днс микротика

 

В результате http запросы работают, https плюются.

 

Но как такой прикол работает в Киевстара?

 

Ссылка на сообщение
Поделиться на других сайтах

там DPI стоит, который может глянуть и подменить серт при надобности, там даже можно вставлять фреймы с рекламой...

Но там идет довольно жирная борьба, со всякими плюшками в виде encryp SNI, DoH/DoT

Відредаговано Dimkers
Ссылка на сообщение
Поделиться на других сайтах
В 04.05.2021 в 10:44, tkapluk сказал:

Если используется DoH то получится ли с помощью кастомного сертификата обмануть приложение и отправить валидный ответ со своего сервера? 

нет, браузер проверит валидность серта и сервера. А как ты собрался снифать зпросы внутри TLS сессии?

Відредаговано Dimkers
Ссылка на сообщение
Поделиться на других сайтах
29 минут назад, Dimkers сказал:

нет, браузер проверит валидность серта и сервера. А как ты собрался снифать зпросы внутри TLS сессии?

Так в том и вопрос, можно ли DoH точно также обмануть с помощью прокси + подмена сертификата. 

Ссылка на сообщение
Поделиться на других сайтах
1 минуту назад, tkapluk сказал:

Так в том и вопрос, можно ли DoH точно также обмануть с помощью прокси + подмена сертификата. 

нет

  • Like 1
  • Thanks 1
Ссылка на сообщение
Поделиться на других сайтах

Вы хотите осуществить, по сути, классическую MitM атаку

Современные браузеры/приложения максимально возможно стараются этого избежать.

Сделайте уведомление по смс или телеге - это у будет Вам решение.

Ссылка на сообщение
Поделиться на других сайтах
2 часа назад, Kiano сказал:

Сделайте уведомление по смс или телеге - это у будет Вам решение.

Очень мало людей у нас юзают телегу.

Не понимаю, откуда к ней такое настороженное отношение.

Зато еб...чий вайбер, который глючит и жрет кучу памяти - у каждой бабки и деда есть.

Ссылка на сообщение
Поделиться на других сайтах
7 часов назад, Dimkers сказал:

Но там идет довольно жирная борьба, со всякими плюшками в виде encryp SNI, DoH/DoT

DoH на КС ДИ к слову работает через раз...

Ссылка на сообщение
Поделиться на других сайтах
1 hour ago, Туйон said:

Очень мало людей у нас юзают телегу.

Не понимаю, откуда к ней такое настороженное отношение.

Зато еб...чий вайбер, который глючит и жрет кучу памяти - у каждой бабки и деда есть.

 

Посылайте в вайбер. :)

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від GekaPeka
      mikrotik RB 40111GS+RM новый, 7500 грн.
    • Від DjBodya
      Вітаю.
      Одразу попереджу, що з мікротіками не новачок. Знаю, як з ними поводитись і налаштовувати.
      Купив собі це диво. І не можу налаштувати. 
      Скидаю в нуль, або просто включаю, без різниці. Буває вдається навіть підключитися по winbox. Потім вилітає в помилку.
      Зазвичай одразу System LED переходить в режим блимаючого червоного і все. 
      DHCP не роздає. По МАС підключитися не вдається.
    • Від Туйон
      Отличие от обычной SXT5 - гигабитный порт и лицензия 4 уровня (может быть не только бриджом а и точкой доступа).
      Старенькая, АС-стандарт не поддерживает.
      В своё время мегабит 160+ вроде качала.
      Где-то возможно в том же гараже есть вторая такая же, если надо - могу поискать.
      Внешнее состояние нормальное. Чуть пожелтела но трещин и т д нету.
      В комплекте сама точка и хвостик крепления (вставлятся в саму антенну).
      РОЕ где-то в работе до сих пор, но подойдут любые.
      Цена.. пусть для начала будет 1000 грн.
      Проверена в комнате "на коленке", дам время на полноценную поверку, а то мало ли (года два лежала отдыхала).
      Желающие пишите в ЛС.
       
      https://www.technotrade.com.ua/Products/MikroTik_SXT_G_5HnD.php
    • Від independent
      Mikrotik rb4011igs+5hacq-2hnd-in
      Б/в.
      Ціна 5075 грн
       
      https://www.olx.ua/d/uk/obyavlenie/mikrotik-rb4011igs-5hacq2hnd-in-IDWH6Lo.html
    • Від independent
      Mikrotik rb4011igs+5hacq-2hnd-in б/в.
      Продається в результаті великого енергоспоживання від дбж.
       
      Ціна 6100 грн
       
      https://www.olx.ua/d/uk/obyavlenie/mikrotik-rb4011igs-5hacq2hnd-in-IDWH6Lo.html
×
×
  • Створити нове...