Перейти до

Перенаправление отключенных в Mikrotik на страницу-заглушку


Рекомендованные сообщения

/ip firewall nat

add action=redirect chain=dstnat dst-address=!192.168.0.0/16 dst-port=80 protocol=tcp \

src-address-list=balance_negative to-ports=8123

/ip proxy

set enabled=yes port=8123

 

Таки правила работают но почему то с задержкой 1-2 мин у клиента. Браузер у клиента крутит 1-2 мин потом редиректит на страницу заглушку в прокси.

В чем причина задержки?

Также не работает с портом 443, когда клиент идет по https. Как решить?

Ссылка на сообщение
Поделиться на других сайтах
5 часов назад, vit75 сказал:

/ip firewall nat

add action=redirect chain=dstnat dst-address=!192.168.0.0/16 dst-port=80 protocol=tcp \

src-address-list=balance_negative to-ports=8123

/ip proxy

set enabled=yes port=8123

 

Таки правила работают но почему то с задержкой 1-2 мин у клиента. Браузер у клиента крутит 1-2 мин потом редиректит на страницу заглушку в прокси.

В чем причина задержки?

Также не работает с портом 443, когда клиент идет по https. Как решить?

/ib/mikrotik_2021.03.04.gif

У вас абоненты отключается по нат-у? 

Ссылка на сообщение
Поделиться на других сайтах
3 часа назад, Kiano сказал:

с https никак, только через задницу с генерацией сертификата и подстановкой

 

Сертификата будет мало... еще потребуется перехватить DNS-запросы клиента и перекинуть на свой "правильный" DNS.

 

С юридической точки зрения, DNS-спуфинг, к которому прибегает тот же Киевстар и другие провайдеры, подпадает под ст. 361 ККУ. Но мы живем в Украине )))

Ссылка на сообщение
Поделиться на других сайтах
26 minutes ago, DVSGROUP said:

С юридической точки зрения, DNS-спуфинг, к которому прибегает тот же Киевстар и другие провайдеры, подпадает под ст. 361 ККУ. Но мы живем в Украине )))

 

С юридической точки зрения и блокировать (цензура) тоже незаконно, но это мало кого волнует. Украина, сэр! :)

Ссылка на сообщение
Поделиться на других сайтах
1 час назад, DVSGROUP сказал:

 

Сертификата будет мало... еще потребуется перехватить DNS-запросы клиента и перекинуть на свой "правильный" DNS.

 

С юридической точки зрения, DNS-спуфинг, к которому прибегает тот же Киевстар и другие провайдеры, подпадает под ст. 361 ККУ. Но мы живем в Украине )))

днсы - да, всё верно.

это возможно лишь если не используется DoH и ему подобное

Ссылка на сообщение
Поделиться на других сайтах
9 часов назад, DVSGROUP сказал:

Сертификата будет мало... еще потребуется перехватить DNS-запросы клиента и перекинуть на свой "правильный" DNS.

Зачем это делать если можно просто на уровне пакета поменять дст-адрес??

 

7 часов назад, Kiano сказал:

это возможно лишь если не используется DoH и ему подобное

Хм, так если уже свой сертификат прикручен то разве не получится ответить своим фейковым Днс? 

Ссылка на сообщение
Поделиться на других сайтах
2 часа назад, tkapluk сказал:

Зачем это делать если можно просто на уровне пакета поменять дст-адрес??

 

В масштабах провайдера это отнимет немало вычислительных ресурсов железа.

 

2 часа назад, tkapluk сказал:

Хм, так если уже свой сертификат прикручен то разве не получится ответить своим фейковым Днс?

 

Пользователь может использовать свои DNS (1.1.1.1, 8.8.8.8), а не провайдерские - тогда работать не будет.

 

Например, Куклостар использует разные DNS - если оплачена услуга - нормальные; если не оплачена - используется DNS, который все запросы пересылает на заглушку.

Ссылка на сообщение
Поделиться на других сайтах
5 часов назад, DVSGROUP сказал:

Например, Куклостар использует разные DNS - если оплачена услуга - нормальные; если не оплачена - используется DNS, который все запросы пересылает на заглушку.

Есть пример (адрес) таких ДНС?

Ссылка на сообщение
Поделиться на других сайтах
В 03.05.2021 в 09:53, DVSGROUP сказал:

В масштабах провайдера это отнимет немало вычислительных ресурсов железа.

Обычное правило нат, который и так абсолютное большинство используют... да и трафика станет существенно меньше. 

 

В 03.05.2021 в 09:53, DVSGROUP сказал:

Пользователь может использовать свои DNS (1.1.1.1, 8.8.8.8), а не провайдерские - тогда работать не будет.

Опять таки звернуть весь трафик на 53 порт на свой днс сервер. 

Но вопрос был в другом... Если используется DoH то получится ли с помощью кастомного сертификата обмануть приложение и отправить валидный ответ со своего сервера? 

 

Ссылка на сообщение
Поделиться на других сайтах
В 03.05.2021 в 15:10, vit75 сказал:

Есть пример (адрес) таких ДНС?

не платите за услугу - увидите DNS IP )))

 

11 часов назад, tkapluk сказал:

Опять таки звернуть весь трафик на 53 порт на свой днс сервер. 

 

1) при желании абонента - уголовно наказуемо

2) в случае отказа вашего DNS или любых атак - сляжет вся сеть

 

Как обмануть современный браузер, если он использует обновляемую базу корневиков?

 

В случае с DoH, хз .... нужен сертификат, выданный корневым центром сертификации.

 

Ссылка на сообщение
Поделиться на других сайтах
12 часов назад, DVSGROUP сказал:

1) при желании абонента - уголовно наказуемо

Есть хоть один прецедент? Сомневаюсь, что удастся натянуть сюда хоть какую небудь статью. 

12 часов назад, DVSGROUP сказал:

2) в случае отказа вашего DNS или любых атак - сляжет вся сеть

Сляжет вся сеть для неплательщиков? Да и х... с ним ) 

Відредаговано tkapluk
Ссылка на сообщение
Поделиться на других сайтах
  • 3 weeks later...

Попробовал на не большой сети с микротиком.

1. на микротике поднял свой ДНС, который всем хостам присваивает ір 1.2.3.4

2. на 1.2.3.4 свой веб сервер с http и https на 80 и 443 с заглушкой

3. файрвол перенаправляет днс (53) трафик должников на днс микротика

 

В результате http запросы работают, https плюются.

 

Но как такой прикол работает в Киевстара?

 

Ссылка на сообщение
Поделиться на других сайтах

там DPI стоит, который может глянуть и подменить серт при надобности, там даже можно вставлять фреймы с рекламой...

Но там идет довольно жирная борьба, со всякими плюшками в виде encryp SNI, DoH/DoT

Відредаговано Dimkers
Ссылка на сообщение
Поделиться на других сайтах
В 04.05.2021 в 10:44, tkapluk сказал:

Если используется DoH то получится ли с помощью кастомного сертификата обмануть приложение и отправить валидный ответ со своего сервера? 

нет, браузер проверит валидность серта и сервера. А как ты собрался снифать зпросы внутри TLS сессии?

Відредаговано Dimkers
Ссылка на сообщение
Поделиться на других сайтах
29 минут назад, Dimkers сказал:

нет, браузер проверит валидность серта и сервера. А как ты собрался снифать зпросы внутри TLS сессии?

Так в том и вопрос, можно ли DoH точно также обмануть с помощью прокси + подмена сертификата. 

Ссылка на сообщение
Поделиться на других сайтах
1 минуту назад, tkapluk сказал:

Так в том и вопрос, можно ли DoH точно также обмануть с помощью прокси + подмена сертификата. 

нет

  • Like 1
  • Thanks 1
Ссылка на сообщение
Поделиться на других сайтах

Вы хотите осуществить, по сути, классическую MitM атаку

Современные браузеры/приложения максимально возможно стараются этого избежать.

Сделайте уведомление по смс или телеге - это у будет Вам решение.

Ссылка на сообщение
Поделиться на других сайтах
2 часа назад, Kiano сказал:

Сделайте уведомление по смс или телеге - это у будет Вам решение.

Очень мало людей у нас юзают телегу.

Не понимаю, откуда к ней такое настороженное отношение.

Зато еб...чий вайбер, который глючит и жрет кучу памяти - у каждой бабки и деда есть.

Ссылка на сообщение
Поделиться на других сайтах
7 часов назад, Dimkers сказал:

Но там идет довольно жирная борьба, со всякими плюшками в виде encryp SNI, DoH/DoT

DoH на КС ДИ к слову работает через раз...

Ссылка на сообщение
Поделиться на других сайтах
1 hour ago, Туйон said:

Очень мало людей у нас юзают телегу.

Не понимаю, откуда к ней такое настороженное отношение.

Зато еб...чий вайбер, который глючит и жрет кучу памяти - у каждой бабки и деда есть.

 

Посылайте в вайбер. :)

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

×
×
  • Створити нове...