MikroTIK + Заглушка

[mr.Dream 164]

Коли відключений юзер за неоплату чи двійки в школі редірекчу на заглушку. Але приходиться плодити віртуальні хости port-based. Чи можливо робити редірект на URL адресу? Щоби тримати "заглушки" в одному каталозі

Повязана така необхідність із звертанням до певних файлів, баз, в одному каталозі.

[YuSHa 59]

долго рылся по этому вопросу.

оказывается ip:port и урл находятся на разных уровнях OSI.

по теме - нет. только редирект на ип:порт

[mr.Dream 164]

долго рылся по этому вопросу.

оказывается ip:port и урл находятся на разных уровнях OSI.

по теме - нет. только редирект на ип:порт

я тільки починаю ритись

намагаюсь стикувати самописний білінг з MT через API

ні то ні, буде пару "вхостів". буду юзати абсолютні шляхи та й все.

[Sandorik 21]

Actiron: redirect to port Включаешь Web proxy, создаеш правило deny и пишеш урл на который отправлять.

[mr.Dream 164]

Actiron: redirect to port Включаешь Web proxy, создаеш правило deny и пишеш урл на который отправлять.

То лі лижі не їдуть... не йде воно не знаю, що не так роблю. Як роблю редірект на 80 - то відкривається сторінка МТ (все як належить), роблю на 81, далі в вебпроксі 81 порт і денай, урл - ніфіга. нічого не відкриваєтся

[Sandorik 21]

А с самого микротика открыто? ведь ты обращаешься от хоста микротика. Порт вэб прокси81 ставиш ?

[mr.Dream 164]

А с самого микротика открыто? ведь ты обращаешься от хоста микротика. Порт вэб прокси81 ставиш ?

що саме має бути відкрито з самого МТ?

наскільки зрозумів, то по такому правилу, якщо звертатись до МТ по 81 порту, має відкритись i.ua? я правильно уловив суть?

зараз через нього сиджу, тобто 80 порт на зовні відкритий.

[mr.Dream 164]

Все, розібрався. Там крім правила ще треба було в настройках самого проксі лістити ті порти))

[mr.Dream 164]

Полтергейст, мля..

- Коли звертатись на 81 порт до МТ, редіректить на УРЛ вказаний в правилі.

- коли пробувати зайти в інет (правило файрвола редіректить на 81 порт) - то фіг там, інтернет є (проксі пропускає, хоч вказано денай.)

[Ромка 567]

попробуй ещё разрешить хождение трафика отключенным юзерам на и от tcp/udp 53 порт

[Ромка 567]

А с самого микротика открыто? ведь ты обращаешься от хоста микротика. Порт вэб прокси81 ставиш ?

що саме має бути відкрито з самого МТ?

наскільки зрозумів, то по такому правилу, якщо звертатись до МТ по 81 порту, має відкритись i.ua? я правильно уловив суть?

зараз через нього сиджу, тобто 80 порт на зовні відкритий.

 

ещё создай немного выше правило i.ua allow

а в правиле что на скриншоте dst port сменить на 80, dst host поставить символ * (звёздочка)

[djomin 10]

ip> web proxy> правило : dst-port 80 local-port 8080 action=deny redirect-to=адрес страницы куда надо.

 

 

/ip firewall filter add chain=forward src-address=адрес-юзера action=drop

 

/ip firewall nat add chain=dstnat src-address=адрес-юзера protocol=tcp dst-port=0-65535 action=redirect to-port=8080

 

адрес юзера можно заменить на адрес-лист.

 

 

add chain=forward src-address=192.168.111.5 action=drop

 

add chain=dstnat src-address=192.168.111.5 protocol=tcp dst-port=0-65535 action=redirect to-port=8080

[flexz 66]

у меня не получилось

[flexz 66]

у меня не получилось

 

 

тупанул всё нормально.

[mr.Dream 164]

dst-port 80 local-port 8080 action=deny redirect-to=адрес страницы куда надо.

о! завтра спробую

[djomin 10]

Уже год как работает.

[YuSHa 59]

а за веб-прокси я как-то и не смекнул

[4art 32]

давно использую заглушку для снятия абонплаты

[mr.Dream 164]

давно использую заглушку для снятия абонплаты

як? типу перейшов по редіректу і цим підтвердив своє бажання користуватись інетом? бо не дуже зрозумів.

в мене використовується лише для блокування за несплату, і з підміну маків-айпі в тупому сегменті але робилось це все не на мікротіку.

[mr.Dream 164]

Питання вирішено і закрито:

1. В файрволі створити правило дст-нат, що переправляє на _порт_

2. Ввімкнути веб-проксі на такому ж _порті_

3. В Access проксі правило, дст-порт=80, обовязково виключити УРЛ зі списку перенаправлення (щоби виключити "вічний цикл"), і екшні заборонити з перенаправленням на УРЛ

_____________

Є в такого методу один нехороший мінус. Браузери з певних міркувань можуть не перенаправляти тупо, тоді юзер нічого не побачить, а можуть (як постив flexz) вимагати підтвердження перенаправлення, що є не зручно. також може бути втрачений УРЛ, коли юзер шось серфив собі на дозвіллі

мабуть буду таки робити редірект без участі урл, а в якості заглушки порт-базед хости )

[imbiter 62]

Знайшов на pcrouter.ru:

Хочу поделиться с вами такой идеей. Вам понадобилось оповестить пользователей сети которые сидят за NATом и ходят через Mikrotik в инет (например: о том что по тех.причинам инет не будет работать, или сообщить новые настройки и тд.и тп.)

 

Как это проделать не имея web сервера и без лишней суеты и наворочек написано тут.

Поумолчанию инет работает не через прокси.

 

1. Включаем Web Proxy без кеша, без ничего просто enabled=yes

 

[admin@MikroTik] ip proxy> set enabled=yes port=8080

 

2. Сбрасываем страницу прокси которую она выдает в браузер во время ошибки. Жмем Y

[admin@MikroTik] ip proxy> reset-html

Current html pages will be lost! Reset anyway? [y/N]

 

3. В WinBox идем в раздел Files - и видем что там появилась папочка webproxy а в этой папке есть файл error.html, вот она та самая страница корорую мы сбрасывали в пункте 2;

 

4.Копируем эту страницу себе на компьютер (методом перетаскивания), а на роутере удаляем error.html, папка webproxy остается пустой. Открываем скопированый error.html обычным блакнотом. Правим его, пишим в нем наше послание

 

пользователям. Можно преукрасить для тех кто знает HTML. Оценили качество работы в своем браузере, открыв страничку. Теперь копируем ее обратно на наш роутер в папку webproxy. Свиду ничего не поменялось, но начинка у error.html уже наша.

 

5. Идем в

[admin@MikroTik] ip firewall nat>

 

и добавляем правило: всех кто идет на 80 порт кидать на прокси порт 8080, кроме тех ip кто находится в ip firewall address-list> под именем "Pro4itali".

 

chain=dstnat action=redirect to-ports=8080 protocol=tcp src-address-list=!"Pro4itali" dst-port=80

 

6.Идем в

[admin@MikroTik] ip firewall filter>

 

и добавляем правило: всех кто идет на 8080 порт добавлять src-address в address-list> под именем "Pro4itali". Я еще добавил timeout=15m - т.е. через 15 мин это ip из address-list удалится.

 

chain=input action=add-src-to-address-list protocol=tcp address-list=Pro4itali address-list-timeout=15m dst-port=8080

 

7.Идем в

[admin@MikroTik] ip proxy access>

 

и добавляем правило которое будет всех отбрасывать - deny. Т.е. прокси никого не пропускает и выдает при этом error.html юзеру в его браузер и он лицезреет наше творение.

 

 

Итого: Юзер пытается зайти на любой сайт, NAT смотрит что его нет в address-list под именем "Pro4itali" и его запрос кидает на прокси, прокси его не пускает и выдает error.html с нашим сообщение. При этом когда NAT перекинул юзера на прокси, сработало правило в filter что юзер пошел на прокси на 8080 порт и добавило его ip в address-list под именем "Pro4itali". Юзер ознакомился. Пытается опять зайти на свою страничку, NAT смотрит что он есть уже в address-list под именем "Pro4itali" пускает его в инет. Юзер щаслив инет опять заработал. Но проходит 15 минту и повторяется все снова (timeout=15m) - это вдруго он забыл, напоминание. Когда все свершилось отключаем все добавленые правила в роутере. И живем дальше

[Schultz 95]

Питаннячко - сама сторінка error.html працює чудово, але не хоче відображати малюнки, файли залиті в ту ж папку на мікротіку, що й хтмл файл - хтось зіштовхувався як то полікувати?, Наперед вдячний.)

 

ЗІ - вирішення проблемки:

 

 

The reason your img-src doesn't work is because webproxy/ is is not accessible via http. When the web-proxy displays an error page, it returns error.html, but any references to files are appended to the page your trying to access.

Ex:
1) Block www.google.com in web-proxy
2) Try to access www.google.com on a client (should get access denied message)

if my error.html says "<img src="webproxy/myimage.jpg" />
it will try to display an image from http://www.google.com/webproxy/myimage.jpg

but, if i use <img src="http://forum.mikrotik.com/styles/subsilver2/imageset/forumlogo4.png" />, it displays an image.

The error.html is only text that get's sent back to your browser, it's not a directory that's accessible via http on the router.

Also, if you want to link against images stored on your router, you'd have to setup a transparent hotspot as it is accessible using http on the router.

Hope this makes sense.

 

тобто в хтмл-коді потрібно явно вказати розміщення картинки на іншому ресурсі) вуаля - і все працює)

Відредаговано 2013-06-12 16:24:52 Schultz

[winbox 15]

Питаннячко - сама сторінка error.html працює чудово, але не хоче відображати малюнки, файли залиті в ту ж папку на мікротіку, що й хтмл файл - хтось зіштовхувався як то полікувати?, Наперед вдячний.)

 

ЗІ - вирішення проблемки:

 

 

The reason your img-src doesn't work is because webproxy/ is is not accessible via http. When the web-proxy displays an error page, it returns error.html, but any references to files are appended to the page your trying to access.

 

Ex:

1) Block www.google.com in web-proxy

2) Try to access www.google.com on a client (should get access denied message)

 

if my error.html says "<img src="webproxy/myimage.jpg" />

it will try to display an image from http://www.google.com/webproxy/myimage.jpg

 

but, if i use <img src="http://forum.mikrotik.com/styles/subsilver2/imageset/forumlogo4.png" />, it displays an image.

 

The error.html is only text that get's sent back to your browser, it's not a directory that's accessible via http on the router.

 

Also, if you want to link against images stored on your router, you'd have to setup a transparent hotspot as it is accessible using http on the router.

 

Hope this makes sense.

 

тобто в хтмл-коді потрібно явно вказати розміщення картинки на іншому ресурсі) вуаля - і все працює)

 

ага, а если закрыто все кроме заглушки, тогда картинок никто не видать...  разве что перед правилом разрешить доступ на адреса с картинками, но это уже не феншуй

[Schultz 95]

протестовано - працює)

[uraso 0]

Значит рисунки   на микротике разместить не удасться..... У меня текстовое оповещение работает уже год.... А вот с рисунком

так и не разобрался.

 

 Если можно расскажите за  отображение изображения чуть подробней.....

Відредаговано 2013-10-02 10:40:40 uraso