jak řešit přesměrování neplatiče při https?

[info@adambalko.cz]

Toho jsem si taky všiml

on franta dnes dal pár příspěvků a všechny v této úrovni.

[zdenek.svarc]

on franta dnes dal pár příspěvků a všechny v této úrovni.

Taky si vysloužil čtrnáctidenní ban za podobné příspěvky v jiném vlákně.

[Majklik]

Teď je otázkou, jak moc současné windows rozumí dnssec (nezkoumal jsem) a zda by to přesměrování DNSky na nevalidující server leccos neřešilo.

Windows od dob Vista obsahují DNSSEC aware forwardující resolver, ale ten je v základu vypnutý. Po zapnutí tak potřebuje spolupráci s nějakým rekurzivním validátorem (což obvykle má dělat doménový řadič). Takže odsud problém nehrozí, pokud uživatel není cvok a neprovozuje router, co obsahuje validující resolver (WRT, Turris, ...).
Jinak DNS možno prznit i na validujícím resolveru, třeba bind má na to volbu response-policy { ... } break-dnssec yes; (asi budeme brzy potřebovat na uspokojení loterijního zákona). Ale stále bych raději to DSTNATnul, než čaroval s DNS. To jen v případě, že mám takové magory, co používají DNS IP tunneling a fungující DNS odpovědi resolvované venku jim sta´čí k protunelování IP provozu (pomalé, ale funkční při spolupráci se správným DNS serverem venku).

[rouchi]

Lidi nevim jak vy, ale já mám pravidlo udělané následovně:
v Adress listu mám vytvořenou skupinu "Blokovane IP", když chci někoho blokovat přidám tam jenom IP toho klienta...
následně v NAT pravidlech je jako první pravidlo dst-nat, protokol tcp, Any port 80 (druhé pravidlo může být se 443) -> potom v advance v Src Address List vyberu "Blokovane IP" a jako action dst-nat To Addresses "IP WEB serveru s blokační strankou..."

no a neřikam, že to funguje kdykoli na cokoliv, ale každopádně když napíšu do prohlížeče google.com -> Enter nebo seznam.cz-> enter, tak me to na náš web normálně přesměruje a myslím, že to stačí...

[zubodravec]

To by mohlo byt reseni ?
Misto presmerovani /uneseni spojeni poslat zakaznika do NATu a pak mu podstrcit nejaky dashboard/login/dluh-text , tedy "sekundarni" autorizaci si ma zakaznikovi vynutit?

Lidi nevim jak vy, ale já mám pravidlo udělané následovně:
v Adress listu mám vytvořenou skupinu "Blokovane IP", když chci někoho blokovat přidám tam jenom IP toho klienta...
následně v NAT pravidlech je jako první pravidlo dst-nat, protokol tcp, Any port 80 (druhé pravidlo může být se 443) -> potom v advance v Src Address List vyberu "Blokovane IP" a jako action dst-nat To Addresses "IP WEB serveru s blokační strankou..."

no a neřikam, že to funguje kdykoli na cokoliv, ale každopádně když napíšu do prohlížeče google.com -> Enter nebo seznam.cz-> enter, tak me to na náš web normálně přesměruje a myslím, že to stačí...

[hapi]

všechno má svoje mouchy.
Podstrčení DNSka funguje, bohužel se nedá řídit a dost windowsů si pamatuje to DNSko i po časovym limitu a pak je sranda to rozchodit zpět resp. aby to wokna zapoměly a natahnuli si novej záznam. A to vůbec nemluvim o DNS cache samotnýho prohlížeče. Je pak pěkná zábava se toho zbavit. A to třeba vůbec nemluvim o tom že se musí do DNS serveru nějak zapsat že tahle ip dostane tenhle záznam a ostatní jiný jako že třeba mk dns tohle neumí i když by šlo forwardovat dns dotazy neplatičů na jinej dns server s pozměnými záznami.
Ono i ten forward 80 a 443 delá prakticky to samí. Když se neukáže problém s certifikátem tak si to prohlížeč zapamatuje a je to čistě náhodný u náhodných lidí. Občas se nám prostě nepovedlo toho zbavit a seznam.cz ukazoval týden stále naší stránku. Jednou to došlo tak daleko že jsme museli zákazníkovy nainstalovat jinej prohlížeč.
Osobně si myslim že nejlepší je přesměrovat 80 port a poslat zákazníkovy smsku případně si udělat system kterej upozorní zákazníka několikrát před vypnutím smskou nebo mailem a neřešit přesměrovávací skopičiny.

[rouchi]

To je sice pravda, ale nám teda vždycky pomohlo minimálně to, když jsme restartovlai PCčko, případně smazali historii a chodilo to pak těm lidem OK...

[pedro4444]

všechno má svoje mouchy.
Podstrčení DNSka funguje, bohužel se nedá řídit a dost windowsů si pamatuje to DNSko i po časovym limitu a pak je sranda to rozchodit zpět resp. aby to wokna zapoměly a natahnuli si novej záznam. A to vůbec nemluvim o DNS cache samotnýho prohlížeče. Je pak pěkná zábava se toho zbavit. A to třeba vůbec nemluvim o tom že se musí do DNS serveru nějak zapsat že tahle ip dostane tenhle záznam a ostatní jiný jako že třeba mk dns tohle neumí i když by šlo forwardovat dns dotazy neplatičů na jinej dns server s pozměnými záznami.
Ono i ten forward 80 a 443 delá prakticky to samí. Když se neukáže problém s certifikátem tak si to prohlížeč zapamatuje a je to čistě náhodný u náhodných lidí. Občas se nám prostě nepovedlo toho zbavit a seznam.cz ukazoval týden stále naší stránku. Jednou to došlo tak daleko že jsme museli zákazníkovy nainstalovat jinej prohlížeč.
Osobně si myslim že nejlepší je přesměrovat 80 port a poslat zákazníkovy smsku případně si udělat system kterej upozorní zákazníka několikrát před vypnutím smskou nebo mailem a neřešit přesměrovávací skopičiny.

tiez som za dvojte upozornenie ale rozhodujem sa ci staci len emailom alebo ist do tych sms. Co pouzivate? email este vsetci necitaju ale zas email je bez financii...

[mpcz]

Zdravím,
používám také systém přesměrování na upozorňovací stránku. Není to sice technicky stoprocentní, ale účinek stoprocentní je. Účetní systém odesílá v první fázi emaily (ty jsou jak píšeš zdarma) pak SMS. Email i SMS je s doručenkou, email navíc s přečtenkou. To je velmi důležité, někteří se rádi vymlouvají, že nic nedostali, takže následný email jde i s doručenkou předchozího. Efekt je kladný.
Co se týká platby za SMS. Jsem jen drobný provider a i tak si nedovedu představit, že bych NEměl neomezený tarif. Takže cena SMS je nula (v telefonu). PC odesílá SMS přes na stole položený telefon. Navíc, lidí, kteří nereagují na emaily je tak málo, že by ani těch pár SMS zpoplatněných nestálo za řeč.
mpcz, 13.mar.2017