Zkoušel jsem najít optimalní řešení přesměrovaní neplatičů. Cílem bylo přesměrovat komunikaci na www stranku kromě pošty 110.25. Udělal jsem to takto. Přes DNAT přesměrovat na klasický webový server. Problémem byla evidence (tabulka,seznam) IP neplatičů. tak jsem si udělal Adress list s nazvem blokovane_IP např. pro adresu 10.0.0.4
/ ip firewall address-list
add list=blokovane_IP address=10.0.0.4 comment="" disabled=no
do
/ ip firewall nat
add chain=dstnat src-address=0.0.0.0/0 protocol=tcp dst-port=25 src-address-list=blokovane_IP action=accept comment="presmeruj blokovane \
IP a povol postu" disabled=no
add chain=dstnat src-address=0.0.0.0/0 protocol=tcp dst-port=110 src-address-list=blokovane_IP action=accept comment="" disabled=no
add chain=dstnat src-address=0.0.0.0/0 src-address-list=blokovane_IP action=dst-nat to-addresses=10.0.0.1 to-ports=88 comment="" \
disabled=no
na adrese 10.0.0.1:88 je apache virtual hosts čili nějaká stránka
pokud přidáte do ip firewall address-list jakoukoli IP s list=blokovane_IP bude tato IP automaticky směrována na váš www. Pošta bude fungovat bez omezení.
Dovedu si představit i nějaký scriptík který bude do address list přidávat neplatiče automaticky.
Pro verzi 2.9
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Přesměrování neplatičů
ahoj,muzes sem pastnout export tveho firewalu.Mozna by stalo za doplneni,jak a kam zapsat skupinu address-list atd.
pepop píše:Zkoušel jsem najít optimalní řešení přesměrovaní neplatičů. Cílem bylo přesměrovat komunikaci na www stranku kromě pošty 110.25. Udělal jsem to takto. Přes DNAT přesměrovat na klasický webový server. Problémem byla evidence (tabulka,seznam) IP neplatičů. tak jsem si udělal Adress list s nazvem blokovane_IP např. pro adresu 10.0.0.4
/ ip firewall address-list
add list=blokovane_IP address=10.0.0.4 comment="" disabled=no
do
/ ip firewall nat
add chain=dstnat src-address=0.0.0.0/0 protocol=tcp dst-port=25 src-address-list=blokovane_IP action=accept comment="presmeruj blokovane \
IP a povol postu" disabled=no
add chain=dstnat src-address=0.0.0.0/0 protocol=tcp dst-port=110 src-address-list=blokovane_IP action=accept comment="" disabled=no
add chain=dstnat src-address=0.0.0.0/0 src-address-list=blokovane_IP action=dst-nat to-addresses=10.0.0.1 to-ports=88 comment="" \
disabled=no
na adrese 10.0.0.1:88 je apache virtual hosts čili nějaká stránka
pokud přidáte do ip firewall address-list jakoukoli IP s list=blokovane_IP bude tato IP automaticky směrována na váš www. Pošta bude fungovat bez omezení.
Dovedu si představit i nějaký scriptík který bude do address list přidávat neplatiče automaticky.
Pro verzi 2.9
0 x
djdodo píše:ahoj,muzes sem pastnout export tveho firewalu.Mozna by stalo za doplneni,jak a kam zapsat skupinu address-list atd.pepop píše:Zkoušel jsem najít optimalní řešení přesměrovaní neplatičů. Cílem bylo přesměrovat komunikaci na www stranku kromě pošty 110.25. Udělal jsem to takto. Přes DNAT přesměrovat na klasický webový server. Problémem byla evidence (tabulka,seznam) IP neplatičů. tak jsem si udělal Adress list s nazvem blokovane_IP např. pro adresu 10.0.0.4
/ ip firewall address-list
add list=blokovane_IP address=10.0.0.4 comment="" disabled=no
do
/ ip firewall nat
add chain=dstnat src-address=0.0.0.0/0 protocol=tcp dst-port=25 src-address-list=blokovane_IP action=accept comment="presmeruj blokovane \
IP a povol postu" disabled=no
add chain=dstnat src-address=0.0.0.0/0 protocol=tcp dst-port=110 src-address-list=blokovane_IP action=accept comment="" disabled=no
add chain=dstnat src-address=0.0.0.0/0 src-address-list=blokovane_IP action=dst-nat to-addresses=10.0.0.1 to-ports=88 comment="" \
disabled=no
na adrese 10.0.0.1:88 je apache virtual hosts čili nějaká stránka
pokud přidáte do ip firewall address-list jakoukoli IP s list=blokovane_IP bude tato IP automaticky směrována na váš www. Pošta bude fungovat bez omezení.
Dovedu si představit i nějaký scriptík který bude do address list přidávat neplatiče automaticky.
Pro verzi 2.9
Ten výpis tam už je. Je to vše co je k tomu zapotřebí. Psal jsem to v 2.9.x Myslím, ze verze 2.8 addres-list vůbec nema firewall ->address-list
0 x
pepop
-
Dušan Vlček
Dušan Vlček píše:2.8 nema podporu address listu, pouze 2.9, ty se daji pouzit v celem firewallu. Bohuzel, 2.9 uz nelze pouzit jako 2.8, kde bylo mozne pouzit hotspot jako jednoduchou web stranku. V kazdem pripade staci jedno pravidlo do firewallu a veskere IP adresy vypinat a zapinat v address listu.
zdravim nemohl byste mi nadjodit jak v 2.8 spustit hotspot jako www stranku kam budou presmerovány neplatiči nejaks e mi to nedaří pomoci redirect je presmerovavám ale nějak mi nefunguje hotspot takže pokud na někoho toto pravidlo upltním mk se ho snaží na stránku hotspotu přesměrovat ale nakonec to s končí tím že stránka neexistuje
Díky
0 x
-
Dušan Vlček
Ve 2.8 si staci hotspot nainstalovat a pres scp (ftp) nahrat do prislusnych adresaru vasi stranku (defaultne se zobrazuje login.html, takze ho staci nahradit vasi strankou). Pak musite hotspot pustit na portu 80, www samozrejme hodte na jiny port. Ve firewallu pak udelate nasledujici pravidlo:
/ ip firewall dst-nat add src-address=192.168.20.1/32 action=redirect comment="" disabled=no
Tim presmerujete klienta s danou ip adresou na mikrotika, takze mu nic jineho nejede a na portu 80 nalezne stranku s Vasi upoutavkou...
/ ip firewall dst-nat add src-address=192.168.20.1/32 action=redirect comment="" disabled=no
Tim presmerujete klienta s danou ip adresou na mikrotika, takze mu nic jineho nejede a na portu 80 nalezne stranku s Vasi upoutavkou...
0 x
zdravim
hram sa s tymto presmerovanim uz isty cas ale kedze sa mi nedari rozbehat hotspot, tak by som to chcel riesit tak, ze by som presmeroval ludi na adresu mikrotiku kde je na vrchu stranky klasicke prihlasovacie okno - webbox.
toto by aj fungovalo, s tym nie je problem... ale odporuca sa to? alebo robim blbost?
Ked to nie je az tak nebezpecne, tak mi poradte ako zmenit tuto uvodnu stranu. Ako ju dostat z RB do pc. Pripojil som sa na RB WinSCP, ale tam som sa dostal len k hotspotu, nic ine som tam nevedel najst - alebo inde ma nechcelo pustit.
Alebo sa uberam zlou cestou? ak hej, tak ma nekamenujte... len tak rozmyslam zatial
hram sa s tymto presmerovanim uz isty cas ale kedze sa mi nedari rozbehat hotspot, tak by som to chcel riesit tak, ze by som presmeroval ludi na adresu mikrotiku kde je na vrchu stranky klasicke prihlasovacie okno - webbox.
toto by aj fungovalo, s tym nie je problem... ale odporuca sa to? alebo robim blbost?
Ked to nie je az tak nebezpecne, tak mi poradte ako zmenit tuto uvodnu stranu. Ako ju dostat z RB do pc. Pripojil som sa na RB WinSCP, ale tam som sa dostal len k hotspotu, nic ine som tam nevedel najst - alebo inde ma nechcelo pustit.
Alebo sa uberam zlou cestou? ak hej, tak ma nekamenujte... len tak rozmyslam zatial
0 x
HALLLOOOOOOO VIE MI NIEKTO POMOCT? PRECO TO IDE LEN NA http://WWW.GOOGLE.COM A NA ADRESU MK? PRECO NEJDE NA LUBOVOLNU IP ADRESU NA INTERNETE?
0 x
to mi nepomoze nikto? nedari sa mi s tym... neviem presmerovat ludi na inu stranku okrem stranky webboxu pripadne http://www.google.com
nic ine nejde... preco? a preco funguje google a ine ne? v com je ina tato stranka?
pripadne poradte ako spustit hotspot - nejaky navodik ako pre debilkov
nic ine nejde... preco? a preco funguje google a ine ne? v com je ina tato stranka?
pripadne poradte ako spustit hotspot - nejaky navodik ako pre debilkov
0 x
po nakonfigurovani presmerovania tak aby vsetko smeroval na http server ,mi to nefunguje. nepotrebujem mat moznost aby mail alebo ine sluzby bezali.
po zapnuti presmerovania mi vypise prehliadac (firefox) server nenalezen.. predpokladam, ze preto ,ze nebol vybaveny dns request. takze to tvoje riesenie nemoze fungovat,, treba povolit aj port 53.
alebo mam chybu niekde ja
.
nastavenie firewallu NAT
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat out-interface=wlan0 action=masquerade
1 chain=dstnat src-address=0.0.0.0/0 src-address-list=block action=dst-nat to-addresses=10.2.0.253 to-ports=80
nastavenie address listu :
Flags: X - disabled, D - dynamic
# LIST ADDRESS
0 block 10.1.0.150
pristup z clienta 10.1.0.150 na 10.2.0.253 funguje bez problemov a stranka sa zobrazuje korektne a velmi svizne.
po zapnuti presmerovania mi vypise prehliadac (firefox) server nenalezen.. predpokladam, ze preto ,ze nebol vybaveny dns request. takze to tvoje riesenie nemoze fungovat,, treba povolit aj port 53.
alebo mam chybu niekde ja
.nastavenie firewallu NAT
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat out-interface=wlan0 action=masquerade
1 chain=dstnat src-address=0.0.0.0/0 src-address-list=block action=dst-nat to-addresses=10.2.0.253 to-ports=80
nastavenie address listu :
Flags: X - disabled, D - dynamic
# LIST ADDRESS
0 block 10.1.0.150
pristup z clienta 10.1.0.150 na 10.2.0.253 funguje bez problemov a stranka sa zobrazuje korektne a velmi svizne.
0 x
-
Karel Půček
- Příspěvky: 105
- Registrován: 19 years ago
Na první pohled Ti tam chybí port a protokol, který to má odchytávat. Jinak sem to moc nestudoval. Stejně sem nepochopil tuto větev, když na jiné je to už vysvětlené.
0 x
To že si paranoidní ještě neznamená, že po Tobě nikdo nejde.