classic.ISPforum.cz

Zkoušel jsem najít optimalní řešení přesměrovaní neplatičů. Cílem bylo přesměrovat komunikaci na www stranku kromě pošty 110.25. Udělal jsem to takto. Přes DNAT přesměrovat na klasický webový server. Problémem byla evidence (tabulka,seznam) IP neplatičů. tak jsem si udělal Adress list s nazvem blokovane_IP např. pro adresu 10.0.0.4

/ ip firewall address-list
add list=blokovane_IP address=10.0.0.4 comment="" disabled=no

do

/ ip firewall nat
add chain=dstnat src-address=0.0.0.0/0 protocol=tcp dst-port=25 src-address-list=blokovane_IP action=accept comment="presmeruj blokovane \
IP a povol postu" disabled=no

add chain=dstnat src-address=0.0.0.0/0 protocol=tcp dst-port=110 src-address-list=blokovane_IP action=accept comment="" disabled=no

add chain=dstnat src-address=0.0.0.0/0 src-address-list=blokovane_IP action=dst-nat to-addresses=10.0.0.1 to-ports=88 comment="" \
disabled=no

na adrese 10.0.0.1:88 je apache virtual hosts čili nějaká stránka

pokud přidáte do ip firewall address-list jakoukoli IP s list=blokovane_IP bude tato IP automaticky směrována na váš www. Pošta bude fungovat bez omezení.

Dovedu si představit i nějaký scriptík který bude do address list přidávat neplatiče automaticky.
Pro verzi 2.9

ahoj,muzes sem pastnout export tveho firewalu.Mozna by stalo za doplneni,jak a kam zapsat skupinu address-list atd.

pepop píše:Zkoušel jsem najít optimalní řešení přesměrovaní neplatičů. Cílem bylo přesměrovat komunikaci na www stranku kromě pošty 110.25. Udělal jsem to takto. Přes DNAT přesměrovat na klasický webový server. Problémem byla evidence (tabulka,seznam) IP neplatičů. tak jsem si udělal Adress list s nazvem blokovane_IP např. pro adresu 10.0.0.4

/ ip firewall address-list
add list=blokovane_IP address=10.0.0.4 comment="" disabled=no

do

/ ip firewall nat
add chain=dstnat src-address=0.0.0.0/0 protocol=tcp dst-port=25 src-address-list=blokovane_IP action=accept comment="presmeruj blokovane \
IP a povol postu" disabled=no

add chain=dstnat src-address=0.0.0.0/0 protocol=tcp dst-port=110 src-address-list=blokovane_IP action=accept comment="" disabled=no

add chain=dstnat src-address=0.0.0.0/0 src-address-list=blokovane_IP action=dst-nat to-addresses=10.0.0.1 to-ports=88 comment="" \
disabled=no

na adrese 10.0.0.1:88 je apache virtual hosts čili nějaká stránka

pokud přidáte do ip firewall address-list jakoukoli IP s list=blokovane_IP bude tato IP automaticky směrována na váš www. Pošta bude fungovat bez omezení.

Dovedu si představit i nějaký scriptík který bude do address list přidávat neplatiče automaticky.
Pro verzi 2.9

djdodo píše:ahoj,muzes sem pastnout export tveho firewalu.Mozna by stalo za doplneni,jak a kam zapsat skupinu address-list atd.

pepop píše:Zkoušel jsem najít optimalní řešení přesměrovaní neplatičů. Cílem bylo přesměrovat komunikaci na www stranku kromě pošty 110.25. Udělal jsem to takto. Přes DNAT přesměrovat na klasický webový server. Problémem byla evidence (tabulka,seznam) IP neplatičů. tak jsem si udělal Adress list s nazvem blokovane_IP např. pro adresu 10.0.0.4

/ ip firewall address-list
add list=blokovane_IP address=10.0.0.4 comment="" disabled=no

do

/ ip firewall nat
add chain=dstnat src-address=0.0.0.0/0 protocol=tcp dst-port=25 src-address-list=blokovane_IP action=accept comment="presmeruj blokovane \
IP a povol postu" disabled=no

add chain=dstnat src-address=0.0.0.0/0 protocol=tcp dst-port=110 src-address-list=blokovane_IP action=accept comment="" disabled=no

add chain=dstnat src-address=0.0.0.0/0 src-address-list=blokovane_IP action=dst-nat to-addresses=10.0.0.1 to-ports=88 comment="" \
disabled=no

na adrese 10.0.0.1:88 je apache virtual hosts čili nějaká stránka

pokud přidáte do ip firewall address-list jakoukoli IP s list=blokovane_IP bude tato IP automaticky směrována na váš www. Pošta bude fungovat bez omezení.

Dovedu si představit i nějaký scriptík který bude do address list přidávat neplatiče automaticky.
Pro verzi 2.9

Ten výpis tam už je. Je to vše co je k tomu zapotřebí. Psal jsem to v 2.9.x Myslím, ze verze 2.8 addres-list vůbec nema firewall ->address-list

2.8 nema podporu address listu, pouze 2.9, ty se daji pouzit v celem firewallu. Bohuzel, 2.9 uz nelze pouzit jako 2.8, kde bylo mozne pouzit hotspot jako jednoduchou web stranku. V kazdem pripade staci jedno pravidlo do firewallu a veskere IP adresy vypinat a zapinat v address listu.

Dušan Vlček píše:2.8 nema podporu address listu, pouze 2.9, ty se daji pouzit v celem firewallu. Bohuzel, 2.9 uz nelze pouzit jako 2.8, kde bylo mozne pouzit hotspot jako jednoduchou web stranku. V kazdem pripade staci jedno pravidlo do firewallu a veskere IP adresy vypinat a zapinat v address listu.

zdravim nemohl byste mi nadjodit jak v 2.8 spustit hotspot jako www stranku kam budou presmerovány neplatiči nejaks e mi to nedaří pomoci redirect je presmerovavám ale nějak mi nefunguje hotspot takže pokud na někoho toto pravidlo upltním mk se ho snaží na stránku hotspotu přesměrovat ale nakonec to s končí tím že stránka neexistuje

Díky

Ve 2.8 si staci hotspot nainstalovat a pres scp (ftp) nahrat do prislusnych adresaru vasi stranku (defaultne se zobrazuje login.html, takze ho staci nahradit vasi strankou). Pak musite hotspot pustit na portu 80, www samozrejme hodte na jiny port. Ve firewallu pak udelate nasledujici pravidlo:

/ ip firewall dst-nat add src-address=192.168.20.1/32 action=redirect comment="" disabled=no

Tim presmerujete klienta s danou ip adresou na mikrotika, takze mu nic jineho nejede a na portu 80 nalezne stranku s Vasi upoutavkou...

poradte aj v 2.9 presmerovat vsechny po zalogovani an jednu starnku kde by bylo info o siti a neplaticich jak to udelat?
proste by se objevila logovaci tabulka mikrtoiku tam bych se zalogoval a poslůolo by me to na predem urcenou stránku?

zdravim
hram sa s tymto presmerovanim uz isty cas ale kedze sa mi nedari rozbehat hotspot, tak by som to chcel riesit tak, ze by som presmeroval ludi na adresu mikrotiku kde je na vrchu stranky klasicke prihlasovacie okno - webbox.

toto by aj fungovalo, s tym nie je problem... ale odporuca sa to? alebo robim blbost?

Ked to nie je az tak nebezpecne, tak mi poradte ako zmenit tuto uvodnu stranu. Ako ju dostat z RB do pc. Pripojil som sa na RB WinSCP, ale tam som sa dostal len k hotspotu, nic ine som tam nevedel najst - alebo inde ma nechcelo pustit.

Alebo sa uberam zlou cestou? ak hej, tak ma nekamenujte... len tak rozmyslam zatial

este jedna vec...
toto presmerovanie ip adries ktore su v address liste funguje aj napriklad aj na ip adresu google.com. Ale skusal som rozne ine ip adresy a tie nefunguju... akurat len ip adresa MK.
Preco nefunguju ostatne ip adresy na rozne stranky? preco len na google.com?

Atlon píše:Preco nefunguju ostatne ip adresy na rozne stranky? preco len na google.com?

tak tohle neni chyba MT ...

Steebe píše:

Atlon píše:Preco nefunguju ostatne ip adresy na rozne stranky? preco len na google.com?

tak tohle neni chyba MT ...

tak teda kde je chyba? Okrem toho ze vo mne:-)

HALLLOOOOOOO VIE MI NIEKTO POMOCT? PRECO TO IDE LEN NA http://WWW.GOOGLE.COM A NA ADRESU MK? PRECO NEJDE NA LUBOVOLNU IP ADRESU NA INTERNETE?

to mi nepomoze nikto? nedari sa mi s tym... neviem presmerovat ludi na inu stranku okrem stranky webboxu pripadne http://www.google.com
nic ine nejde... preco? a preco funguje google a ine ne? v com je ina tato stranka?
pripadne poradte ako spustit hotspot - nejaky navodik ako pre debilkov

po nakonfigurovani presmerovania tak aby vsetko smeroval na http server ,mi to nefunguje. nepotrebujem mat moznost aby mail alebo ine sluzby bezali.

po zapnuti presmerovania mi vypise prehliadac (firefox) server nenalezen.. predpokladam, ze preto ,ze nebol vybaveny dns request. takze to tvoje riesenie nemoze fungovat,, treba povolit aj port 53.

alebo mam chybu niekde ja .

nastavenie firewallu NAT

Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat out-interface=wlan0 action=masquerade

1 chain=dstnat src-address=0.0.0.0/0 src-address-list=block action=dst-nat to-addresses=10.2.0.253 to-ports=80


nastavenie address listu :

Flags: X - disabled, D - dynamic
# LIST ADDRESS
0 block 10.1.0.150


pristup z clienta 10.1.0.150 na 10.2.0.253 funguje bez problemov a stranka sa zobrazuje korektne a velmi svizne.

Na první pohled Ti tam chybí port a protokol, který to má odchytávat. Jinak sem to moc nestudoval. Stejně sem nepochopil tuto větev, když na jiné je to už vysvětlené.