URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 86508
[ Назад ]

Исходное сообщение
"Как перенаправить запрос с локалки на внешний ІР ?"
Отправлено Asay , 08-Сен-09 11:43

Здравствуйте.
Я пока плохо знаком с FreeBSD, поэтому извините, если что не так написал.
Есть машина с FreeBSD.
Один интерфейс, назовём его eth0 (10.10.10.1), смотрит в локальную сеть 10.10.10.0 .
Второй - eth1 (190.190.190.190), смотрит в Интернет.
Клиенты из локальной сети ходят в Интернет через IPFW(divert) + natd.
В локальной сети есть Web-сервер (10.10.10.2)
Я хочу закрыть доступ клиентам локальной сети на внешний сайт some.unwished.site.net.
Вопрос:
Как сделать так, чтоб не просто запретить виход на сайт some.unwished.site.net через IPFW, а перенаправлять клиента на страничку локального Web-сервера (10.10.10.2) (на котором будет уведомление).
Буду благодарен, если напишите с примером.

Содержание

Как перенаправить запрос с локалки на внешний ІР ?,ronin, 15:15 , 08-Сен-09
- Как перенаправить запрос с локалки на внешний ІР ?,Asay, 15:56 , 08-Сен-09
  - Как перенаправить запрос с локалки на внешний ІР ?,Pahanivo, 16:18 , 08-Сен-09
    - Как перенаправить запрос с локалки на внешний ІР ?,Asay, 16:36 , 08-Сен-09
      - Как перенаправить запрос с локалки на внешний ІР ?,Pahanivo, 16:42 , 08-Сен-09
    - Как перенаправить запрос с локалки на внешний ІР ?,ronin, 23:51 , 08-Сен-09
    - Как перенаправить запрос с локалки на внешний ІР ?,boykov, 00:14 , 09-Сен-09
Как перенаправить запрос с локалки на внешний ІР ?,boykov, 00:22 , 09-Сен-09
- Как перенаправить запрос с локалки на внешний ІР ?,Asay, 02:06 , 09-Сен-09
Как перенаправить запрос с локалки на внешний ІР ?,ronin, 09:21 , 09-Сен-09
- Как перенаправить запрос с локалки на внешний ІР ?,Pahanivo, 09:49 , 09-Сен-09
  - Как перенаправить запрос с локалки на внешний ІР ?,ronin, 10:24 , 09-Сен-09
    - Как перенаправить запрос с локалки на внешний ІР ?,YuryD, 15:51 , 09-Сен-09

Сообщения в этом обсуждении

"Как перенаправить запрос с локалки на внешний ІР ?"
Отправлено ronin , 08-Сен-09 15:15

>[оверквотинг удален]
>В локальной сети есть Web-сервер (10.10.10.2)
>
>Я хочу закрыть доступ клиентам локальной сети на внешний сайт some.unwished.site.net.
>
>Вопрос:
>Как сделать так, чтоб не просто запретить виход на сайт some.unwished.site.net через
>IPFW, а перенаправлять клиента на страничку локального Web-сервера (10.10.10.2) (на котором
>будет уведомление).
>
>Буду благодарен, если напишите с примером.
Где-то здесь на форуме уже проходила подобная тема. Для реализации такого перенаправления поднимается мастер-зона для some.unwished.site.net на локальном ДНС-сервере, а в файле этой зоны прописывается нужный Вам адрес. Соответственно, клиентские машины должны юзать именно этот ДНС-сервер, а не какой-либо другой.

respect,
ronin

"Как перенаправить запрос с локалки на внешний ІР ?"
Отправлено Asay , 08-Сен-09 15:56

>[оверквотинг удален]
>>Буду благодарен, если напишите с примером.
>
>Где-то здесь на форуме уже проходила подобная тема. Для реализации такого перенаправления
>поднимается мастер-зона для some.unwished.site.net на локальном ДНС-сервере, а в файле этой
>зоны прописывается нужный Вам адрес. Соответственно, клиентские машины должны юзать именно
>этот ДНС-сервер, а не какой-либо другой.
>
>
>respect,
>ronin
Спасибо за ответ, ronin.
Но, насколько я понимаю, если играть и ДНС-сервером, то перенаправлятся будут только пакеты, адресованы имени some.unwished.site.net, а клиент сможет выходить на этот сайт по IP.
А возможно это всё реализовать через IPFW(fwd) ?

"Как перенаправить запрос с локалки на внешний ІР ?"
Отправлено Pahanivo , 08-Сен-09 16:18

>[оверквотинг удален]
>>respect,
>>ronin
>
>Спасибо за ответ, ronin.
>
>Но, насколько я понимаю, если играть и ДНС-сервером, то перенаправлятся будут только
>пакеты, адресованы имени some.unwished.site.net, а клиент сможет выходить на этот сайт
>по IP.
>
>А возможно это всё реализовать через IPFW(fwd) ?
тупое решение решать проблемы http при помощи DNS
читаем маны прокси и не плодим тупые темы

"Как перенаправить запрос с локалки на внешний ІР ?"
Отправлено Asay , 08-Сен-09 16:36

>читаем маны прокси и не плодим тупые темы
Поправте меня, если ошибаюсь, но зачем тогда вообше нужен форум, если все проблемы можна решить методом попыток, выучив тонну манов.
Через сервер работают люди и я не хочу ничего испортить :)

"Как перенаправить запрос с локалки на внешний ІР ?"
Отправлено Pahanivo , 08-Сен-09 16:42

>>читаем маны прокси и не плодим тупые темы
>
>Поправте меня, если ошибаюсь, но зачем тогда вообше нужен форум, если все
>проблемы можна решить методом попыток, выучив тонну манов.
Но зачем тогда вообще нужен мозг?
Можно ведь спокойно подметать дворы и ни о чем не думать и ничего не читать.
Если есть что возразить - то сначала читаем правила форума.
>Через сервер работают люди и я не хочу ничего испортить :)
Ты видимо думаешь что один такой? Или тестовую схемы сделать тоже ума не хватает?

"Как перенаправить запрос с локалки на внешний ІР ?"
Отправлено ronin , 08-Сен-09 23:51

>[оверквотинг удален]
>>Спасибо за ответ, ronin.
>>
>>Но, насколько я понимаю, если играть и ДНС-сервером, то перенаправлятся будут только
>>пакеты, адресованы имени some.unwished.site.net, а клиент сможет выходить на этот сайт
>>по IP.
>>
>>А возможно это всё реализовать через IPFW(fwd) ?
>
>тупое решение решать проблемы http при помощи DNS
>читаем маны прокси и не плодим тупые темы
Если имеется ввиду transparent-proxy, то такая схема будет нормально работать только с HTTP. HTTPS работать не будет гарантированно. Поэтому, схема с DNS не такая уж и тупая. Читаем маны по протоколам и не выпендриваемся.
respect,
ronin

"Как перенаправить запрос с локалки на внешний ІР ?"
Отправлено boykov , 09-Сен-09 00:14

>[оверквотинг удален]
>>Спасибо за ответ, ronin.
>>
>>Но, насколько я понимаю, если играть и ДНС-сервером, то перенаправлятся будут только
>>пакеты, адресованы имени some.unwished.site.net, а клиент сможет выходить на этот сайт
>>по IP.
>>
>>А возможно это всё реализовать через IPFW(fwd) ?
>
>тупое решение решать проблемы http при помощи DNS
>читаем маны прокси и не плодим тупые темы
у чела нет прокси. у него таки нат.
учимся читать вводные?

"Как перенаправить запрос с локалки на внешний ІР ?"
Отправлено boykov , 09-Сен-09 00:22

>[оверквотинг удален]
>Второй - eth1 (190.190.190.190), смотрит в Интернет.
>Клиенты из локальной сети ходят в Интернет через IPFW(divert) + natd.
>В локальной сети есть Web-сервер (10.10.10.2)
>
>Я хочу закрыть доступ клиентам локальной сети на внешний сайт some.unwished.site.net.
>
>Вопрос:
>Как сделать так, чтоб не просто запретить виход на сайт some.unwished.site.net через
>IPFW, а перенаправлять клиента на страничку локального Web-сервера (10.10.10.2) (на котором
>будет уведомление).
где-то так (пишу с башки, так что синтаксис уточните в манах)
ipfw add 10 fwd 10.10.10.2 ip from 10.10.10.0/24 to ip_of_some.unwished.site.net
можно добавить via eth0
навязываем на это дело кроновый скрипт, который проверяет текущий ip этого some.unwished.site.net
побочный эффект: если some.unwished.site.net на какм-то виртуальном сервере (в смысле апача), то все, что на этом хосте закроется. средствами ipfw это не лечится, тут либо файервол с анализом на 6-7 уровне, либо всех через проксю, как уже было сказано.
ну и попутно вопрос: неиспользование прокси -- это такой принцип, или лень поднимать? Если сетка внутрикорпорат или маленький домонет, то прокся -- милое дело.

"Как перенаправить запрос с локалки на внешний ІР ?"
Отправлено Asay , 09-Сен-09 02:06

>[оверквотинг удален]
>ipfw add 10 fwd 10.10.10.2 ip from 10.10.10.0/24 to ip_of_some.unwished.site.net
>можно добавить via eth0
>
>навязываем на это дело кроновый скрипт, который проверяет текущий ip этого some.unwished.site.net
>
>
>побочный эффект: если some.unwished.site.net на какм-то виртуальном сервере (в смысле апача), то
>все, что на этом хосте закроется. средствами ipfw это не лечится,
>тут либо файервол с анализом на 6-7 уровне, либо всех через
>проксю, как уже было сказано.
большое спасибо, буду ковырять в этом направлении
>ну и попутно вопрос: неиспользование прокси -- это такой принцип, или лень
>поднимать? Если сетка внутрикорпорат или маленький домонет, то прокся -- милое
>дело.
не, просто вся эта сетка в наследство осталась. А с FreeBSD только знакомлюсь. Вот, что выколопал, то и пишу. (сетка на 100+ человек)

"Как перенаправить запрос с локалки на внешний ІР ?"
Отправлено ronin , 09-Сен-09 09:21

>[оверквотинг удален]
>В локальной сети есть Web-сервер (10.10.10.2)
>
>Я хочу закрыть доступ клиентам локальной сети на внешний сайт some.unwished.site.net.
>
>Вопрос:
>Как сделать так, чтоб не просто запретить виход на сайт some.unwished.site.net через
>IPFW, а перенаправлять клиента на страничку локального Web-сервера (10.10.10.2) (на котором
>будет уведомление).
>
>Буду благодарен, если напишите с примером.
Забыл упомянуть ещё одну возможность - только средствами ipfw:
ipfw add fwd 10.10.10.2 ip from 10.10.10.0/24 to some.unwished.site.net any
Все детали - в man ipfw.
respect,
ronin

"Как перенаправить запрос с локалки на внешний ІР ?"
Отправлено Pahanivo , 09-Сен-09 09:49

>[оверквотинг удален]
>>Буду благодарен, если напишите с примером.
>
>Забыл упомянуть ещё одну возможность - только средствами ipfw:
>
>ipfw add fwd 10.10.10.2 ip from 10.10.10.0/24 to some.unwished.site.net any
>
>Все детали - в man ipfw.
>
>respect,
>ronin
От какой маладец, но пряник не получишь ибо - ты забыл упомянуть, что при этом на целевой айпи форвардинга надо еще повесить алиас совпадающий с паблик айпи целевого сервева иначе как машина примет пакет с левый дестанейн айпи да еще и паблик :) И опять ты не получишь пряник - ибо забыл что при этом пакеты должны как-то идти обратно, причем с соурс айпи внешнего сервака и дестанейн айпи клиента. Но при этом все должно идти либо в локалке, либа через шлюз. Но если в локалке - то как прастите с разных подсетей? А если через шлюз, то это должно быть как-то хитро пропущено через NAT, но тут опять жопа потому что ты забыл исходный пакет прогнать через NAT, но нахрена гонять через NAT пакеты внутри локалки?
Запутанно, да? )

"Как перенаправить запрос с локалки на внешний ІР ?"
Отправлено ronin , 09-Сен-09 10:24

>[оверквотинг удален]
>с левый дестанейн айпи да еще и паблик :) И опять
>ты не получишь пряник - ибо забыл что при этом пакеты
>должны как-то идти обратно, причем с соурс айпи внешнего сервака и
>дестанейн айпи клиента. Но при этом все должно идти либо в
>локалке, либа через шлюз. Но если в локалке - то как
>прастите с разных подсетей? А если через шлюз, то это должно
>быть как-то хитро пропущено через NAT, но тут опять жопа потому
>что ты забыл исходный пакет прогнать через NAT, но нахрена гонять
>через NAT пакеты внутри локалки?
>Запутанно, да? )
Уважаемый, я это только упомянул здесь - не было времени расписывать весь солюшен (да и повторил то, что boykov описал выше - просто я в спешке не перечитывал изменения в ветко со вчерашнего вечера). Конечно, надо побаловаться с НАТом и айпишками, чтоб всё заработало как надо, но в принципе это реально.
Но, по-моему, проще всё-таки поднять местер-зону для этого домена в локалке, не правда ли?
respect,
ronin

"Как перенаправить запрос с локалки на внешний ІР ?"
Отправлено YuryD , 09-Сен-09 15:51

>Но, по-моему, проще всё-таки поднять местер-зону для этого домена в локалке, не
>правда ли?
Чревато кэшем у пользователей, если конечно хотите не навсегда. прозрачным Сквидом проще.