next »

[d1uluv2h8]

Incerc sa fac un amarat de dnat care sa-mi trimita toate requesturile unui anumit ip pe portul 80 la un server web intern ( din aceeasi retea/clasa de ip-uri/whatever ), dar nu reusesc de nici un fel

regula de iptables arata cam asa:

Code:

iptables -t nat -I PREROUTING -s <ip> -p tcp --dport 80 -j DNAT --to-destination ip_server_web:80

ip-ul respectiv nu este drop-uit in nici o alta parte din firewall si nici nu mai folosesc nicaieri tabela nat pentru ca am numai ip-uri publice..

iptables -t nat -L arata cam asa, foarte simplu de altfel:

Code:

Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
DNAT       tcp  --  ip         anywhere            tcp dpt:http to:ip_server_web:80

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Sta saracutul firefox si asteapta o gramada... pana se plictiseste si imi spune ca nu gaseste pagina din ce am mai citit si eu, pachetul se intoarce cu alt src_ip decat cel pentru care a fost facuta cererea din browser, iar acesta (browser-ul) il considera invalid si asteapta reply de la ip-ul original. Banuiesc ca trebuie sa mai fac un snat pe undeva, dar nu-mi dau seama exact cum si unde

[d1uluv2h8]

hai ma.. n-aveti nici o idee ?

[oblio]

Tu vrei să faci vreun captive portal sau altă măgăriuţă dintr-asta de conectare la net?

[d1uluv2h8]

Nope vreau sa redirectionez neplatitorii din retea spre o pagina care sa ii anunte de ce nu le merge netul

[razius]

squid?

[gheorghe]

Si eu am nevoie de asa ceva. Scopul meu e sa afisez clientilor care nu platesc o pagina de pe serverul meu de fiecare data cand incearca sa vada un site.

Am bagat exact regula ta si a mers perfect Atat de bine incat a trebuit sa scriu mesajul asta de 2 ori ca am lasat redirectionarea pornita

Code:

iptables -t nat -A PREROUTING -s 192.168.2.25 -p tcp --dport 80 -j DNAT --to-destination 192.168.2.62:80

Am bagat destinatie chiar si serverul google, si a mers.

Problema in cazul meu e ca daca accesez de exemplu www.google.ro, merge, dar daca bag www.google.ro/linux, nu mai merge, da 404 Asta e un comportament normal pentru un server web.

Ca sa trec peste problema asta, mi-am facut propriul meu server web prost cu xinetd si un shell script.
In /etc/xinetd.d/www:

Code:

service www
{
        flags           = REUSE
        socket_type     = stream
        wait            = no
        user            = root
        server          = /root/www.sh
        log_on_failure  += USERID
        disable         = no
}

In www.sh:

Code:

#!/bin/sh

#citeste inputul, la misto, nu ne intereseaza
while /bin/true; do
  read header
  [ "$header" == $'\r' ] && break;
done

cat /root/index.html

Acum orice adresa ar scrie, afiseaza pagina mea, pentru ca serverul meu e atat de prost incat nu stie sa afiseze o alta pagina. Normal ca solutia asta e foarte primitiva, nici macar nu poti sa bagi poze Daca cineva are alta solutie, i-as fi recunoscator.

[d1uluv2h8]

M-ai facut curios si am incercat si eu sa pun serverul google, si minune, chiar a mers insa spre serverul meu tot nu vrea ..

Totusi un side effect a fost ca dupa ce am oprit redirectionarea, www.linuxsoft.ro ma ducea numai la pagina google.ro am sters toate private data, am dat si flush la dns, degeaba. abia dupa multe refresh-uri a luat-o calumea, dar presupun ca asta se rezolva cu no-cache in <head>-ul index.html (sau cu o data din trecut ?).

Si alta chestie, vad ca tu ai ip-uri private, deci mai folosesti tabela nat.. oare din cauza asta sa nu-mi mearga mie ?

Edit 2: Squid nu este o optiune, am scapat de el acum un an si ceva si nici ca vreau sa-l mai vad in fata ochilor

[gheorghe]

Nu stiu, o sa incerc si pe ip-uri adevarate. Care-i problema cu squid?

[razius]

vorbeam eu aiureli oricum 

[d1uluv2h8]

Cu squid problema era ca atunci cand se umplea cache-ul facea pe nebunul oricati file descriptori ii puneam asta ca sa nu ma zic de transparenta... oricum, in orice stadiu o fi ajuns acum, tot nu vreau sa mai aud de el.

In retele mici (<50 clienti) mai merge, dar deja am peste 500 si nu mai am chef sa ma complic aiurea

[gheorghe]

Mda, deci concluzia pe care am tras-o eu. Cand folosesc ip-uri routabile, dintr-un motiv neelucidat merge sa redirectionez doar la un ip care nu e in aceeasi clasa. Deci cred ca pot sa-l aranjez astfel incat ip-urile dintr-o clasa sa le redirectionez la un server care foloseste un ip potrivit, deci voi pune un server cu mai multe aliasuri unul din fiecare clasa, sau mai bine,folosesc un ip dintr-o clasa incare nu e nici un client.

[d1uluv2h8]

Ok, la concluzia asta am ajuns si eu Acum poate isi da cineva cu parerea si de ce se intampla asta ?

gheorghe, te bagi la un proiect open source de management clienti ? momentan e in faza 0.0001 pre-alpha

[gheorghe]

In ce consta managementul de clienti si in ce e scris?

[~Empathy~]

Ce tare e solutia lui gheorghe, haha. Daca vreti pot sa ma bag si eu in proiectul ala al vostru ca si coder in C, sau in orice limbaj de pe planeta, in afara de sh, bash, csh etc. Limbaje adevarate numai.

[d1uluv2h8]

Php + bash Consta in lista de clienti cu optiuni de adaugare, pornire/oprire net, program de facturare (asta e deja gata), grafice, limitari etc etc in genul lms, dar romanesc.

Empathy, pana acum nu am avut nevoie de C, in mare parte pentru ca este o aplicatie web..