Обнаружена блокировка рекламы: Наш сайт существует благодаря показу онлайн-рекламы нашим посетителям. Пожалуйста, подумайте о поддержке нас, отключив блокировщик рекламы на нашем веб-сайте.
Правила форума
Уважаемые Пользователи форума, обратите внимание!
Ни при каких обстоятельствах, Администрация форума, не несёт ответственности за какой-либо, прямой или косвенный, ущерб причиненный в результате использования материалов, взятых на этом Сайте или на любом другом сайте, на который имеется гиперссылка с данного Сайта. Возникновение неисправностей, потерю программ или данных в Ваших устройствах, даже если Администрация будет явно поставлена в известность о возможности такого ущерба.
Просим Вас быть предельно осторожными и внимательными, в использовании материалов раздела. Учитывать не только Ваши пожелания, но и границы возможностей вашего оборудования.
Inner писал(а): ↑11 авг 2022, 16:32
Только что пробовал. Не ловит. Грешу на фаервол. С www проще, так как он игнорирует правила.
Ни при чем тут firewall - SYN пакеты идут, видятся NAT'ом.
А непосредственно уже http request, в котором сидит нужная layer7 строка - нет, что логично, если на этом конце машина молчит.
Brook писал(а): ↑11 авг 2022, 16:38
А у меня всё отработало.
Тут прописал порт 8087, можно любой прописать...
http://myip:8087/securekey/scriptname
Тут его указал... В layer7 выбрал правило Regexp
ip firewall nat add chain=dstnat protocol=tcp dst-port=8087 layer7-protocol=scriptName action=add-dst-to-address-list address-list=scriptName
Поймал пакеты. Адрес-лист создался... ЧЯДНТ?
Всё тоже самое. Правило молчком. Это странно. На какой ros делаете? У меня 6.48
Inner писал(а): ↑11 авг 2022, 16:32
Только что пробовал. Не ловит. Грешу на фаервол. С www проще, так как он игнорирует правила.
Ни при чем тут firewall - SYN пакеты идут, видятся NAT'ом.
А непосредственно уже http request, в котором сидит нужная layer7 строка - нет, что логично, если на этом конце машина молчит.
Согласен. Прошу прощения. Я промухал. В Layer7 не установил правило...
А у меня вот идея появилась. А что если, под это добро попробовать подтянуть hotspot или встроенный прокси? Они же, теоретически смогут словить http перенаправленное снаружи?
Первый вариант с input, www и не стандартным портом самый безгеморройный в данном случае.
Вопрос безопасности остается открытым, но можно заморочиться с port-knocking например и разрешать временное соединение только тем, кто правильно постучался, остальных посылать...
Brook писал(а): ↑11 авг 2022, 17:18
Тут можно долго велосипед изобретать.
Первый вариант с input, www и не стандартным портом самый безгеморройный в данном случае.
Вопрос безопасности остается открытым, но можно заморочиться с port-knocking например и разрешать временное соединение только тем, кто правильно постучался, остальных посылать...
Но с порт кнокингом получается не гибко. С телефона так просто не простучать. Поэтому да. Либо www на не стандартном порту, либо проброс на что-то внутри. И вот со вторым вариантом я всё ж запарюсь. Хочу заставить это работать без открытого www
Новость средней паршивости. Можно не шарить www, но, пока что только тем у кого есть метароутер. Вот кому интересно. По сути в статье всё описано. Так как в рамках этой ветки требуется только http request, то с сайтом можно не заморачиваться. Главное чтоб веб сервер стартанул. Дальше банально перехватываем на него запросы с применением L7. И всё работает. У меня нашелся микрот с метароутером, так что проверено, работает. В остальном, я покачто не сдаюсь. Думаю как можно ещё сымитировать ответы веб сервера без метароутера. Прокси не прокатил. Хотспот покачто на очереди, но думается, там будет похожая ситуация с проксёй.
MetaRouter не плохой вариант. Однажды имел с ним дело. Он создавался в первую очередь для того, чтобы разворачивать на нем RouterOS. Такой Микротик внутри микротика.
С RouterOS работало без проблем. Остальное, типа Web serverа, периодически глючило и крашилось с перезагрузкой маршрутизатора.
Для Вашей задачи как раз можно использовать RouterOS в MetaRouter и включить там сервис www, а не поднимать сторонние web сервера.
В этом случае, настроить и изолировать его будет гораздо проще.
К сожалению на моем 4011 его уже выпилили, проверить не на чем.
Brook писал(а): ↑13 авг 2022, 14:19
Я у себя настроил через SOCKS . В Mangle , внутри сети ловит на Input. Снаружи не тестировал пока.
Тоже перепробовал кучу вариантов. Работает как задумано только с включенной службой www. Остальное костыли...
А можете дать конфигурацию socks? Не имел с ним дело. Сейчас только теорию прочитал.
В рамках этой задачи, метароутер можно всё что угодно развернуть. Даже голый nginx сойдёт. Думаю при минимуме конфы глючить не будет. Главное, чтоб на http был ответ