Russian Users MikroTik | Форум пользователей MikroTik

Inner писал(а): ↑11 авг 2022, 16:32 Только что пробовал. Не ловит. Грешу на фаервол. С www проще, так как он игнорирует правила.

Ни при чем тут firewall - SYN пакеты идут, видятся NAT'ом.
А непосредственно уже http request, в котором сидит нужная layer7 строка - нет, что логично, если на этом конце машина молчит.

Brook писал(а): ↑11 авг 2022, 16:38 А у меня всё отработало.

Тут прописал порт 8087, можно любой прописать...
http://myip:8087/securekey/scriptname

Тут его указал... В layer7 выбрал правило Regexp
ip firewall nat add chain=dstnat protocol=tcp dst-port=8087 layer7-protocol=scriptName action=add-dst-to-address-list address-list=scriptName

Поймал пакеты. Адрес-лист создался... ЧЯДНТ?

Всё тоже самое. Правило молчком. Это странно. На какой ros делаете? У меня 6.48

xvo писал(а): ↑11 авг 2022, 16:39

Inner писал(а): ↑11 авг 2022, 16:32 Только что пробовал. Не ловит. Грешу на фаервол. С www проще, так как он игнорирует правила.

Ни при чем тут firewall - SYN пакеты идут, видятся NAT'ом.
А непосредственно уже http request, в котором сидит нужная layer7 строка - нет, что логично, если на этом конце машина молчит.

Согласен. Прошу прощения. Я промухал. В Layer7 не установил правило...

А у меня вот идея появилась. А что если, под это добро попробовать подтянуть hotspot или встроенный прокси? Они же, теоретически смогут словить http перенаправленное снаружи?

Тут можно долго велосипед изобретать.

Первый вариант с input, www и не стандартным портом самый безгеморройный в данном случае.

Вопрос безопасности остается открытым, но можно заморочиться с port-knocking например и разрешать временное соединение только тем, кто правильно постучался, остальных посылать...

Brook писал(а): ↑11 авг 2022, 17:18 Тут можно долго велосипед изобретать.

Первый вариант с input, www и не стандартным портом самый безгеморройный в данном случае.

Вопрос безопасности остается открытым, но можно заморочиться с port-knocking например и разрешать временное соединение только тем, кто правильно постучался, остальных посылать...

Но с порт кнокингом получается не гибко. С телефона так просто не простучать. Поэтому да. Либо www на не стандартном порту, либо проброс на что-то внутри. И вот со вторым вариантом я всё ж запарюсь. Хочу заставить это работать без открытого www

Новость средней паршивости. Можно не шарить www, но, пока что только тем у кого есть метароутер. Вот кому интересно. По сути в статье всё описано. Так как в рамках этой ветки требуется только http request, то с сайтом можно не заморачиваться. Главное чтоб веб сервер стартанул. Дальше банально перехватываем на него запросы с применением L7. И всё работает. У меня нашелся микрот с метароутером, так что проверено, работает. В остальном, я покачто не сдаюсь. Думаю как можно ещё сымитировать ответы веб сервера без метароутера. Прокси не прокатил. Хотспот покачто на очереди, но думается, там будет похожая ситуация с проксёй.

MetaRouter не плохой вариант. Однажды имел с ним дело. Он создавался в первую очередь для того, чтобы разворачивать на нем RouterOS. Такой Микротик внутри микротика.

С RouterOS работало без проблем. Остальное, типа Web serverа, периодически глючило и крашилось с перезагрузкой маршрутизатора.

Для Вашей задачи как раз можно использовать RouterOS в MetaRouter и включить там сервис www, а не поднимать сторонние web сервера.

В этом случае, настроить и изолировать его будет гораздо проще.

К сожалению на моем 4011 его уже выпилили, проверить не на чем.

Я у себя настроил через SOCKS . В Mangle , внутри сети ловит на Input. Снаружи не тестировал пока.

Тоже перепробовал кучу вариантов. Работает как задумано только с включенной службой www. Остальное костыли...

Brook писал(а): ↑13 авг 2022, 14:19 Я у себя настроил через SOCKS . В Mangle , внутри сети ловит на Input. Снаружи не тестировал пока.

Тоже перепробовал кучу вариантов. Работает как задумано только с включенной службой www. Остальное костыли...

А можете дать конфигурацию socks? Не имел с ним дело. Сейчас только теорию прочитал.

В рамках этой задачи, метароутер можно всё что угодно развернуть. Даже голый nginx сойдёт. Думаю при минимуме конфы глючить не будет. Главное, чтоб на http был ответ