https://www.opennet.me/openforum/vsluhforumID1/96605.html Имеется сервер под opensus-42.1 с NAT.<br>Периодически с utm забирается список должников который забрасывается в ipset.<br>Далее происходит блокировка по адресу источника.<br>Хотелось бы сделать так, чтобы должники перенаправлялись в личный кабинет.<br>Имеем:<br>172.16.0.0/16 - сетка с клиентами<br>blocked_clients - ipset с должниками<br>local - ipset с локальными ресурсами (в которые должники могут заходить. личный кабинет на сайте с адресом входящим в этот ipset)<br>192.168.168.61 - сайт с личным кабинетом, точнее с сайтом-заглушкой перенаправляющей в личный кабинет. От так же прописан в ipset local.<br><br>iptables:<br>[code]<br>*filter<br>:INPUT ACCEPT [71:5310]<br>:FORWARD ACCEPT [614286:651750448]<br>:OUTPUT ACCEPT [170:14689]<br># форвардим на все локальные ресурсы<br>-A FORWARD -m set --match-set local dst -j ACCEPT<br># запрещаем форвардинг на все порты и все протоколы для должников<br>-A FORWARD -m set --match-set blocked_clients src -j REJECT --reject-with icmp-port-unreachable<br>COMMIT<br><br>*nat<br>:PREROUTING ACCEPT [12326:1076071]<br>:INPU https://www.opennet.me/openforum/vsluhforumID1/96605.html#6 Thu, 07 Jul 2016 10:00:00 GMT &gt;[оверквотинг удален]<br>&gt; Периодически с utm забирается список должников который забрасывается в ipset.<br>&gt; Далее происходит блокировка по адресу источника.<br>&gt; Хотелось бы сделать так, чтобы должники перенаправлялись в личный кабинет.<br>&gt; Имеем: <br>&gt; 172.16.0.0/16 - сетка с клиентами <br>&gt; blocked_clients - ipset с должниками <br>&gt; local - ipset с локальными ресурсами (в которые должники могут заходить. личный <br>&gt; кабинет на сайте с адресом входящим в этот ipset) <br>&gt; 192.168.168.61 - сайт с личным кабинетом, точнее с сайтом-заглушкой перенаправляющей в <br>&gt; личный кабинет. От так же прописан в ipset local.<br><br>так а сам личный кабинет в ipset local есть?<br><br>&gt; iptables: <br>&gt; [code] <br>&gt; *filter <br>&gt; :INPUT ACCEPT [71:5310] <br>&gt; :FORWARD ACCEPT [614286:651750448] <br>&gt; :OUTPUT ACCEPT [170:14689] <br>&gt; # форвардим на все локальные ресурсы <br>&gt; -A FORWARD -m set --match-set local dst -j ACCEPT <br>&gt; # запрещаем форвардинг на все порты и все протоколы для должников <br><br>-A FORWARD -p tcp --dport 80 -m set --match-set blocked_clients sr https://www.opennet.me/openforum/vsluhforumID1/96605.html#5 Thu, 07 Jul 2016 01:08:49 GMT &gt; Это неправильно и работать /не должно/: <br>&gt; -A PREROUTING -p tcp -m set --match-set blocked_clients src -m tcp --dport <br>&gt; 443 -j DNAT --to-destination 192.168.168.61:80 <br><br>я не сомневаюсь в этом :)<br>просто где-то увидел и захотелось посмотреть.<br>понятно что в таком виде браузер покажет фигу.<br> https://www.opennet.me/openforum/vsluhforumID1/96605.html#4 Thu, 07 Jul 2016 01:05:42 GMT Ох уж этот iptables... Спасибо за направление.<br> https://www.opennet.me/openforum/vsluhforumID1/96605.html#3 Wed, 06 Jul 2016 08:31:54 GMT #&gt;&gt; -A PREROUTING -p tcp -m set --match-set blocked_clients src -m tcp --dport 80 -j DNAT --to-destination 192.168.168.61:80<br>&gt;&gt; а целевой адрес уже должен быть подменен на адрес самого сервера в <br>&gt;&gt; правиле DNAT!<br>&gt; Всё не так, как ты думаешь. Исправь это.<br>&gt;DNAT - "после" (и в POSTROUTING).<br><br>Впрочем, я тоже пойду чего-нибудь %) исправлю.<br> https://www.opennet.me/openforum/vsluhforumID1/96605.html#2 Wed, 06 Jul 2016 08:29:22 GMT &gt; а целевой адрес уже должен быть подменен на адрес самого сервера в <br>&gt; правиле DNAT!<br><br>Всё не так, как ты думаешь. Исправь это.<br><br>SNAT - "до" (и в PREROUTING (**)), DNAT - "после" (и в POSTROUTING).<br><br>&gt; Ну а если убрать правило "запрещаем форвардинг на все порты и все <br>&gt; протоколы для должников", то должник спокойно проходит куда угодно. Ну т.е. <br>&gt; получается, что подмены целевого адреса все таки не происходит. Что я <br>&gt; не так сделал?<br><br>(**) - Хотя и в POSTROUTING тоже будет работать. Это "сложно!.//"Но лучше договориться и заплатить."(ц)<br><br>Смысл вот в чём: когда "поднимаешься" над "все правила в *tables исполняются в таком-то порядке", осматриваешься вокруг и углубляещься в делати, то... **обнаруживается**, что "всё сложнее" -- iptables переплетены с роутингом, conntrack-ом, иногда с arp или ещё чем "в сетевом стэке" (bridge, например, mss, tcp-флаги, итд, итд)...<br><br>-----<br><br>https://duckduckgo.com/?q=%D0%BF%D1%80%D0%BE%D1%85%D0%BE%D0%B6%D0%B4%D0%B5%D0%BD%D0%B8%D0%B5+%D0%BF%D0%B0%D0%BA%D0%B5%D1%82%D0 https://www.opennet.me/openforum/vsluhforumID1/96605.html#1 Wed, 06 Jul 2016 08:22:00 GMT &gt;Что я не так сделал?<br><br>Это неправильно и работать /не должно/:<br><br>-A PREROUTING -p tcp -m set --match-set blocked_clients src -m tcp --dport 443 -j DNAT --to-destination 192.168.168.61:80<br><br>