Hallo,
ich habe folgendes Problem:
eine Gruppe von Accesspoints ist mit einer Bridge vom lokalen Netzwerk getrennt.
Da die Clients nur einen maximalen Traffickontingent haben, habe ich eine Quota match Regel erstellt.
Sollte ein Client nun das Kontingent überschreiten, werden seine Pakete in der FORWARD Chain gedropt.
Ich suche nun eine Regelkombination, mit der ich solch einen Client auf einen Webserver umleiten kann, um ihn freundlich darauf hinzueisen, dass er zu viel saugt.
Jegliche Suche in die Richtung war bis jetzt unerfolgreich.
Vielen Dank im Vorraus für jede Hilfe
mfG Henrik Welk
iptables Weiterleitung auf Webserver
-
icy_ground
- Beiträge: 6
- Registriert: 31.07.2004 12:06:48
-
mistersixt
- Beiträge: 6601
- Registriert: 24.09.2003 14:33:25
- Lizenz eigener Beiträge: GNU Free Documentation License
Willkommen im DebianForum!
Wenn es generell darum geht, einen Port umzuleiten, dann solltest Du Dir DNAT und SNAT anschauen, da kann man die Destination- und Source-IP und auch die dazugehörigen Ports "verunstalten".
Beispiel: man hat einen Apache im LAN hinter/vor einem Debian-Gateway mit der IP 192.168.190.1, dann kann man sowas machen (der DSL-Router hat im LAN die 192.168.190.100)::
Hier wird 2 x am IP-Header rumgewurschtelt, so daß der Apache denkt, die Anfrage käme nicht vom Internet, sondern vom DSL-Gateway selbst.
Ich hoffe, damit kommst Du weiter.
Gruss, mistersixt.
Wenn es generell darum geht, einen Port umzuleiten, dann solltest Du Dir DNAT und SNAT anschauen, da kann man die Destination- und Source-IP und auch die dazugehörigen Ports "verunstalten".
Beispiel: man hat einen Apache im LAN hinter/vor einem Debian-Gateway mit der IP 192.168.190.1, dann kann man sowas machen (der DSL-Router hat im LAN die 192.168.190.100)::
Code: Alles auswählen
$IPTABLES -t nat -A PREROUTING -i $EXTIF -p tcp --dport 80 -j DNAT --to 192.168.190.1:80
$IPTABLES -t nat -A POSTROUTING -o $INTIF -p tcp --dport 80 -j SNAT --to 192.168.190.100Ich hoffe, damit kommst Du weiter.
Gruss, mistersixt.
--
System: Debian Bookworm, 6.11.x.-x-amd64, ext4, AMD Ryzen 7 3700X, 8 x 3.8 Ghz., Radeon RX 5700 XT, 32 GB Ram, XFCE
System: Debian Bookworm, 6.11.x.-x-amd64, ext4, AMD Ryzen 7 3700X, 8 x 3.8 Ghz., Radeon RX 5700 XT, 32 GB Ram, XFCE
-
icy_ground
- Beiträge: 6
- Registriert: 31.07.2004 12:06:48
NAT ist mir im Endeffekt klar...
das Problem bei mir ist halt, dass diese Aktion an Stelle von dem DROP für das überschrittene quota kommen soll. Ähnlich wie bei nen Radius Server, wo man unauthentifiziert erstmal auf der Login-Seite landet.
Der Webserver läuft auch auf der Bridge Kiste, somit ist ja ne Portumleitung nicht nötig.
Ziel ist es demnach nicht den Webserver, sondern den anfragenden Client(egal welches Protokoll und welcher Service) zu "täuschen" und ihn auf den Webserver zu biegen.
Trotzdem ersteinmal vielen Dank für deine Hilfe!
Sollte dir spontan noch was in den Sinn kommen, bin ich über jeden Ansatz dankbar.
mfG Henrik
das Problem bei mir ist halt, dass diese Aktion an Stelle von dem DROP für das überschrittene quota kommen soll. Ähnlich wie bei nen Radius Server, wo man unauthentifiziert erstmal auf der Login-Seite landet.
Der Webserver läuft auch auf der Bridge Kiste, somit ist ja ne Portumleitung nicht nötig.
Ziel ist es demnach nicht den Webserver, sondern den anfragenden Client(egal welches Protokoll und welcher Service) zu "täuschen" und ihn auf den Webserver zu biegen.
Trotzdem ersteinmal vielen Dank für deine Hilfe!
Sollte dir spontan noch was in den Sinn kommen, bin ich über jeden Ansatz dankbar.
mfG Henrik
-
mistersixt
- Beiträge: 6601
- Registriert: 24.09.2003 14:33:25
- Lizenz eigener Beiträge: GNU Free Documentation License
Uuuh, stimmt, das hatte ich irgendwie falsch verstanden. Aber mal eine Gegenfrage: wenn jetzt jemand beispielsweise seinen Esel am Rennen und die Quota überschritten hat, wie willst Du ihm das mitteilen? Das geht doch quasi nur per Webserver, sprich, wenn der böse Bub das nächste mal den Webbrowser startet und dann auf eine entsprechende Seite gelenkt wird, oder?icy_ground hat geschrieben: Ziel ist es demnach nicht den Webserver, sondern den anfragenden Client(egal welches Protokoll und welcher Service) zu "täuschen" und ihn auf den Webserver zu biegen.
Gruss, mistersixt.
--
System: Debian Bookworm, 6.11.x.-x-amd64, ext4, AMD Ryzen 7 3700X, 8 x 3.8 Ghz., Radeon RX 5700 XT, 32 GB Ram, XFCE
System: Debian Bookworm, 6.11.x.-x-amd64, ext4, AMD Ryzen 7 3700X, 8 x 3.8 Ghz., Radeon RX 5700 XT, 32 GB Ram, XFCE
-
icy_ground
- Beiträge: 6
- Registriert: 31.07.2004 12:06:48
Selbstverständlich würde diese Benachrichtigung nur durch eine GET Anfrage sichtbar werden, also dann wenn der Eselmensch den Browser öffnet.
Da hier aber eh meist nur gesurft und halt neuerdings immer sinnlosere Sachen heruntergeladen werden, ist das so wie es gedacht ist meiner Meinung nach ausreichend.
mfg Henrik
Da hier aber eh meist nur gesurft und halt neuerdings immer sinnlosere Sachen heruntergeladen werden, ist das so wie es gedacht ist meiner Meinung nach ausreichend.
mfg Henrik