[Løst] Redirect af webopslag

At jeres trafik kører igennem en firewall hvilket er MEGET normalt er ikke ens betydende med en DMZ. Har du adgang til firewallen, og kører den iptables ?
Hvordan ser netværket præcist ud?

Jeg ville tro den bedste løsning er at benytte en transparent proxy, men ddt kræver måske lidt (for) meget arbejde.

Jeg ved faktisk ikke om du kan dette via iptables, da jeg ikke ved om den understøtter DNS opslag direkte. Men ellers kan du kigge på iptables redirect.

Jeg ved ikke hvordan du vil bruge apache redirect medmindre at du har adgang til webserveren du vil redirecte fra.(Vil ikke virke med feks google.dk).

#1:
Jeg har adgang til firewall'en og den kører med iptables.
Vores netværk et er DMZ setup, opdelt i klientnet, servernet og eksternt.
WWW/MAIL osv ligger på en separat server i DMZ-zonen(servernet).

Fx:

paw@T61$ mtr wwwServer
Host Loss% Snt Last Avg
1. 172.16.0.2 0.0% 8 0.3 0.3
2. XXX.XXX.169.164 (wwwServer) 0.0% 7 0.3 0.5

paw@T61$ mtr www.google.dk
Host Loss% Snt Last Avg
1. 172.16.0.2 0.0% 19 0.3 0.3
2. XXX.XXX.169.129 0.0% 19 0.7 0.8
3. XXX.XXX.157.125 0.0% 19 1.3 1.7
....

paw@wwwServer~$ traceroute www.google.dk
traceroute to www.google.dk (74.125.232.111)
1 XXX.XXX.169.162 0.101 ms 0.101 ms 0.115 ms
2 XXX.XXX.169.129 0.458 ms 0.556 ms 0.625 ms
3 XXX.XXX.157.125 1.173 ms 1.171 ms 1.254 ms
....


172.16.0.2 og XXX.XXX.169.162 er firewall'ens ip på hhv klientnettet og servernettet.

Tilsvarende er min eksterne ip:

paw@T61$ wget -qO- http://ipecho.net/plain ; echo
XXX.XXX.169.141

paw@wwwServer:~$ wget -qO- http://ipecho.net/plain ; echo
XXX.XXX.169.164

hvilket er hhv. firewall'ens og vvvServeren eksterne ip.


Jeg ved ikke hvordan du vil bruge apache redirect medmindre at du har adgang til ...

Ok, jeg forstår at apache redirect ikke kan bruges. Vil prøve at kigge på det andet.

Vi kører også en dns-server.

Vil det være muligt at filtrere trafik ved at konfigurere BIND?

#0: Her i anledningen af julen, vil jeg lave lidt "sjov" med de andre, og sende bestemte webopslag videre til en fejlside jeg har lavet.
Men hvordan gør jeg det bedst?

Det er jo nemt nok at lave et block til sites, men ikke at lave et gig ud af det. Jeg går ud fra at du vil forskrække dem lidt.

Som #1 siger så kan iptables redirect klare det, men det er et rimeligt stort arbejde, og du skal naturligvis have administrativ adgang. Hvis det blot er et block uden redirect til en "sjov side", så tager det ikke mere end et minut fra routeren som vist i denne video:

https://www.youtube.com/watch?v=xHv-ZJdrfpo

Jeg tror ikke du kan lave det med iptables, da det vist ikke lader til at netfilter understøtter DNS opslag.
Teoretisk bør du kunne lave det via DNS (BIND) fiksfakserier, men det kræver så at de benytter lige netop den DNS server før det vil virke.

Som tidligere skrevet ville jeg kigge på en transperent proxy, hvor du kan gøre det præcist hvad du efterspørger. Det ville dog kræve lidt intrastruktur ændringer.

Tak for jeres svar.

Det lykkedes mig at gøre det med iptables.

Jeg lavede et script der henter ip-adresser ud fra url's og tilføjer dem til iptables med:

iptables -t nat -I PREROUTING -p tcp -d IP-ADR -j DNAT --to-destination 172.16.0.10


Min alternative side på 172.16.0.10 gemmer folks mac-adr i en SQL database og tilføjer dem til iptables med

iptables -t nat -I PREROUTING -p tcp -m mac --mac-source MAC-adr -j DNAT --to-destination 172.16.0.11


172.16.0.11 sender folk videre via apache "ProxyPass / www.something.com"
Efter et styke tid, fjerner et cronjob folks mac.-adr fra databasen og iptables igen.

Et tillægsspørgsmål:


paw@T61~ host kittenwar.com
kittenwar.com has address 208.113.205.237
kittenwar.com mail is handled by 0 mx1.sub4.homie.mail.dreamhost.com.
kittenwar.com mail is handled by 0 mx2.sub4.homie.mail.dreamhost.com.


Men hvordan tilgår jeg http://www.kittenwar.com/ via ip-adresse?

Tilsvarende for http://change.the.url.and.put.in.your.name.youarelame.com.
Hvordan tilgår jeg den som http://paw.youarelame.com via ip. Er det muligt

Jeg synes det er flot gået allerede. Imidlertid tror jeg ikke du kan undgå DNS spoofing eller DNS Cache Poisoning IHT #7.

Er det hvad du ønsker ;-)

https://www.google.dk/webhp?sourceid=chrome-instant&ion=1&espv=2&es_th=…

#7: Men hvordan tilgår jeg http://www.kittenwar.com/ via ip-adresse?

Hvad mener du med at du vil tilgå den med ip-adressen? Mener du at få siden frem ved at skrive 208.113.205.237 i url-linjen?

Hvis det er det du mener, så kan du kun gøre det ved at sende HTTP headeren HOST med og sætte den til www.kittenwar.com. Det er denne header som webserveren bruger til at afgøre, hvilket website den skal vise.

Hehe, kreativ løsning, fedt nok. :)

#9: Hvad mener du med at du vil tilgå den med ip-adressen? Mener du at få siden frem ved at skrive 208.113.205.237 i url-linjen?

Ja, det var det jeg mente.
Tak for hintet!