[ zivanicd @ 07.01.2012. 13:22 ] @
Pozdrav...

Veovatno vam je nekada palo na pamet da bi bilo korisno da se napravi neka welcome/greeting/info/pozdravna strana kada korisnik otvori neki sajt.

Sad je vreme praznika/akcija/popusta/cestitanja pa evo malog upustva ako neko zeli da napravi pozdravnu web stranicu za korisnike kada recimo otvore www.google.com ili www.facebook.com :)

Napisacu dve varijante. Ja trenutno koristim drugu jer prva odvaljuje 1100AH (3-4h mi je avg bio 100% dok nisam primetio to i uradio drugu varijantu), tako da verovatno moze da radi samo na nekoj Xeon x86 varijanti sa dosta rama i CPU-a.

Sta je potrebno za I varijantu:
1. web server za greeting poruku (mada mozda moze i mikrotikov WWW servis - nisam probao).
2. mikrotik :)

Uputstvo:
1. Napraviti pozdravnu web stranicu (pozdrav.html) - Ko zeli da pogleda kako to izgleda nek ode na http://kerber.kladovonet.com/google2.html
Ta stranica ce redirektovati www.google.com na httpS://www.google.com. Koliko dugo ce "pozdravljati" klijenta podesava se sa brojem u content meta tagu (kod mene je 3). Ovo ne treba da bude veliko da se ljudi ne bi smorili svaki put.
Evo souce-a:
<html>
<head>
<meta http-equiv="refresh" content="3;url=https://www.google.com/" />
<meta http-equiv="pragma" content="no-cache" />
<meta http-equiv="cache-control" content="no-cache" />
<STYLE TYPE="text/css">
<!--
BODY {
margin: 50;
background-color: #FFFFFF;
text-align: center;
}
-->
</STYLE>
</head>
<body>
<img src=bozic.jpg><BR><font face="Verdana" size="2">KladovoNet ISP - Broadband@Home - Brz Internet kod kuce...
</body>
</html>

2. Podesite web-proxy na tiku.

Prvo podesite da oredjeni sadrzaj sa www.google.com ne zabranjuje (search, video, img, maps...)
Na kraju uradite zabranu sajta www.google.com i u redirect upisite adresu vase pozdravne stranice

Kod:
/ip proxy
set always-from-cache=no cache-administrator="Dejan Zivanic" cache-hit-dscp=4 \
cache-on-disk=no enabled=yes max-cache-size=none max-client-connections=\
5000 max-fresh-time=10s max-server-connections=5000 parent-proxy=0.0.0.0 \
parent-proxy-port=0 port=5555 serialize-connections=no src-address=\
212.200.113.190
/ip proxy access
add action=allow disabled=no dst-host=www.google.* path=/img* src-address=\
172.29.0.0/16
add action=allow disabled=no dst-host=www.google.* path=/url* src-address=\
172.29.0.0/16
add action=allow disabled=no dst-host=www.google.* path=/watch* src-address=\
172.29.0.0/16
add action=allow disabled=no dst-host=www.google.* path=/search* src-address=\
172.29.0.0/16
add action=deny disabled=no dst-host=www.google.* redirect-to=\
kerber.kladovonet.com/google2.html src-address=172.29.0.0/16
add action=allow disabled=no dst-host=* src-address=172.29.0.0/16
add action=deny disabled=no dst-address=0.0.0.0/0 src-address=0.0.0.0/0

3. Podesite firewall da trazi content sadrzaj www.google.com i www.google.rs

/ip firewall filter
add action=add-src-to-address-list address-list=reklama address-list-timeout=10s chain=forward comment=\
"REKLAMA GOOGLE.COM" content=www.google.com disabled=no dst-address=0.0.0.0/0 dst-port=80 protocol=tcp \
src-address=172.29.0.0/16

*primeticete da moja listi "istice" nakon 10s. Na heavy traficu web-proxy ubija tika, tako da nema potrebe da korisnik non-stop ide kroz proxy. Dovoljno je dok koristi google :)

4. Podesite NAT da src-address-listu "reklama" natuje u web-proxy na tika:

/ip firewall nat
add action=dst-nat chain=dstnat comment="SIBAJ REKLAMU U PROXY" disabled=no dst-port=80 protocol=tcp src-address-list=reklama to-ports=5555

I to je to... :)

Verzija 2 u drgom postu. Ovo ispade vece nego sto sam mislio. :)

Hristos se rodi !

[Ovu poruku je menjao zivanicd dana 07.01.2012. u 14:37 GMT+1]
[ zivanicd @ 07.01.2012. 13:36 ] @
Varijanta II (radi k'o sat):

Sta je potrebno:
1. squid transparent proxy (kod mene ip 172.29.203.201 port 5555)
2. mikrotik

Podesavanje Tika:

1. Hvatanje korisnika koji (GUGLAJU) - Content www.google.com i www.google.rs korisnici u src-adress-listu
/ip firewall filter
add action=accept chain=forward comment="SQUID ACCEPT REKLAMA" disabled=no dst-address=0.0.0.0/0 dst-port=80 protocol=tcp src-address=\
172.29.203.0/24
add action=add-src-to-address-list address-list=reklama address-list-timeout=10s chain=forward comment=\
"REKLAMA GOOGLE.COM" content=www.google.com disabled=no dst-address=0.0.0.0/0 dst-port=80 protocol=tcp \
src-address=172.29.0.0/16
add action=add-src-to-address-list address-list=reklama address-list-timeout=10s chain=forward comment=\
"REKLAMA GOOGLE.RS" content=www.google.rs disabled=no dst-address=0.0.0.0/0 dst-port=80 protocol=tcp \
src-address=172.29.0.0/16

*Obavezno uraditi da squid moze da izadje na internet bez content kontrole da ne bi upao u LOOP :)

2. Natujte "google korisnike" u remote proxy squid box

/ip firewall nat
add action=dst-nat chain=dstnat comment="SIBAJ REKLAMU U PROXY" disabled=no dst-port=80 protocol=tcp src-address-list=reklama to-addresses=\
172.29.203.201 to-ports=5555

3. Podesavanje squida:
...
acl google-url urlpath_regex -i /\/
acl google-deny-rs dstdomain www.google.com www.google.rs
http_access allow google-url
deny_info ERR_GOOGLE google-deny-rs
http_access deny google-deny-rs
...
Nadjite gde vam je error direktory (kod mene /usr/share/errors/Serbian) i napravite fajlt ERR_GOOGLE.

ERR_GOOGLE je u stvari greeting stranica.

To je to...

:)


[ adnan_89 @ 07.01.2012. 19:14 ] @
fino bgm, ovo mi je trebalo jer imam PPPoE enkripciju a reklama uvijek dobro dodje.


nego imam problem sto mi ne radi :)

sve ovo dole razumijem ali ovaj proxy ne. Zbog cega ni sam ne znam. Koristim ovu adresu sto si ti napisao ali mi ne znaci mnogo, pa ako ti nije problem da mi pojasnis malo...

Hvala ti unaprijed
[ MilosOskar @ 07.01.2012. 19:29 ] @
Verovatno ne bih znao ovo da sprovedem u delo, jer nemam squid (proxy server) čija realizacije je već dugo u planu, ali otom potom...
Ali generalno, tutorial je super (sudim na osnovu dosadašnjih postova i na osnovu nekog mog ličnog mišljenja o čoveku koji je i postavio ovo), kao i ideja! Nisam ni znao da može ovako nešto sa Mikrotikom. Čim budem realizovao taj squid, probaću ovako nešto.

Sve pohvale za uputstvo! Da nam je više ovakvih ljudi, mi početnici ne bismo dugo nosili takvo zvanje... :))

Vaistinu se rodi!
Srećan Božić kao i Nova godina svima na ES!

Pozdrav
[ MilosOskar @ 10.01.2012. 12:08 ] @
Jel može nešto ovako da se odradi bez proxija ?
[ zivanicd @ 10.01.2012. 13:00 ] @
Moze... to je opcija I i pise u postu. Ne treba squid proxy. Samo web serber na koji ce da se hostuje greeting stranica.
Takodje mozes da probas da uploadujes tu stranicu na sam mikrotik i onda da redirektujes u tu stranicu...

Recimo ime stranice: pozdrav.html (kod postoji gore)
Uploadujes to u mikrotik.
U web-proxy na mikrotiku izaberes redirect to i usmeris u http://ip_mikrotik/pozdrav.html

Ja ovo nisam probao ali nema razloga da ne radi.

Pozdrav,
[ MilosOskar @ 16.01.2012. 17:33 ] @
ip_mikrotik/pozdrav.html

Ovo ip_mikrotik pretpostavljam da je IP adresa od Mikrotika.
Samo ne znam na koju se misli, na javnu ili na adresu od interfejsa na koji se klijenti kače.... ?

Pozz
[ mckrsta @ 16.01.2012. 17:39 ] @
ip adresa servera na kome je data stranica....
[ MilosOskar @ 16.01.2012. 18:44 ] @
Znaci ip adresa web-proxy servera koji je dignut recimo na mikrotiku ?
[ adnan_89 @ 16.01.2012. 23:11 ] @
Pozdrav Kladovo Net

Mislim da sam nasao gresku u prvom dijelu, jer nemam squid pa ne mogu drugi da probam...

U NAT-u Vam stoji ovako

Citat:

/ip firewall nat
add action=dst-nat chain=dstnat comment="SIBAJ REKLAMU U PROXY" disabled=no dst-port=80 protocol=tcp src-address-list=reklama to-addresses=\
172.29.203.201 to-ports=5555


i meni nije htjelo proraditi tako, vec sam morao staviti action=redirect i naravno na port 5555 i tad mi je proradilo.

Sve u svemu hvala Vam. Lijepa stvar

LP Adnan
[ zivanicd @ 17.01.2012. 21:35 ] @
Adane... moze biti moze biti...

Koristim WINBOX kroz wine, tako da je moguce da sam nesto zeznuo pri copy/paste.

Ja sam zeleo da podelim ideju i odredjeni nacin da se ova zanimljiva stvar realizuje. Verujem da moze da bude korisna. Ko je uspeo da isprati ideju kako stvar funkcionise, uopste mu i nije potreban mikrotik kod.

Drago mi je sto si uspeo. Zahvaljujem na sugestijama, a verujem da ce tvoja ispravka i drugima koristiti.

POz
[ zivanicd @ 04.02.2012. 20:50 ] @
Malo sam razvijao mogucnosti web-proxy-a na mikrotiku i mogu da kazem da ima potencijala...

Bice o tome reci narednih dana u nekim novim postovima...

Evo jos jedna stvar koja mozda da vam bude interesantna (trenutno kod mene radi):

1. podignete web proxy na 2 porta :)
2. jedne korisnike redirektujete u jedan port (reklama)
3. druge korisnike redirektujete u drugi port (tu ide druga deny strana i drugi tekst).

Tako kod nas trenutno korisnici imaju reklamu:
http://kerber.kladovonet.com/reklama.html

A oni koji nisu platili Internet:
http://kerber.kladovonet.com/upozorenje.html

:)
[ MilosOskar @ 04.02.2012. 21:26 ] @
Odlična ideja!

A kada im se pojavljuje reklama, samo prilikom posete google.com ili... ?
[ BigFoot @ 07.02.2012. 03:16 ] @
Radi li kome ovo prvo što je dato u prvom postu? Ako radi, neka da ovde pravi export iz MT.
[ tandrkalo1 @ 07.02.2012. 11:05 ] @
Heh izgleda nikom ne radi.
Ustvari meni radi do pola, kada sa racunara odes na google on otvori reklamnu stranu i posle nekoliko sekundi preusmeri na https://www.google.com
i onda kada u tom google-u ukucam nesto za pretragu on izbaci rezultate ali ne mzoe da ih otvori je google opet bude u obicnom http-u a ne u https-u i onda opet izbaci reklamnu stranu i tako u nedogled.
tako da sam morao iskljuciti to, nece nikako da prikaze rezultate koje google pronadje.
[ zivanicd @ 07.02.2012. 15:07 ] @
@tandrkalo

trebas da uradis exept ako koristis web-proxy iz mikrotika. Lepo pise gore u postu.
Daklem da dozvolis www.google.* a path /img da bi otvarao slike i ostalo...

Uputstvo radi.

Trenutno sam u guzvi ali cu ovih dana napraviti drugi "jasniji" tutorijal.

Poz

PS. Jos bolje radi sa facebookom jer on nema "ne https" sadrzaj kad se jednom ulogujes kroz https ;)
[ MilosOskar @ 07.02.2012. 21:47 ] @
Isto mi se dešava što i tandrkalo1.
Za Fb sam probao i kad me preusmeri ulogujem se i kad recimo kliknem na home on opet otvara onu reklamnu stranicu...

Bilo bi super kad bi samo malo jasnije bilo pojašnjeno.

Za youtube radi ok, tj reklamna strana se prikazuje samo prilikom otvaranja pomenutog sajta, posle prilikom pretrage sve je ok.

Pozdrav
[ BigFoot @ 08.02.2012. 01:02 ] @
Hoće li ko dati ovde export konfiguracije iz terminala? Ko zna da izvuče...
[ tandrkalo1 @ 08.02.2012. 09:13 ] @
za proxy:

Code:
/ip proxy
set always-from-cache=no cache-administrator="Milan Ergelasev" cache-hit-dscp=4 cache-on-disk=no enabled=yes max-cache-size=none max-client-connections=600 max-fresh-time=10
    max-server-connections=600 parent-proxy=0.0.0.0 parent-proxy-port=0 port=5555 serialize-connections=no src-address=0.0.0.0
/ip proxy access
add action=deny comment="block telnet & spam e-mail relaying" disabled=no dst-port=23-25
add action=allow comment="" disabled=no dst-host=www.google.rs path=/search* src-address=192.168.3.0/24
add action=deny comment="" disabled=no dst-host=www.google.rs redirect-to=smdnet.in.rs/reklama/index.html src-address=192.168.3.0/24
add action=allow comment="" disabled=no dst-host=* src-address=192.168.3.0/24
add action=deny comment="" disabled=no dst-address=0.0.0.0/0 src-address=0.0.0.0/0
add action=allow comment="" disabled=no dst-host=www.google.rs path=/img* src-address=192.168.3.0/24
add action=allow comment="" disabled=no dst-host=www.google.rs path=/url* src-address=192.168.3.0/24
add action=allow comment="" disabled=no dst-host=www.google.rs path=/watch* src-address=192.168.3.0/24
add action=allow comment="" disabled=no dst-host=www.google.com path=/search* src-address=192.168.3.0/24
add action=allow comment="" disabled=no dst-host=www.google.com path=/img* src-address=192.168.3.0/24
add action=allow comment="" disabled=no dst-host=www.google.com path=/url* src-address=192.168.3.0/24
add action=allow comment="" disabled=no dst-host=www.google.com path=/watch* src-address=192.168.3.0/24
add action=deny comment="" disabled=no dst-host=www.google.com redirect-to=smdnet.in.rs/reklama/index.html src-address=192.168.3.0/24
/ip proxy cache
add action=deny comment="" disabled=no dst-host=":cgi-bin \\\?"


za firewall/filter:

Code:
add action=add-src-to-address-list address-list=milan address-list-timeout=10s chain=forward comment="reklama za google" content=www.google.com disabled=no dst-address=\
    0.0.0.0/0 dst-port=80 protocol=tcp src-address=192.168.3.0/24


za firewall/nat:

Code:
add action=redirect chain=dstnat comment="posalji reklamu u proxy" disabled=no dst-port=80 protocol=tcp src-address-list=reklama to-ports=5555



Evo kod mene ovako radi.

Slucajno bacim oko na CPU a on 90-100%, a ima 1100 Mhz, stvarno ga previse davi.

[Ovu poruku je menjao tandrkalo1 dana 08.02.2012. u 10:28 GMT+1]
[ BigFoot @ 08.02.2012. 10:16 ] @
Biće da si napravio kakvu petlju. Ovo nije obrada koja takav CPU zakucava. Šta će onda sa L7 filterima da radi?
[ mantas @ 08.02.2012. 12:16 ] @
ista postavka kao kod tandrkalo1, samo promena ip adresa procesor ne ide preko 10%...radi odlicno..
[ rajco @ 08.02.2012. 13:40 ] @
@mantas RouterBoard ili PC?
[ tandrkalo1 @ 08.02.2012. 13:57 ] @
kod mene rb, ali zavisi sve koliko njih ide na google i na facebook u isto vreme.
Bar ja mislim da je tako. Ako ih mnogo ide onda je verovatno opterecenje vece.
[ adrvoderic @ 11.02.2012. 16:22 ] @
radi ovo super sa postavkama od tandrkalo1 samo ima jednu gresku...u filter pakete oznacava kao milan dok ih u natu oznacava kao reklama

ali ima jedan problem...ovo ne radi sa googlom u google chrome pregledniku, vjerojatno preglednik odma otvara sa https://... ili ako ko zna koja bi bila greska druga sa tim preglednikom
[ tandrkalo1 @ 11.02.2012. 16:27 ] @
Ne znam kako mi se potkralo to, kopirao sam export, a probavao sam na mnogo nacina pa sam izgleda ovde napisao pogresno, u mikrotiku mi je sve kako treba. Sve lepo radi ali imam problem jednostavno nekada ne radi i onda recimo posle nekih pola sata proradi. sve je tu a jednostavno nece pa sam digao ruke od toga. kako mu je tako mu je.
[ zivanicd @ 11.02.2012. 17:53 ] @
@adrvoderic: Na Google Crome-u za OSX radi. Tj ne radi www.google.rs ali radi bez problema www.google.com

[ MilosOskar @ 11.02.2012. 21:59 ] @
Podesio sam error.html stranicu u web proxy (njen izgled).
Kada odem na Files, vidim da se ona nalazi u direktorijumu webproxy. U isti taj direktorijum ubacim recimo milos.html stranicu. Redirektujem preko proksija na milos.html ali ne otvori tu stranicu.

Gde gresim ?

Pozdrav