редиректване на неплатили кленти

[niko]

Здравейте

със старата версия на Микротик 2.9.27 ползвах хот спота и чрез IP Bindings спирах неплатилите кленти, като на тях им извеждаше логин страницата на хотспота, ко0ято бях променил и написла че не им е платен атаксата за съответния месец. Това обаче не работи при версия 3.20 и идеята ми е да редиректвам неплатилите кленти към веб страница на компютър в локалната мрежа. Доколкото имам понятие трябва дн аправя dst-nat опитите ми за сега за безуспешни. някой може ли да ми помогне малко ?

[111111]

работи просто активирай неактивното правило в NAT

/ip firewall nat

add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" disabled=yes[/code]

премести го на най горна позиция

[niko]

Благодаря за отгвора. Ще прочета и ще го ползвам. Но все пак някой може ли да помогне с правилото за редиректване към страница?

[niko]

активирах съответното правило в НАТ и след това кативирах хот спота но нещата не се получиха

пробвах да да натвам трафика с тези правила

/ip firewall nat chain=dstnat action=dst-nat to-addresses=192.168.0.1 to-ports=80 protocol=tcp src-address=192.168.0.5 in-interface=ether2 dst-port=80

/ip firewall nat chain=srcnat action=masquerade src-address-list=allow out-interface=ether3

като 0.1 е веб сървъра но и така не се получи ... ако редиректвам към 80 порт на самия рутер тогава се отвара страницата на рутера

:-(

[Nedelin]

Ще ти покажа как съм го направил аз, за момента работи

В / ip firewall nat съм добавил този ред, като тои е преди всички натове които дават нет на клиентите. В случая съм си направил ИП адрес листа с всички позволени ИП-та на клиентите. В долния ред се забелязва че съм сложил за src-address-list всички останали които не са добвавени в адрес листата. ИП-то 10.0.0.3 ми е вътрешния уеб сървър на което ИП отговаря страницата че не е платена таксата. Когато реша да спра нета на даден клиент му деактивирам ИП-то от адрес листата, след като ми плати отново му активирам ИП-то и му теква нета.

add chain=dstnat protocol=tcp dst-port=80 src-address-list=!pppoe_address \

dst-address-list=!local_networks action=same to-addresses=10.0.0.3 to-ports=80 same-not-by-dst=no \

comment="Prepra6tane kum stranica za neplateni taksi" disabled=no

Освен този ред са нужни и следните други в / ip firewall filter

Този ред позволява достъпа до интернет на всички които са в адрес листата или тези които са си платили нета.

add chain=forward src-address-list=pppoe_address action=accept disabled=no

Този ред забранява достъпа до интернет на всички които не са платили, освен по порт 80 за да могат да отварят страницата с надписа неплатена такса. В случая съм направил идрес листа с ИП-тата които са ми в локалната мрежа за да могат да имат достъп до тях не зависимо че им е прян нета.

add chain=forward protocol=tcp src-port=!80 dst-port=!80 src-address-list=local_networks \

dst-address-list=!local_networks action=drop comment="" disabled=no

Следващият ред ограничава достъпа до интернет по останалите протоколи освен TCP.

add chain=forward protocol=!tcp src-address-list=local_networks dst-address-list=!local_networks \

action=drop comment="" disabled=no

При мен тази система работи без проблем, при положение че имам един куп други правила за други нужди.

Поздрави!!!

[niko]

Благодаря  за отговора

това са правилата които направих но отново няма ефект

явно има някакъв проблем който съм пропуснал ... мога да дам достъп до рутера ако някой има възможност да погледне

/ip firewall nat

0  chain=dstnat action=same to-addresses=192.168.0.1 to-ports=80 same-not-by-dst=no protocol=tcp src-address-list=Non-Paid dst-address-list=!192.168.0.0/24 in-interface=ether2

    dst-port=80

1  chain=dstnat action=dst-nat to-addresses=192.168.0.5 to-ports=3389 protocol=tcp in-interface=ether3 dst-port=3389

4  chain=srcnat action=masquerade src-address-list=allow out-interface=ether3

/ip firewall filter

0  chain=forward action=drop protocol=tcp src-address-list=Non-Paid src-port=!80 dst-port=!80

1  chain=forward action=accept src-address-list=allow

Благодарч

[niko]

chain=dstnat action=dst-nat to-addresses=192.168.0.1 to-ports=80 protocol=tcp src-address-list=Non-Paid in-interface=ether2 dst-port=80

Това правило работи когато адресът на веб сървъра не е в локалната мрежа, т.е. вместо 192.168.0.1 напиша например www.dir.bg

[niko]

a Има и друго ... всъщност това правило с веб сървъра извън локалната мрежа работи когато маскарадинга не е е към списъка от ип-та а към цялата мрежа 192.168.0.0/24

[Nedelin]

Ммм, нещо си объркал логиката на промяната. Няма начин да не работи. Пиши на skype: mm-l-g и ще ти помогна.

Поздрави!!!