Eu tenho um servidor Ubuntu 22.04, uma lista de endereços IP de usuários em minha rede local e quero redirecionar o tráfego http/https desta lista para uma página html informativa local.Semelhante a como um ponto de acesso seria. Já tentei com apache2, squid, wpad (252 dhcp), iptables, mas não consegui. https não redireciona.
Como eu faço isso?
Responder1
iptables não pode redirecionar ip:443 para outro ip:port (onde tenho o apache2 virtualhost publicado com a página de bloco de informações)
Você poderia redirecionar o fluxo TCP/IP, mas o navegador mostrará um aviso de segurança, pois você não conseguirá apresentar um certificado válido.
O squid-cache só mostra informações no navegador quando é uma página http com "página de erro" (páginas de erro personalizadas não exibidas para HTTPS) (para mais informações verifique aqui)
Como você observa, os navegadores não mostram páginas de erro para TLS; ao receber qualquer coisa que não seja um código 200, eles mostram sua própria mensagem de erro.
Quasetodoso tráfego hoje é criptografado por TLS e você não pode visualizá-lo ou modificá-lo. Ou seja: você não pode reivindicar que é example.com
, nem pode redirecionar example.com
para qualquer outra coisa.
A menos que você tenha controle total sobre os clientes e possa instalar um novo certificado raiz, você não pode reivindicar ser example.com
.
PS: Caso exista algum método para bloquear e exibir uma página de bloqueio que permita que o tráfego https (tcp 443) vá para esta página, eu apreciaria uma explicação detalhada com exemplos específicos.
Não existe tal método que funcione com navegadores modernos e isso não é um erro; é umprojetorecurso de tls. É suposto parar os ataques man in the middle - que é essencialmente o que você está tentando fazer.
Então não, não existe um método para conseguir o que você tenta alcançar. Se houvesse, seria um grande problema de segurança.
Responder2
Você não pode bloquear usuários e fornecer conteúdo a eles.
Se eu quisesse que as pessoas soubessem que foram bloqueadas, provavelmente configuraria uma lista de controle de acesso em meu proxy reverso/balanceador de carga e direcionaria clientes com endereços IP proibidos para uma página estática hospedada internamente ou em uma rede de distribuição de conteúdo.