Внимание: Использовать заглушку на собственном сервере рекомендуется только при очень маленькой нагрузке и хороших сетевых картах: load average < 0.05 и %si на каждое ядро около 0.5%.
Лучше вынести это на отдельный сервер и настроить по статье: https://github.com/carbonsoft/reductor_blockpages
Для HTTP-редиректа
Включите опцию
menu > настройка алгоритма фильтрации > заглушка на этом сервере
и укажите URL страницы редиректа по которому она доступна, обычно это
http://ip_редуктора_доступный_для_абонентов/block.html
Если страница стала недоступна ночью, установите URL страницы редиректа на наш:
http://deny.carbonsoft.ru
и создайте заявку в хелпдеске, утром вам помогут.
Не забудьте перезапустить редуктор
service reductor restart
Для DNS-спуфинга
Включите опции:
menu > настройка алгоритма фильтрации > заглушка на этом сервере menu > настройка алгоритма фильтрации > Использовать фильтрацию DNS
Добавьте на Carbon Reductor IP адрес, который будет доступен всем абонентам
Укажите его в опции:
menu > настройка алгоритма фильтрации > IP для DNS-ответов
также рекомендуем перенести веб-интерфейс на IP и порт отличающиеся от заглушки:
menu -> управление сервером -> IP адрес для веб-интерфейса menu -> управление сервером -> Порт для веб-интерфейса
Для работы заглушки для https ресурсов нужно сгенерировать сертификат:
mkdir -p /etc/nginx/ssl chmod 700 /etc/nginx/ssl echo "Common name лучше установить в виде IP адреса машины:" ip -4 a openssl req -new -x509 -days 9999 -nodes -newkey rsa:2048 -out /etc/nginx/ssl/cert.pem -keyout /etc/nginx/ssl/cert.key
Не забудьте перезапустить редуктор
service reductor restart
Внимание:
1.Не забудьте добавить в зеркало трафика udp dst 53.
2.Необходимо использовать разные IP адреса для заглушки и веб-интерфейса администратора или указать альтернативный порт для веб-интерфейса
3.Также для IP адреса заглушки стоит запретить доступ по SSH в хуке.