अतिथि हॉटस्पॉट के संचालन में कठिनाइयाँ। अभ्यास (भाग 2)

पिछले लेख में, मैंने इस योजना को लागू करने के व्यावहारिक तरीकों के बारे में, अब isc-dhcpd की स्थिति को ट्रैक करने के तरीके के बारे में बात की।

अत्यधिक लोड वाले अतिथि वाई-फाई नेटवर्क में काम करते समय, उन ग्राहकों को ट्रैक करने और जोड़ने की समस्या होती है जिनके पास बाहरी सेवाओं तक उन्नत पहुंच होती है। मैक पतों द्वारा सबसे अच्छा विकल्प अभिगम नियंत्रण है (dhcpd.conf में पतों का एक गुच्छा दर्ज करना), लेकिन जैसा कि अभ्यास से पता चलता है, यह काफी असुविधाजनक है, क्योंकि आप वास्तव में पहले से ही कॉन्फ़िगर और उनके ऑपरेशन में दर्ज मेजबानों की स्थिति को नियंत्रित नहीं कर सकते।

इसके अलावा, बड़ी संख्या में यादृच्छिक उपकरणों के कारण, पट्टे की अवधि को कम करने या जारी किए गए आईपी पते की सीमा का विस्तार करने की आवश्यकता होती है, जिससे वांछित मेजबान के लिए धीमी खोज होती है। मैक पते की निगरानी करना और स्थैतिक पते जारी करने से कुछ समस्याएं हो सकती हैं। मान लीजिए कि आपकी कंपनी में 2 वाई-फाई सबनेट हैं, जो दो वर्चुअल नेटवर्क (वीएलएएन) हैं जो मल्टी-एक्सेस पॉइंट से वितरित किए जाते हैं। इस मामले में, एक वाई-फाई नेटवर्क खुला है, और दूसरा पासवर्ड संरक्षित है।
क्लाइंट को सही तरीके से काम करने के लिए, आपको डिवाइस मैक एड्रेस को एक साथ 2 पूल में जोड़ने की आवश्यकता है। इससे कॉन्फ़िगरेशन और प्रशासन समस्याओं में भ्रम होता है।

इसके आगे के विवरण के लिए पाठक को कम से कम एक बुनियादी समझ होनी चाहिए कि पीएफ, स्क्वीड, आईएससी- dhcpd और वेब सर्वर कैसे काम करते हैं।

रास्ता क्या है?

समाधान थोड़ा स्पष्ट नहीं है, लेकिन काफी सरल है। स्वयं dhcpd नेटवर्क पर उपयोगकर्ता की पहुंच को नियंत्रित क्यों नहीं करता है?
इसलिए हमारे पास isc-dhcpd है, ऐसे ग्राहकों की एक सूची है, जिन्हें दिखाई देने पर फ़ायरवॉल पर सेवाओं तक पहुँच खोलने की आवश्यकता होती है और जब वे गायब हो जाते हैं तो पहुँच को अक्षम कर देते हैं।
हमें अपने ग्राहकों के मैक पते के डेटाबेस की आवश्यकता है, उनके त्वरित जोड़ के लिए एक सुविधाजनक वेब-थूथन, एक फ़ायरवॉल जिसे मैन्युअल रूप से कॉन्फ़िगरेशन और थोड़ा धैर्य को संपादित किए बिना दूरस्थ रूप से नियंत्रित किया जा सकता है।

सबसे पहले, हमें अपना सिस्टम तैयार करना होगा।
मैं FreeBSD का समर्थक हूं और इसलिए मैं इस पर सभी मुख्य परियोजनाएं करता हूं, क्योंकि कई सिस्टम घटकों में सुविधाजनक नियंत्रण होता है। फ़ायरवॉल के रूप में हम pf और pftabled का एक गुच्छा उपयोग करेंगे। पीएफ फ़ायरवॉल दूसरों के साथ अनुकूल रूप से तुलना करता है कि इसमें डायनामिक टेबल हैं जिन्हें मूल नियमों को छूने के बिना बदला जा सकता है। pftabled एक डेमन है जो विशेष रूप से तैयार किए गए पैकेज का उपयोग करके इन तालिकाओं की स्थिति को नियंत्रित कर सकता है।

अनुमानित pf.conf विन्यास

int_if="em0" ext_if="em1" table <androids> table <private_nets> persist { 10.0.0.0/8, 172.16.0.0/16, 192.168.0.0/16 } # nat      ! nat on $ext_if from { <private_nets> } to { !<private_nets> } -> ($ext_if) #     .        <androids>    squid  transparent . no rdr on $int_if from <androids> to any #       apache      wpad.dat rdr on $int_if from ($int_if:network) to { any, !($int_if) } port { 80,8080 } -> 127.0.0.1 port 3129 # Allow DHCP pass in on $int_if proto udp from any port bootpc to any port bootps pass out on $int_if proto udp from any port bootps to any port bootpc # Allow DNS pass in on $int_if proto udp from ($int_if:network) to ($int_if) port domain keep state pass out on $int_if proto udp from ($int_if) to ($int_if:network) port domain # Allow Proxy access pass in on $int_if proto tcp from ($int_if:network) to ($int_if) port 3128 flags S/SA keep state pass in on $int_if proto tcp from ($int_if:network) to 127.0.0.1 port 3129 flags S/SA keep state # Allow access to local HTTP Server pass in on $int_if proto tcp from ($int_if:network) to ($int_if) port 80 flags S/SA keep state # Allow access from <androids> to any services pass in from <androids> to any keep state pass out on $ext_if from ($ext_if) to any keep state pass out on $ext_if proto icmp from any to any keep state 

वर्णित विन्यास हमें क्या देता है?

• पोर्ट 80.8080 पर किसी भी होस्ट के लिए अतिथि नेटवर्क से भेजे गए किसी भी अनुरोध को पोर्ट 3129 पर प्रॉक्सी सर्वर पर भेज दिया जाएगा
• एंड्रॉइड टेबल में शामिल मेजबानों के किसी भी अनुरोध को सीधे बाहरी नेटवर्क पर भेज दिया जाएगा।
• Dns, dhcpd, स्थानीय वेब सर्वर और प्रॉक्सी के लिए अनुमत अनुरोध

हम केवल पोर्ट 80.8080 की अनुमति क्यों देते हैं? क्योंकि अन्य पोर्ट खोलने से, हम अपने नेटवर्क के उपयोग पर नियंत्रण खो देते हैं।
सर्किट को सही ढंग से काम करने के लिए, आपको स्थानीय wpad सेवा को कॉन्फ़िगर करना होगा। इसे कॉन्फ़िगर करने के लिए, आपको dns सर्वर में IN A रिकॉर्ड बनाना होगा और IP पते के रूप में निर्दिष्ट करना होगा जो आपके वेब सर्वर का पता है। नीचे wpad.dat फ़ाइल का एक उदाहरण विन्यास है जो आपके वेब सर्वर के मूल में होना चाहिए।

 function FindProxyForURL(url, host) { if( isPlainHostName(host) || dnsDomainIs(host, ".conf.local") || localHostOrDomainIs(host, "127.0.0.1") ){ return "DIRECT"; } if ( isInNet(host, "172.16.0.0", "255.255.0.0") || isInNet(host, "192.168.0.0", "255.255.0.0") || isInNet(host, "10.0.0.0", "255.0.0.0") || isInNet(host, "127.0.0.0", "255.255.255.0") ){ return "DIRECT"; } if ( isInNet(myIpAddress(), "192.168.0.0", "255.255.0.0")) return "PROXY 192.168.0.1:3128"; else return "DIRECT"; } 

फ़ाइल की सामग्री पढ़ें:

• यदि अनुरोध में होस्ट नाम बिना डीएनएस प्रत्यय के है, या अनुरोधित होस्ट के डोमेन में ".conf.local" शामिल है, या होस्ट 127.0.0.1 का समाधान करता है, तो अनुरोधित होस्ट पर सीधे अनुरोध भेजें।
• यदि अनुरोधित होस्ट स्थानीय सबनेट पते पर हल होता है, तो सीधे अनुरोध भेजें
• बाकी को प्रॉक्सी सर्वर पर भेजें

पारदर्शी मोड में स्क्वीड को कैसे कॉन्फ़िगर करें, यहां सबसे अच्छा पढ़ा जाता है ।

खैर, तैयारी पूरी हो गई है। अगला, आप सिस्टम कर्नेल के संचालन की जांच कर सकते हैं।
अगर dhcpd ने उपयोगकर्ता के होस्ट को सही तरीके से सेटिंग्स दी हैं, तो सेटिंग्स के साथ "प्रॉक्सी सर्वर सेटिंग्स का स्वचालित पता लगाना" सक्षम है, ब्राउज़र wpad.dat फ़ाइल का अनुरोध करेगा और प्रॉक्सी सर्वर के माध्यम से अपने सभी अनुरोध भेजेगा। यदि आप होस्ट को एंड्रॉइड टेबल में जोड़ते हैं, तो सभी ट्रैफ़िक प्रॉक्सी सर्वर से आगे निकल जाएंगे।

हम काम के लिए एक डेटाबेस बनाते हैं

सबसे तेज़ और सबसे तेज़ डेटा प्रोसेसिंग विकल्प जारी किए गए पतों की वर्तमान सेटिंग्स को हाई-स्पीड एक्सेस के साथ सुलभ स्थान पर संग्रहीत करना है। मेमकेच्ड मेरे लिए ऐसी जगह है। आप डेटाबेस, फ़ाइल स्टोरेज का उपयोग कर सकते हैं, सामान्य रूप से, जो भी आपका दिल चाहता है। खसखस पते के स्थानीय आधार के लिए, मैं नियमित मोती बार DB_File का उपयोग करता हूं।

जैसा कि पहले पोस्ट में वर्णित है, जारी किए गए पतों का एक डेटाबेस बनाने के लिए, आपको एक इवेंट हैंडलर को dhcpd से कनेक्ट करना होगा। नीचे मेरे हैंडलर का पाठ है।

 #!/usr/bin/perl use strict; use warnings; use DB_File; use IO::Socket; use Digest::HMAC_SHA1 qw(hmac_sha1); use Cache::Memcached::Fast; use Sys::Syslog; use vars qw/ $keyfile $key $lease_base $pftabled %macs/; use constant PFTBLPORT => 56789; use constant pfip => "127.0.0.1"; use constant PFTBLVERSION => 2; use constant PFTABLED_CMD_ADD => 1; use constant PFTABLED_CMD_DEL => 2; use constant PFTABLED_CMD_FLUSH => 3; use constant PFTBLCOMMAND => 1; use constant PFTBLMASK => 32; use constant SHA1_DIGEST_LENGTH => 20; use constant PFTBLNAME => "androids"; my $command = shift; my $ip = shift; my $mac = shift; my $pid = fork(); if($pid == 0) { $pftabled = IO::Socket::INET->new(Proto => 'udp', PeerPort => PFTBLPORT, PeerAddr => pfip) or die "Creating socket: $!\n"; openlog("publish-ip-mac","ndelay"); &load_key; &open_memcached; if($command eq 'commit') { &commit_address; } elsif($command eq 'release') { &release_address; } elsif($command eq 'expiry') { &release_address; } elsif($command eq 'hostname') { &commit_hostname; } else { syslog("info|local6","Unknown operation $command for $ip and $mac"); #print STDERR "Unknown operation $command for $ip and $mac\n"; } closelog; } exit(0); sub commit_address { $mac = join(":",map { sprintf("%02s",$_); } split(":",$mac)); #print STDERR "Host ".$ip." with MAC ".$mac." is alive\n"; syslog("info|local6","Host ".$ip." with MAC ".$mac." is alive"); $lease_base->set('ip/'.$mac,$ip,19200); $lease_base->set('mac/'.$ip,$mac,19200); $lease_base->set('lease_start/'.$ip,time(),19200); $lease_base->set('lease_end/'.$ip,time()+19200,19200); tie %macs, 'DB_File', '/var/db/macs.db', O_RDONLY, 0666, $DB_HASH or die "Cannot open file '/var/db/macs.db': $!\n"; syslog("info|local6","Mac: $mac Table Mac: $macs{$mac}"); if(exists $macs{$mac}) { syslog("info|local6","IP $ip put to pftable"); &pftabled_operations(PFTABLED_CMD_ADD,$ip); } untie %macs; } sub commit_hostname { $lease_base->set('name/'.$ip,$mac,19200); } sub release_address { if($mac = $lease_base->get('mac/'.$ip)) { syslog("info|local6","Host ".$ip." with MAC ".$mac." released or expired"); # print STDERR "Host ".$ip." with MAC ".$mac." released or expired\n"; $lease_base->delete('ip/'.$mac); $lease_base->delete('mac/'.$ip); $lease_base->delete('name/'.$ip); $lease_base->delete('lease_start/'.$ip); $lease_base->delete('lease_end/'.$ip); } else { # print STDERR "Host ".$ip." without MAC info released or expired\n"; syslog("info|local6","Host ".$ip." without MAC info released or expired"); } &pftabled_operations(PFTABLED_CMD_DEL,$ip); } sub check_access_table { } sub pftabled_operations { my $command = shift; my $iparray = shift; #print @iparray; foreach my $addip (split("\0",$iparray)) { my $addr = inet_aton($addip); my $time = time(); my $block = pack("C1 S1 C1",PFTBLVERSION,$command,PFTBLMASK).$addr.pack("a32 N*",PFTBLNAME,$time); my $digest = hmac_sha1($block, $key); $block .= $digest; $pftabled->send($block); } } sub load_key { my $keyfile = "/usr/local/etc/pftabled.key"; if (! -r $keyfile) { print STDERR "Cannot Read KeyFile $keyfile\n"; exit 1; } open(KEY, "<$keyfile"); sysread KEY, $key, SHA1_DIGEST_LENGTH; close KEY; } sub open_memcached { $lease_base = new Cache::Memcached::Fast({ servers => [ { address => 'localhost:11211', noreply => 1 } ], }); } 

फ़ाइल /usr/local/etc/pftabled.key में एक कुंजी होनी चाहिए जो pftabled का उपयोग करती है।
/Var/db/macs.db फ़ाइल में DB_File HASH के रूप में मैक पतों का आधार होना चाहिए।
जब dhcpd से कमिट कमांड दिखाई देता है - प्राप्त मैक एड्रेस को एड्रेस बेस के खिलाफ चेक किया जाता है और अगर यह वहां मौजूद है, तो एक पैकेट को pftabled पर भेजा जाता है जो मैक के अनुरूप एंड्रॉइड टेबल पर आईपी एड्रेस जोड़ता है। जब रिलीज़ या समाप्त हो जाता है - आईपी कमांड दिखाई देता है, तो एंड्रॉइड टेबल से आईपी पता स्वचालित रूप से हटा दिया जाता है।

मेम्केच्ड और पफटेबल में डेटा लाइफटाइम 19200 सेकंड (लगभग 5 घंटे) पर सेट होता है, वही समय अधिकतम-लीज-टाइम पैरामीटर में dhcpd.conf कॉन्फिगर में सेट किया जाता है। यह सुनिश्चित करना है कि मेजबानों और पीएफ में मेजबान खो नहीं रहे हैं।

pftabled को निम्नलिखित मापदंडों से शुरू किया जाना चाहिए:
pftabled_flags = "- d -a 127.0.0.1 -k /usr/local/etc/pftabled.key -t 19200"
Crontab में आपको निम्न पंक्ति जोड़ने की आवश्यकता है
* * 5 * * * * / sbin / pfctl -t androids -T expire 19200> / dev / null 2> & 1

ध्यान !!! /usr/local/etc/pftabled.key का 0444 होना चाहिए

खैर, वास्तव में अंतिम भाग एक वेब एक्सेस नियम है।
कोड सरल और सरल है, मेरे पास काम के लिए पर्याप्त है। इसलिए, बिना सावधानी और तामझाम के।

 #!/usr/bin/perl use POSIX qw(strftime); use DB_File; use strict; use IO::Socket; use Digest::HMAC_SHA1 qw(hmac_sha1); use Cache::Memcached::Fast; use vars qw/%sv %form %cookie %macs $lease_base $pftabled $key/; use constant PFTBLPORT => 56789; use constant pfip => "127.0.0.1"; use constant PFTBLVERSION => 2; use constant PFTABLED_CMD_ADD => 1; use constant PFTABLED_CMD_DEL => 2; use constant PFTABLED_CMD_FLUSH => 3; use constant PFTBLCOMMAND => 1; use constant PFTBLMASK => 32; use constant SHA1_DIGEST_LENGTH => 20; use constant PFTBLNAME => "androids"; require "functions.pm"; #BEGIN { Net::ISC::DHCPd::OMAPI::_DEBUG = sub { 1 } } $lease_base = new Cache::Memcached::Fast({ servers => [ { address => 'localhost:11211', noreply => 1 } ], }); &systeminit; tie %macs, 'DB_File', '/var/db/macs.db', O_CREAT|O_RDWR, 0666, $DB_HASH or die "Cannot open file '/var/db/macs.db': $!\n"; print "Content-Type: text/html;\r\n\r\n"; print << "[end]"; <HTML> <HEAD> <meta http-equiv="Content-Type" content="text/html;"> <TITLE>DHCP State</TITLE> <STYLE> TD { font:14px Courier; border-left:0px; border-top:0px; border-right:1px; border-bottom:1px; border-style: dashed; text-align: center;} BODY { font:14px Courier; } INPUT[type=button] { width: 100px; font: Verdana, Tahoma; } TR.red { background-color: #A0A0A0; } TR.head { background-color: #808080; } TR.green { background-color: #00C000; } TABLE { } </STYLE> </HEAD> <BODY> <script> function subm(id) { if(confirm("Really toggle access type for " + id)) { document.toggle.mac.value=id; document.toggle.submit(); } } </script> [end] #print "Macs list: ",join (",",keys %macs),"\n"; if($form{"mac"}) { &load_key; $pftabled = IO::Socket::INET->new(Proto => 'udp', PeerPort => PFTBLPORT, PeerAddr => pfip) or die "Creating socket: $!\n"; my $ip = $lease_base->get("ip/".$form{"mac"}); # print "Form list: ",join (",",keys %form),"\n"; if(defined($macs{$form{"mac"}})) { delete($macs{$form{"mac"}}); &pftabled_operations(PFTABLED_CMD_DEL,$ip); print STDERR "MAC Address ".$form{"mac"}." with IP $ip removed from full access\n"; } else { print STDERR "MAC Address ".$form{"mac"}." with IP $ip added to full access\n"; &pftabled_operations(PFTABLED_CMD_ADD,$ip); $macs{$form{"mac"}} = 'full'; } } print << "[end]"; <table width=100% border=0 cellspacing=0 cellpadding=1> <form name="toggle" method=POST> <input type=hidden name="mac" value=""> </form> [end] for(my $network=0;$network<255;$network++) { print << "[end]"; <tr><th colspan=6>Network $network</th></tr> <tr class="head"><td>IP</td><td>MAC</td><td>Access</td><td>Hostname</td><td>Last Seen/Lease Start</td><td>Planned Expire</td></tr> [end] for(my $i=0;$i<256;$i++) { my $ip_address = "192.168.$network.$i"; my $mac_address = $lease_base->get('mac/'.$ip_address) || next; #print Dumper($lease); my $hostname = $lease_base->get('name/'.$ip_address); my $checkboxvalue = ($macs{$mac_address}) ? "Back to normal" : "Switch to full"; my $style = ($macs{$mac_address}) ? "green" : "red"; my $checkboxfield = ($mac_address) ? "<input type=button name=\"".$mac_address."\" value=\"$checkboxvalue\" onclick=\"subm(this.name)\">" : " "; print "<tr class=\"$style\"><td>"; print join ("</td><td>",$ip_address,$mac_address||" ",$checkboxfield,$hostname||" ",time_expand($lease_base->get('lease_start/'.$ip_address)),time_expand($lease_base->get('lease_end/'.$ip_address))); print "</tr>\n"; } print "<tr><td colspan=6> </td></tr>\n"; } print << "[end]"; <tr><th colspan=6>Registered Mac Addresses</td></tr> [end] foreach my $mac (keys %macs) { print << "[end]"; <tr><td class="red" colspan=2>$mac -> $macs{$mac}</td><td colspan=4> </td></tr> [end] } print "</table></html></body>"; untie %macs; exit(0); sub time_expand { my $time = shift; #($sec,$min,$hour,$mday,$mon,$year,$wday,$yday,$isdst) = localtime($time); my $now = strftime "%a %b %e %H:%M:%S %Y", localtime($time); return($now); } sub pftabled_operations { my $command = shift; my $iparray = shift; #print @iparray; foreach my $addip (split("\0",$iparray)) { my $addr = inet_aton($addip); my $time = time(); my $block = pack("C1 S1 C1",PFTBLVERSION,$command,PFTBLMASK).$addr.pack("a32 N*",PFTBLNAME,$time); my $digest = hmac_sha1($block, $key); $block .= $digest; $pftabled->send($block); } } sub load_key { my $keyfile = "/usr/local/etc/pftabled.key"; if (! -r $keyfile) { print STDERR "Cannot Read KeyFile $keyfile\n"; exit 1; } open(KEY, "<$keyfile"); sysread KEY, $key, SHA1_DIGEST_LENGTH; close KEY; } 

खैर, यह मूल रूप से है।
मुझे उम्मीद है कि रीडिंग आपके लिए उपयोगी होगी और आपकी कंपनी के लिए सिस्टम के संभावित सुधार पर कुछ विचार करेगी।

पुनश्च: उपयोगकर्ता द्वारा स्वयं को खोलने की क्षमता के साथ हॉटस्पॉट्स बनाने के लिए, आप प्रारंभिक प्रॉक्सी पुनर्निर्देशन को प्राधिकरण सर्वर के साथ वेब सर्वर पर पुनर्निर्देशन के साथ बदल सकते हैं और वहां से एक होस्ट जोड़ सकते हैं जो कि isc-dhcpd का उपयोग किए बिना pftabled में शामिल हो।
PPS: अंतिम फ़ाइल में "functions.pm" का उपयोग करें, फॉर्म और पर्यावरण चर का इनपुट प्रोसेसर है। परिवर्तनीय जाँच को CGI में फिर से लिखा जा सकता है। जो लोग चाहते हैं, मैं मॉड्यूल "फंक्शन्स .pm" के कार्यात्मक और स्रोत कोड को ले जा सकता हूं

अबॉर्चे 2011