🗑️ 🏖️ 💉 वेब प्रमाणीकरण के साथ अतिथि इंटरनेट एक्सेस बनाना 👋🏼 ❄️ ❎

अभिवादन, सहकर्मियों।

प्रस्तावना

हमारा एक काम था - गेस्ट इंटरनेट बनाना। यानी अतिथि आता है, नेटवर्क (वाईफाई या केबल) से जुड़ता है और इंटरनेट तक पहुंचने की कोशिश करता है। साइट में प्रवेश करने का प्रयास करते समय, उसे "पासवर्ड के लिए पूछना चाहिए।"
यह ध्यान दिया जाना चाहिए कि इस तरह की समस्या को हल करने के बारे में इसी तरह के सवाल अक्सर मंचों पर उठते हैं। सशुल्क सॉफ़्टवेयर का एक गुच्छा है (सिद्धांत रूप में नहीं माना जाता है, क्योंकि कार्य कम प्राथमिकता है) और कुछ मुफ्त समाधान। मंचों में खोज ने एक विकल्प बनाने की अनुमति नहीं दी, इसलिए अपने स्वयं के मुफ्त मिनटों में ऐसा करने का निर्णय लिया गया।

मुख्य आवश्यकताओं:

निर्माण के लिए संसाधन - दोनों मानव (काम करने का समय) और सामग्री - न्यूनतम हैं।
भार छोटा है। आमतौर पर, प्रति दिन 10 से अधिक लोग ऐसी प्रणाली का उपयोग नहीं करेंगे।
पहुँच की महत्वपूर्णता कम है। यदि सिस्टम टूट गया है, तो उन्हें पिछले मरम्मत की जाएगी। कई पैकेट का नुकसान मौलिक नहीं है।
अलगाव पूरा हुआ। यदि कोई भाग टूट गया है, तो स्थानीय नेटवर्क को नुकसान नहीं होना चाहिए।
प्लेटफ़ॉर्म आज़ादी - ग्राहक सभी प्रकार के गैजेट होंगे - फ़ोन से बड़े कंप्यूटर तक।

कार्यान्वयन

आवश्यकताओं और मौजूदा संसाधनों को देखने के बाद, एक वास्तविक आईपी पते के साथ लिनक्स राउटर का उपयोग करने का निर्णय लिया गया। चूंकि मेहमानों का स्थान बिल्कुल निर्दिष्ट नहीं था, उन्होंने स्थानीय नेटवर्क में एक अलग अतिथि वीएलएएन बनाया, इस विचार के साथ कि, यदि आवश्यक हो, तो कोई भी पोर्ट अतिथि पोर्ट बन जाता है। चूंकि कोई अनावश्यक सर्वर नहीं थे, इसलिए हमने हाइपर-वी पर एक वर्चुअल मशीन का इस्तेमाल किया, जिसमें दो वीएलएएन को शामिल किया गया - अतिथि और इंटरनेट। OS के रूप में उन्होंने CentOS 6.2 स्थापित किया - जो पहले हाथ में आया था। DHCP और नाम उस पर नियमित रूप से कॉन्फ़िगर किए गए थे। केवल आंतरिक इंटरफ़ेस पर काम करने के लिए httpd उठाया और कॉन्फ़िगर किया गया। वैसे, संरक्षण सामान्य है।

समायोजन

वास्तव में, प्रारंभिक विचार यह था: एक राउटर (लिनक्स) सभी के लिए अपने आंतरिक इंटरफ़ेस पर डीएनएटी करता है लेकिन एक सूची में शामिल आईपी पते। और जो लोग सूची में हैं - वे बाहर SNAT बनाते हैं। गोदी का अध्ययन करने के बाद, मुझे दो पैकेज वितरित करने पड़े - कंसीलर और ipset। पहला संभव है, विशेष रूप से, सभी मौजूदा आईपी-सत्रों को बाधित करने के लिए। अनुवाद नियमों को बदलने के बाद ऐसा किया जाना चाहिए। दूसरा IP पते की सूचियों के साथ काम करना संभव बनाता है जो iptables समझता है।
यह r.local में रखी गई कमांड द्वारा कार्यान्वित किया जाता है:

गूंज 1> / proc / sys / net / ipv4 / ip_forward
ipset -N अच्छा iphash
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -t nat -एक PREROUTING -m सेट! --सेट गुड src -j DNAT - 192.168.88.1 तक
कॉनट्रैक -F

यहाँ 192.168.88.1 आंतरिक इंटरफ़ेस पर लिनक्स का पता है। एथ 1 - बाहरी इंटरफ़ेस।
यानी हम सभी के लिए SNAT करते हैं। लेकिन उन लोगों के लिए जो अच्छी सूची में नहीं हैं, हम कहते हैं कि वास्तव में वे यैंडेक्स नहीं चाहते हैं, लेकिन हमारा स्थानीय वेब सर्वर।
वास्तव में, उसके बाद, ipset "अच्छा" के लिए आवश्यक पते जोड़कर / हटाकर, और बाद में conntrack –F हम इंटरनेट पर जाने के लिए IP पतों की अनुमतियों में फेरबदल कर सकते हैं।

प्रमाणीकरण और प्राधिकरण

अब यह सुनिश्चित करना आवश्यक था कि इंटरनेट का उपयोग केवल एक पासवर्ड से संभव था। कार्यान्वयन का विचार इस प्रकार है:

Httpd में एक इंडेक्स पेज बनाएं जो पासवर्ड मांगे। यदि पासवर्ड सही है - अनुरोधकर्ता के आईपी पते को ipset "अच्छा" में रखता है। इसके अलावा, httpd कॉन्फ़िगर किया गया है ताकि 404 त्रुटि के साथ, यह एक पासवर्ड अनुरोध के साथ एक इंडेक्स पेज प्रदर्शित करता है। यानी इन शर्तों के तहत, किसी भी HTTP पते पर जाने की कोशिश करने पर आंतरिक आईपी पता स्थानीय सर्वर के सूचकांक पृष्ठ को एक पासवर्ड अनुरोध के साथ प्रदर्शित करेगा।
हम एक पासवर्ड बनाने वाली php स्क्रिप्ट लिख रहे हैं। यह स्क्रिप्ट एक अलग सर्वर पर होनी चाहिए। स्क्रिप्ट तक पहुंच सीमित होनी चाहिए। उदाहरण के लिए, सचिव की पहुंच हो सकती है। एक पासवर्ड बनाने के लिए बिल्कुल कैसे - हर कोई अपने लिए सोच सकता है। मैंने तीन प्रकार के पासवर्ड बनाए - एक पासवर्ड जो दिन के अंत तक सभी के लिए मान्य है, एक पासवर्ड जो सभी के लिए मान्य है, लेकिन कुछ विशिष्ट समय तक (घंटे की सीमा पर, उदाहरण के लिए, 14:00, 17:00) और एक पासवर्ड जो एक विशिष्ट आईपी के लिए मान्य है। एक विशिष्ट समय (घंटे की सीमा पर) के पते।
हम एक php स्क्रिप्ट लिखते हैं जो पासवर्ड की जांच करती है और, यदि पासवर्ड सही है, तो अनुमति दी गई सूची में आईपी पते को जोड़ता है, और वर्तमान सत्रों को भी रीसेट करता है। एक कैविएट है - अपाचे एक विशेष उपयोगकर्ता की ओर से काम करता है, और पते की सूची और रीसेट सत्रों में हेरफेर करने के लिए सुपरयुसर अधिकारों की आवश्यकता होती है। कई विकल्प हैं - या तो sudo सिस्टम सेट करना (जो कि मैं वास्तव में समय की कमी के कारण से निपटना चाहता हूं), या एक पाइप बना रहा हूं, जिसके एक तरफ स्क्रिप्ट सुपरयुजर की ओर से लटका हुआ है और कमांड्स को पढ़ता है, और दूसरी तरफ, php स्क्रिप्ट आवश्यक लिखता है कमांड स्क्रिप्ट। मैंने अपने लिए यह तरीका चुना। टाइप पाइप की एक फाइल बनाने के लिए, mknod pipename p उपयोग करें

मेरी स्क्रिप्ट

सिद्धांत रूप में, रचनात्मकता आगे बढ़ती है। हर कोई जैसा चाहे वैसा कर सकता है / कर सकता है। मैं लेख को अखंडता देने के लिए अपनी लिपियों के स्रोत बताऊंगा।
मेरी लिपियों में, जैसा कि ऊपर वर्णित है, तीन प्रकार के पासवर्ड हैं। पासवर्ड की पहचान पहले वर्ण द्वारा की जाती है। पासवर्ड, जो दिन के अंत तक सभी के लिए मान्य है, तारांकन के साथ शुरू होता है। पासवर्ड, जो सभी के लिए है, लेकिन समय सीमा के साथ, "# NN-" से शुरू होता है, जहां NN पासवर्ड की वैधता अवधि है। एक समय सीमा के साथ एक विशिष्ट आईपी के लिए पासवर्ड "$ एनएन-" से शुरू होता है, जहां एनएन पासवर्ड की समाप्ति का समय है। पासवर्ड के रूप में, दिनांक, गुप्त (सभी प्रकार के लिए), समय (द्वितीय और तृतीय प्रकार के लिए) और आईपी पते (तीसरे प्रकार के लिए) का उपयोग करने से प्राप्त स्ट्रिंग के md5 हैश के व्यक्तिगत वर्णों का उपयोग किया जाता है। संख्या, हैश से वर्णों के चयन का क्रम, साथ ही रहस्य - सेट होना चाहिए और जाहिर है, पासवर्ड जनरेटर पर और चेकिंग स्क्रिप्ट पर मेल खाना चाहिए।

लिपियों की कुछ बारीकियाँ

पासवर्ड का अनुरोध करने वाला पृष्ठ एक निश्चित आईडी प्रदर्शित करता है, जिसे ग्राहक को सचिव को सूचित करना चाहिए। यह वास्तव में आईपी पते का अंतिम ऑक्टेट है। इसका उपयोग केवल पासवर्ड जनरेशन में IP एड्रेस से बाइंडिंग के लिए किया जाता है।
$symbols सरणी निर्दिष्ट करता है कि हैश से कौन से वर्ण पासवर्ड के रूप में उपयोग किए जाएंगे। मैं छह वर्णों का उपयोग करता हूं, आप शून्य से अधिक संख्या का उपयोग कर सकते हैं।
पाइप पर भेजी गई debug कमांड वर्तमान आईपी पते की तालिका को एक्सेस अवधि के साथ debug फ़ाइल में समाप्त करने का कारण बनती है। उदाहरण: echo debug >pipe
सामान्य रूप से काम करने के लिए सब कुछ के लिए, आपको प्रति घंटे एक बार पाइप में update शब्द लिखने की जरूरत है (मुकुट पर, अधिमानतः: 00 या: 01 मिनट पर), और आधी रात को reload

पासवर्ड जनरेटर (index.php)

 <HTML> <FORM method="get" action=gen.php> <input name="PwdType" type="radio" value="Common" checked>Common Password</INPUT> <input name="PwdType" type="radio" value="CommonTill">Common Password till <select name="Till"> <option value=__8">8:00</option> ... <option value=__23">23:00</option> </select> </INPUT> <input name="PwdType" type="radio" value="Personal">Personal Password</INPUT> <select name="PersonalTill"> <option value=__8">8:00</option> ... <option value=__23">23:00</option> </SELECT> Client ID:<input name="ClientID" value=0> <INPUT type=submit value="Generate password"> </FORM> </HTML>

पासवर्ड जनरेटर (gen.php)

 <? $Secret="123"; //Common secret $d=date("Ymd"); //Current Date $symbols=array(0,4,5,8,1,30); //Symbols in md5 hash for password. Numbers must be in 0..31 $ipnet="192.168.88."; if ( $PwdType == "Common" ) { $str=$d."-".$Secret; $r=md5($str); $res="*"; foreach ($symbols as &$i) {$res=$res.substr($r,$i,1);}; }; if ( $PwdType == "CommonTill" ) { $Till=utf8_decode($Till); $Till=substr($Till,1,strlen($Till)-2); $str=$d."-".$Till."-".$Secret; $r=md5($str); $res="#".$Till."-"; foreach ($symbols as &$i) {$res=$res.substr($r,$i,1);}; }; if ( $PwdType == "Personal" ) { $ip=$ipnet.$ClientID; $PersonalTill=utf8_decode($PersonalTill); $PersonalTill=substr($PersonalTill,1,strlen($PersonalTill)-2); $str=$d."-".$PersonalTill."-".$ip."-".$Secret; $r=md5($str); $res="$".$PersonalTill."-"; foreach ($symbols as &$i) {$res=$res.substr($r,$i,1);}; }; ?> <H2>Password="<?print $res;?>"</H2> <H1 align=center><a href="index.php">Return</a></H1>

पासवर्ड परीक्षक (index.php)

 <HTML> <!--0123456789ABCDEF0123456789ABCDEF0123456789ABCDEF0123456789ABCDEF0123456789ABCDEF0123456789ABCDEF0123456789ABCDEF0123456789ABCDEF0123456789ABCDEF0123456789ABCDEF0123456789ABCDEF0123456789ABCDEF0123456789ABCDEF0123456789ABCDEF0123456789ABCDEF0123456789ABCDEF0123456789ABCDEF0123456789ABCDEF0123456789ABCDEF0123456789ABCDEF0123456789ABCDEF0123456789ABCDEF0123456789ABCDEF0123456789ABCDEF0123456789ABCDEF0123456789ABCDEF0123456789ABCDEF--> <? $addr="192.168.88.1"; $a=getenv("REMOTE_ADDR"); $s=getenv("SERVER_NAME"); $ipnet="192.168.88."; $p=strpos($a,$ipnet); if ($p === false) { print "<B>Internal error: <I>Wrong network (Network=$ipnet, Address=$a)</I></B> \n"; exit; }; if ($p > 0 ) { print "<B>Internal error: <I>Wrong network (Position=$p)</I></B> \n"; exit; }; ?> Please, call XXXX to get password. Your ID is <STRONG><? print substr($a,strlen($ipnet));?></STRONG> <FORM action=http://<?print $addr;?>/do.php method=post> <CENTER> Password <INPUT name=pwd type=password> <INPUT type=submit value="Activate Internet"> </CENTER> </FORM> </HTML>

पासवर्ड परीक्षक (do.php)

 <? $Secret="123"; //Common secret $d=date("Ymd"); //Current Date $symbols=array(0,4,5,8,1,30); //Symbols in md5 hash for password. Numbers must be in 0..31 $ipnet="192.168.88."; $ip=getenv("REMOTE_ADDR"); $pwd=$_POST["pwd"]; $fc=substr($pwd,0,1); //first charter is code of password type $PipeFile="./pipe"; if ($pwd == "") { print "<H1 align=center>Wrong empty password. <a href='/'>return</a></H1>"; exit; }; if ( $fc == "*" ) { $str=$d."-".$Secret; $r=md5($str); $res="*"; foreach ($symbols as &$i) {$res=$res.substr($r,$i,1);}; $Till=25; }; if ( $fc == "#" ) { $p=strpos($pwd,"-"); $Till=substr($pwd,1,$p-1); $str=$d."-".$Till."-".$Secret; $r=md5($str); $res="#".$Till."-"; foreach ($symbols as &$i) {$res=$res.substr($r,$i,1);}; }; if ( $fc == "$" ) { $p=strpos($pwd,"-"); $PersonalTill=substr($pwd,1,$p-1); $str=$d."-".$PersonalTill."-".$ip."-".$Secret; $r=md5($str); $res="$".$PersonalTill."-"; foreach ($symbols as &$i) {$res=$res.substr($r,$i,1);}; $Till=$PersonalTill; }; if ($pwd != $res) { print "<H1 align=center>Wrong password. <a href='/'>return</a></H1>"; exit; }; file_put_contents ( $PipeFile, substr($ip,strlen($ipnet))." $Till\n", FILE_APPEND); ?> <H1 align=center>Access to Internte granted</H1>

एक स्क्रिप्ट जो पाइप की निगरानी करती है और परिवर्तन करती है।

 #!/bin/bash PipeFile="/var/www/html/pipe" LogFile="/var/log/script.log" ErrFile="/var/log/script.err" DebugFile="/var/log/script.debug" ipnet="192.168.88." ipset_prog="/usr/sbin/ipset" ipset_setname="good" ctr_prog="/usr/sbin/conntrack" function debug() { local d=`date` echo "$d Debuging started" >>$DebugFile for i in `seq 1 254`; do if [ ${b[$i]} != "0" ]; then echo "b[$i] = ${b[$i]}" >>$DebugFile fi done; echo "==================== Debuging finised =================" >>$DebugFile } function initfunc() { #Init for i in `seq 1 254`; do b[$i]="0" done; ( d=`date` echo "$d Init function called" $ipset_prog -F $ipsetname $ctr_prog -F ) &>>$LogFile }; function update() { ( local d1=`date` local d=`date +%H` echo "$d1 Update function called" for i in `seq 1 254`; do if [ ${b[$i]} -gt "0" ] && [ ${b[$i]} -le "$d" ]; then b[$i]=0 ip2="$ipnet$i" echo "Deleting address $ip2" &>>$LogFile $ipset_prog -D $ipset_setname $ip2 &>>$LogFile $ctr_prog -F fi done ) &>>$LogFile } #update ################# Start program ################# initfunc while true; do while read line; do a=( $line ) ip=${a[0]} tm=${a[1]} if [ "$ip" == "reload" ]; then initfunc continue fi if [ "$ip" == "update" ]; then update continue fi if [ "$ip" == "debug" ]; then debug continue fi b[$ip]=$tm ip2="$ipnet$ip" ( d=`date` echo "$d Added address $ip2 with time:$tm" $ipset_prog -A $ipset_setname $ip2 &>>$LogFile $ctr_prog -F ) &>>$LogFile update done <$PipeFile done

वेब प्रमाणीकरण के साथ अतिथि इंटरनेट एक्सेस बनाना