PCDVD數位科技討論區 - 【求助】有誰知道怎麼做到像seednet的『帳號未開通時的連線畫面』？看不懂嗎....直接近來看看吧...

PCDVD數位科技討論區 (https://www.pcdvd.com.tw/index.php)

- 疑難雜症區 (https://www.pcdvd.com.tw/forumdisplay.php?f=34)

【求助】有誰知道怎麼做到像seednet的『帳號未開通時的連線畫面』？看不懂嗎....直接近來看看吧...

恩...在下是某大學宿舍理的網路管理小組成員:cool: ，由於最近全面改用DHCP自動取得IP方式，使得管理上有很大的不便:( ，怎說？就是我們要記錄那個IP是哪間寢室的那個人在用，以便未來作監控與管制（例如他中毒或在搶頻寬:tu: ），但由於使用DHCP的關係，使得不用在宿網組登記也可以上網:jolin: ，所以想要效訪seednet的方式。Seednet的作法是，如果沒繳費，或是帳號沒開通，一開瀏覽器只會連上一個網頁，seednet專屬的網頁，用來開通與帳號作業用的.....我們也想要做到那樣，在未登記前只能連上我們架的網站，然後在網頁上登記後，即便開通他的宿網，有沒有人知道怎麼去做到如此呢？:confused: 謝謝各位的幫忙!:like:

頻寬管理負載器

做網卡MAC設定

每台設

沒設的不能上

這樣應該可

只是很麻煩一W一

引用:

Originally posted by jackal0601
頻寬管理負載器

做網卡MAC設定

每台設

沒設的不能上

這樣應該可

只是很麻煩一W一

您好：
我們現在學校裡的方法就是這樣，但由於我們宿網組的人力不足，所以想要換方法...謝謝您的意見

回覆: 【求助】有誰知道怎麼做到像seednet的『帳號未開通時的連線畫面』？看不懂嗎....直接近來看看吧...

引用:

Originally posted by processors4
恩...在下是某大學宿舍理的網路管理小組成員:cool: ，由於最近全面改用DHCP自動取得IP方式，使得管理上有很大的不便:( ，怎說？就是我們要記錄那個IP是哪間寢室的那個人在用，以便未來作監控與管制（例如他中毒或在搶頻寬:tu: ），但由於使用DHCP的關係，使得不用在宿網組登記也可以上網:jolin: ，所以想要效訪seednet的方式。Seednet的作法是，如果沒繳費，或是帳號沒開通，一開瀏覽器只會連上一個網頁，seednet專屬的網頁，用來開通與帳號作業用的.....我們也想要做到那樣，在未登記前只能連上我們架的網站，然後在網頁上登記後，即便開通他的宿網，有沒有人知道怎麼去做到如此呢？:confused: 謝謝各位的幫忙!:like:

要強迫瀏覽任何網頁都轉到特定網頁, 有兩種方式:
1. 用 policy based routing (PBR):
在 router 上, 只放行登錄過的 (source) IP addresses.
尚未登錄的將 (destination) port 80 轉到登錄的網站, 非 port 80 的一律 deny. (domain, bootp, ... 除外)
網頁程式在使用者登錄後, 則連到 router 將他的 (source) IP addr. 放行.
(因為需要依據 source IP addr. 來做 routing, 所以需要啟動 PBR)

2. 用 DNS 來控制.
在 router 上, 將 (destination) port 53 轉到一台特定的 DNS server.
尚未登錄的 IP addr. 查任何 domain時, 都會解成登錄的網站的 IP addr.,
網頁程式在使用者登錄後, 則連到 router (及 DNS server)將他的 IP addr. 放行.
(router 上不需啟動 PBR, 以 DNS server 依據 client端的不同來做類似的工作....)

外面有公司在寫這種系統, 包含您提到的後續的 (即時) 監控管制的自動化.

如果只是要讓使用者每次上網前一定要先登錄.
個人曾架過 linux router/bridge,
以 iptables + apache + php + radtest(radius client) 寫過...
程式還滿短的...

回覆: 回覆: 【求助】有誰知道怎麼做到像seednet的『帳號未開通時的連線畫面』？看不懂嗎....直接近來看看�

引用:

Originally posted by 8:5
要強迫瀏覽任何網頁都轉到特定網頁, 有兩種方式:
1. 用 policy based routing (PBR):
在 router 上, 只放行登錄過的 (source) IP addresses.
尚未登錄的將 (destination) port 80 轉到登錄的網站, 非 port 80 的一律 deny. (domain, bootp, ... 除外)
網頁程式在使用者登錄後, 則連到 router 將他的 (source) IP addr. 放行.
(因為需要依據 source IP addr. 來做 routing, 所以需要啟動 PBR)

不過router似乎不適合做這類苦工(一般ASIC只能處理單純的packet forwarding,access list/policy routing得由CPU處理,但一般router的CPU都不是很高檔,再加上要動態update其config,後果如何要試了才知道;)),在學術網路等traffic大的網路上恐怕跑起來會很吃力:)....

引用:

2. 用 DNS 來控制.
在 router 上, 將 (destination) port 53 轉到一台特定的 DNS server.
尚未登錄的 IP addr. 查任何 domain時, 都會解成登錄的網站的 IP addr.,
網頁程式在使用者登錄後, 則連到 router (及 DNS server)將他的 IP addr. 放行.
(router 上不需啟動 PBR, 以 DNS server 依據 client端的不同來做類似的工作....)

應該是把unknown client的DNS request redirect到另一部只提供fake answer的DNS server即可(以不變動一般DNS server的實作為原則,不過router要如何分辨unknown client恐怕還是得動到policy routing,問題還是跟前面一樣;))....BTW,遇到user直接打ip address恐怕就破功了(default得drop unknown traffic:))...

引用:

外面有公司在寫這種系統, 包含您提到的後續的 (即時) 監控管制的自動化.

如果只是要讓使用者每次上網前一定要先登錄.
個人曾架過 linux router/bridge,
以 iptables + apache + php + radtest(radius client) 寫過...
程式還滿短的...

弟在pczone也是建議原發文者試試transparent mode firewall配合類似TP的方式(對其現有網路架構的impact最小;))....BTW,這類方式說穿了只是以mac address(頂多再加上ip address)來判斷放行與否,因為只知user上網的時點,而不知其何時offline好把ACCEPT rule拿掉,再加上在LAN中要偽造ip/mac address也不是難事,並不是很可靠,另外雖說在LAN上也能跑PPPoE,但這實在不是個好主意:)....

回覆: 回覆: 回覆: 【求助】有誰知道怎麼做到像seednet的『帳號未開通時的連線畫面』？看不懂嗎....直接近�

引用:

Originally posted by cmwang
不過router似乎不適合做這類苦工(一般ASIC只能處理單純的packet forwarding,access list/policy routing得由CPU處理,但一般router的CPU都不是很高檔,再加上要動態update其config,後果如何要試了才知道;)),在學術網路等traffic大的網路上恐怕跑起來會很吃力:)....

是很吃力, 所以才會有用 DNS 來管制的想法.

引用:

嗯... 細節就不敘述了, 不過是可以弄到 router 不需要啟動 PBR:
從 DHCP 得到的 DNS server 是一台特定的 DNS, (不分是否登錄過與否)
那台 DNS 會依據 client ip addr.來決定行為 (例如: 使用 view)
除它之外, (dest) port 53 一律 deny, (避免使用者自己設定其他的 DNS servers)
那就可以讓 DNS 來強制使用者登錄了,
至於, 使用者直接打 IP addr... 真要管制, 也有辦法的...

引用:

除了讓使用者自己點 logout 外, 也可以設定 idle timeout,
如果是 bridge mode, 用 forwarding table 決定是否 idle 過久 (brctl showmacs)
如果是 router mode, 用 arp table 來決定是否 idle 過久 (arp -a)
假造 ip/mac addr. 的問題, 覺得可以忽略...
(想從 linux bridge/router 來設定應該是無解, 需要原本的 L2 switches 的支援)

有一些細節要注意, 不過就不再討論了...

沒有打算請外面的公司寫的話,
使用 linux bridge, 以 iptables 來設定應該是比較可行的方法....
因為只用到一台機器, 比較單純. 而且因為是 bridge mode, 有問題就拔掉或 bypass
不過, 如果 traffic 太大的話, 效能可能會不能接受...

恩...謝謝大家的回覆...提供了相當多的方法...
不過...我似乎忘了說一件很重要的事情...
我忘了說一下我們現有的設備...呵呵～:p

我們的宿網架構是這樣的...
首先，是由各寢室的網路RJ-45接孔連線到各樓層的switch HUB，然後再由各Switch HUB連接到各區域的『頻寬管理器』(頻寬管理器的詳細資料) 上，然後各頻寬管理器在分別連接到兩台『頻寬整合器』上，透過6條ADSL對外連接！

基本上是想要利用現有的設備去做改善或新的調整，只是不知道能不能做的到...:confused:

當然，也可以提出新的架構，有沒有人可以建議要添購哪些設備？以達到最佳的管理效能！一切夠用就好...經費方面，由舍監呈報到學校申請....:D

再次感謝各位先進的幫忙...小弟程度實在是不足...不夠資格進宿網組...慚愧:cry:

自己在推一下...:shy:

引用:

Originally posted by processors4
自己在推一下...:shy:

這類東東在vlab(see http://www.vlab.com.tw/)可能會比較多人有興趣,不妨到那裏post一下吧:):)....