【求助】有誰知道怎麼做到像seednet的『帳號未開通時的連線畫面』？看不懂嗎....直接近來看看吧...

processors4

New Member

加入日期: Apr 2004

文章: 6

【求助】有誰知道怎麼做到像seednet的『帳號未開通時的連線畫面』？看不懂嗎....直接近來看看吧...

恩...在下是某大學宿舍理的網路管理小組成員

，由於最近全面改用DHCP自動取得IP方式，使得管理上有很大的不便

，怎說？就是我們要記錄那個IP是哪間寢室的那個人在用，以便未來作監控與管制（例如他中毒或在搶頻寬

），但由於使用DHCP的關係，使得不用在宿網組登記也可以上網

，所以想要效訪seednet的方式。Seednet的作法是，如果沒繳費，或是帳號沒開通，一開瀏覽器只會連上一個網頁，seednet專屬的網頁，用來開通與帳號作業用的.....我們也想要做到那樣，在未登記前只能連上我們架的網站，然後在網頁上登記後，即便開通他的宿網，有沒有人知道怎麼去做到如此呢？

謝謝各位的幫忙!

2004-05-15, 02:18 PM #1

8:5

Major Member

加入日期: Dec 2002

您的住址: 謎

文章: 265

回覆: 【求助】有誰知道怎麼做到像seednet的『帳號未開通時的連線畫面』？看不懂嗎....直接近來看看吧...

引用:

Originally posted by processors4
恩...在下是某大學宿舍理的網路管理小組成員，由於最近全面改用DHCP自動取得IP方式，使得管理上有很大的不便，怎說？就是我們要記錄那個IP是哪間寢室的那個人在用，以便未來作監控與管制（例如他中毒或在搶頻寬），但由於使用DHCP的關係，使得不用在宿網組登記也可以上網，所以想要效訪seednet的方式。Seednet的作法是，如果沒繳費，或是帳號沒開通，一開瀏覽器只會連上一個網頁，seednet專屬的網頁，用來開通與帳號作業用的.....我們也想要做到那樣，在未登記前只能連上我們架的網站，然後在網頁上登記後，即便開通他的宿網，有沒有人知道怎麼去做到如此呢？謝謝各位的幫忙!

要強迫瀏覽任何網頁都轉到特定網頁, 有兩種方式:
1. 用 policy based routing (PBR):
在 router 上, 只放行登錄過的 (source) IP addresses.
尚未登錄的將 (destination) port 80 轉到登錄的網站, 非 port 80 的一律 deny. (domain, bootp, ... 除外)
網頁程式在使用者登錄後, 則連到 router 將他的 (source) IP addr. 放行.
(因為需要依據 source IP addr. 來做 routing, 所以需要啟動 PBR)

2. 用 DNS 來控制.
在 router 上, 將 (destination) port 53 轉到一台特定的 DNS server.
尚未登錄的 IP addr. 查任何 domain時, 都會解成登錄的網站的 IP addr.,
網頁程式在使用者登錄後, 則連到 router (及 DNS server)將他的 IP addr. 放行.
(router 上不需啟動 PBR, 以 DNS server 依據 client端的不同來做類似的工作....)

外面有公司在寫這種系統, 包含您提到的後續的 (即時) 監控管制的自動化.

如果只是要讓使用者每次上網前一定要先登錄.
個人曾架過 linux router/bridge,
以 iptables + apache + php + radtest(radius client) 寫過...
程式還滿短的...

2004-05-16, 02:58 AM #4

cmwang

Elite Member

加入日期: May 2002

您的住址: 板橋

文章: 5,112

回覆: 回覆: 【求助】有誰知道怎麼做到像seednet的『帳號未開通時的連線畫面』？看不懂嗎....直接近來看看�

引用:

Originally posted by 8:5
要強迫瀏覽任何網頁都轉到特定網頁, 有兩種方式:
1. 用 policy based routing (PBR):
在 router 上, 只放行登錄過的 (source) IP addresses.
尚未登錄的將 (destination) port 80 轉到登錄的網站, 非 port 80 的一律 deny. (domain, bootp, ... 除外)
網頁程式在使用者登錄後, 則連到 router 將他的 (source) IP addr. 放行.
(因為需要依據 source IP addr. 來做 routing, 所以需要啟動 PBR)

不過router似乎不適合做這類苦工(一般ASIC只能處理單純的packet forwarding,access list/policy routing得由CPU處理,但一般router的CPU都不是很高檔,再加上要動態update其config,後果如何要試了才知道

),在學術網路等traffic大的網路上恐怕跑起來會很吃力

....

引用:

2. 用 DNS 來控制.
在 router 上, 將 (destination) port 53 轉到一台特定的 DNS server.
尚未登錄的 IP addr. 查任何 domain時, 都會解成登錄的網站的 IP addr.,
網頁程式在使用者登錄後, 則連到 router (及 DNS server)將他的 IP addr. 放行.
(router 上不需啟動 PBR, 以 DNS server 依據 client端的不同來做類似的工作....)

應該是把unknown client的DNS request redirect到另一部只提供fake answer的DNS server即可(以不變動一般DNS server的實作為原則,不過router要如何分辨unknown client恐怕還是得動到policy routing,問題還是跟前面一樣

)....BTW,遇到user直接打ip address恐怕就破功了(default得drop unknown traffic

)...

引用:

外面有公司在寫這種系統, 包含您提到的後續的 (即時) 監控管制的自動化.

如果只是要讓使用者每次上網前一定要先登錄.
個人曾架過 linux router/bridge,
以 iptables + apache + php + radtest(radius client) 寫過...
程式還滿短的...

弟在pczone也是建議原發文者試試transparent mode firewall配合類似TP的方式(對其現有網路架構的impact最小

)....BTW,這類方式說穿了只是以mac address(頂多再加上ip address)來判斷放行與否,因為只知user上網的時點,而不知其何時offline好把ACCEPT rule拿掉,再加上在LAN中要偽造ip/mac address也不是難事,並不是很可靠,另外雖說在LAN上也能跑PPPoE,但這實在不是個好主意

....

__________________
士大夫之無恥,是謂國恥

....

2004-05-16, 10:50 AM #5

8:5

Major Member

加入日期: Dec 2002

您的住址: 謎

文章: 265

回覆: 回覆: 回覆: 【求助】有誰知道怎麼做到像seednet的『帳號未開通時的連線畫面』？看不懂嗎....直接近�

引用:

Originally posted by cmwang
不過router似乎不適合做這類苦工(一般ASIC只能處理單純的packet forwarding,access list/policy routing得由CPU處理,但一般router的CPU都不是很高檔,再加上要動態update其config,後果如何要試了才知道),在學術網路等traffic大的網路上恐怕跑起來會很吃力....

是很吃力, 所以才會有用 DNS 來管制的想法.

引用:

)....BTW,遇到user直接打ip address恐怕就破功了(default得drop unknown traffic

)...

嗯... 細節就不敘述了, 不過是可以弄到 router 不需要啟動 PBR:
從 DHCP 得到的 DNS server 是一台特定的 DNS, (不分是否登錄過與否)
那台 DNS 會依據 client ip addr.來決定行為 (例如: 使用 view)
除它之外, (dest) port 53 一律 deny, (避免使用者自己設定其他的 DNS servers)
那就可以讓 DNS 來強制使用者登錄了,
至於, 使用者直接打 IP addr... 真要管制, 也有辦法的...

引用:

弟在pczone也是建議原發文者試試transparent mode firewall配合類似TP的方式(對其現有網路架構的impact最小

....

除了讓使用者自己點 logout 外, 也可以設定 idle timeout,
如果是 bridge mode, 用 forwarding table 決定是否 idle 過久 (brctl showmacs)
如果是 router mode, 用 arp table 來決定是否 idle 過久 (arp -a)
假造 ip/mac addr. 的問題, 覺得可以忽略...
(想從 linux bridge/router 來設定應該是無解, 需要原本的 L2 switches 的支援)

有一些細節要注意, 不過就不再討論了...

沒有打算請外面的公司寫的話,
使用 linux bridge, 以 iptables 來設定應該是比較可行的方法....
因為只用到一台機器, 比較單純. 而且因為是 bridge mode, 有問題就拔掉或 bypass
不過, 如果 traffic 太大的話, 效能可能會不能接受...

2004-05-16, 06:03 PM #6

processors4

New Member

加入日期: Apr 2004

文章: 6

恩...謝謝大家的回覆...提供了相當多的方法...
不過...我似乎忘了說一件很重要的事情...
我忘了說一下我們現有的設備...呵呵～

我們的宿網架構是這樣的...
首先，是由各寢室的網路RJ-45接孔連線到各樓層的switch HUB，然後再由各Switch HUB連接到各區域的『頻寬管理器』(頻寬管理器的詳細資料) 上，然後各頻寬管理器在分別連接到兩台『頻寬整合器』上，透過6條ADSL對外連接！

基本上是想要利用現有的設備去做改善或新的調整，只是不知道能不能做的到...

當然，也可以提出新的架構，有沒有人可以建議要添購哪些設備？以達到最佳的管理效能！一切夠用就好...經費方面，由舍監呈報到學校申請....

再次感謝各位先進的幫忙...小弟程度實在是不足...不夠資格進宿網組...慚愧

此文章於 2004-05-17 03:28 AM 被 processors4 編輯.

2004-05-17, 03:17 AM #7

processors4 New Member 加入日期: Apr 2004 文章: 6	自己在推一下...
2004-05-17, 04:45 PM #8