PXE(Preboot eXecute Environment) 不是一门新技术,实际上它已经非常成熟了。早在上个世纪末就已经有这项技术了。仔细看看,它已经有20年左右的历史(~2000年)了啊!PXE技术一直被广泛运用在机房,网吧等需要大批量维护计算机系统的场合。因为给数十数百台计算机分配安装介质是不实际的。通过PXE技术,可以让局域网内部的机器通过网络启动系统安装程序,进而统一部署。网吧的无盘(硬盘)系统也是基于PXE开发出来的。
好久没有打理博客了。为什么?忙(尽给自己找借口)。其实是阿里云被我用来部署项目,博客临时迁回了家里路由器。再后来遇到了20-1大,公网443被咔擦了。所以再后来就不了了之了。
最近吧Plume(微羽网站服务器) Cong新弄了下,然后活着回来了。
报个平安。
本文的研究成果是在 Captive Portal Using PHP and iptables Firewall on Linux 的基础上完成的。适用于任何使用 iptables 来共享上网的 Linux 软路由,因此,本迷你 Portal 也支援在树莓派上搭建。使用的原料:一台认证服务器(装有 PHP + MySQL),一台 Linux 接入路由。
警告:本文章操作具有一定危险性,您的电脑极有可能因为网络操作而断开连接。因此请您后果自负。请将本文章仅仅用在实验或教学目的,因为本文只是用以探讨 Captive Portal 的工作原理,而不是开发和搭建一个可以生产和公开使用的认证系统。如果您觉得本文对您有所帮助,我会非常感激
首先,我们介绍几点 Wi-Fi Portal 认证工作的基本原理:
1. 安装 conntrack
|
1 |
sudo apt-get install conntrack |
2. 新建并编辑文件 /usr/bin/rmtrack (用于删除用户连接跟踪轨迹),并设置权限
|
1 2 3 4 5 6 |
nano /usr/bin/rmtrack #!/bin/bash /usr/sbin/conntrack -L |grep $1 |grep ESTAB |grep 'dport=80' |awk"{ system("conntrack -D --orig-src $1 --orig-dst " substr($6,5) " -p tcp --orig-port-src " substr($7,7) " --orig-port-dst 80"); }" chmod 755 /usr/bin/rmtrack |
3. 为 Web 服务器的执行用户开放免密码 sudo 权限
|
1 2 3 4 5 6 |
sudo visudo 插入以下内容并保存(假定 www-data 为 Web 服务器的执行用户) www-data ALL=NOPASSWD: /usr/sbin/arp www-data ALL=NOPASSWD: /sbin/iptables www-data ALL=NOPASSWD: /usr/bin/rmtrack [0-9]*.[0-9]*.[0-9]*.[0-9]* |
4. 实现开机自动设置 iptables 规则,插入如下代码(假定 100.64.0.1 为接入端,172.31.254.100 为 Web Portal 认证端,eth0 为 LAN 网卡接口名称,如果不需要将认证端与接入端分离,请直接将认证端 IP 与接入端 IP 设置为相同内容)
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 |
################################################################### #增加 iptables 规则,创建 portal 认证链 /sbin/iptables -t mangle -N portal /sbin/iptables -t mangle -A PREROUTING -i eth0 -p tcp -m tcp --dport 1:65534 -j portal /sbin/iptables -t mangle -A PREROUTING -i eth0 -p udp -m udp --dport 1:65534 -j portal /sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp -m mark --mark 99 -m tcp --dport 1:65534 -j DNAT --to-destination 100.64.0.1 /sbin/iptables -t mangle -A portal -j MARK --set-mark 99 /sbin/iptables -t mangle -I portal 1 -d 172.31.254.100 -p tcp -m tcp -j RETURN /sbin/iptables -t mangle -I portal 1 -d 100.64.0.1 -p tcp -m tcp -j RETURN /sbin/iptables -t mangle -I portal 1 -d 100.64.0.1 -p udp --dport 1:52 -j DROP /sbin/iptables -t mangle -I portal 1 -d 100.64.0.1 -p udp --dport 54:65534 -j DROP #未验证用户禁止上网,但排除第三方认证 portal(在 FORWARD 链进行) /sbin/iptables -t filter -A FORWARD -m mark --mark 99 -j DROP /sbin/iptables -t filter -A FORWARD -m mark --mark 99 -d 172.31.254.100 -j ACCEPT #未验证用户禁止上网,但排除第三方认证 portal(在 INPUT 链进行,以防用户使用 squid 等代理上网) /sbin/iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT /sbin/iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT /sbin/iptables -t filter -A INPUT -m mark --mark 99 -j DROP /sbin/iptables -t filter -A INPUT -m mark --mark 99 -d 172.31.254.100 -j ACCEPT ################################################################### |
5. 搭建好 Web 服务器与 PHP 运行环境 ,这里假定使用 nginx。注意 Web 服务器应该仅保留一个默认网站,建议不使用虚拟主机与多站点。因为在用户未认证前,他们的各式各色的 HTTP 请求将会被本 Web 服务器接管。如果仅绑定一个域名,那么其他域名可能会发生 400 Bad Request 错误)在 nginx 的配置文件中,加入一个 URL 重写规则,以将所有页面的请求重写至 index.php 处理。
|
1 2 3 4 5 6 7 8 9 |
################################# 核心 URL 重写规则 ##################################### # 将所有 Web 请求都强行重写给 index.php 处理,导向到 Web Portal,并排除 Web Portal 的地址 if ( $remote_addr != "172.31.254.100" ) { rewrite /. /index.php last; } ######################################################################################## |
6. 分别部署好认证端与接入端的 PHP 页面,如果想让认证与接入同时在一个设备进行,请将认证端页面与接入端页面部署在同一台服务器上。修改 config.php 中的配置:
接入端:
|
1 2 3 4 5 6 7 8 9 10 11 12 |
<?php /* iEdon Mini Portal System */ // 定义 Web Portal 认证端URL define('PORTAL_URL', 'http://xxxx'); // 定义本接入端ID define('NAS_ID', 'iedon-net-access-point'); ?> |
认证端:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 |
<?php /* iEdon Mini Portal System */ // 定义 portal 站点名称 define('PORTAL_NAME', 'iEdon-Net'); // 定义底部文字 define('FOOTER_TEXT', '使用 Internet 前请先验证身份'); // 底部版权信息 define('COPYRIGHT', '&copy; 2012-2017 iEdon'); // 定义默认的跳转URL define('DEFAULT_REDIRECT_URL', 'http://iedon.com'); // MySQL define('MYSQL_SERVER', '127.0.0.1'); define('MYSQL_USERNAME', 'root'); define('MYSQL_PASSWORD', 'root'); define('MYSQL_DATABASE_NAME', 'iedon_mini_portal'); // 分支接入路由器配置,支持多分支机构。不同的分支机构调用不同的回调接口。 /* eg: define('传递过来的nas参数_URL', '接入分支路由的回调URL'); define('传递过来的nas参数_NAME', '接入分支路由的友好描述'); */ define('iedon-net-access-point_URL', 'http://接入端地址/callback.php'); define('iedon-net-access-point_NAME', '办公室网'); ?> |
7. 导入认证端中的 sql 文件至 MySQL 数据库。确认接入端 config.php 中的连接信息正确无误。
本篇文章笔者将介绍一种简单的基于 SIP 协议的 VoIP 电话网络系统的搭建。我们这次搭建的并不是传统意义上的使用程控交换机操作的双芯铜线座机电话网络(也称 PSTN,公共交换电话网络),而是一种网络IP电话网络。
这里先解释以下问题:
交换机,就像一个不知疲倦的高效率的接线员一样,当A发起到B的通讯请求时,本“接线员”就将A->B的链路接到一起,使A与B之间可以互相交流。
大家肯定都注意到,移动早在去年推出了在纯 4G 分组数据网络上的高清通话(VoLTE),而电信在家家户户升级光纤,拆除进户电话线后,传统的固话竟然直接接在ONU设备(光猫)上。这一切的背后到底是人性的扭曲还是道德的沦丧?啊呸呸呸,不论是 VoLTE,VoWiFi,电信光猫上的语音功能,他们的本质都是一个,VoIP,即在承载网络上传输语音数据。所以 VoLTE 就是在 LTE 接入的网络中传递语音(而不需要回落到类似PSTN的传统2G的电路交换,上网通话都在 4G 环境下),VoWiFi 就是在现有 Wi-Fi 环境下,利用 Wi-Fi 网络来传递语音。现代电话采用IP网络来作为载体是一种明显的趋势,满足了现在人们对快速高清通话、富媒体传输的需要。
QQ的语音平台模型可能比较容易解释这套系统:张三通过QQ语音服务器联系上了李四,像这样: 张三 <--> QQ语音服务器 <--> 李四
以上提到的几乎所有现代电话通信方式,其本质大都是基于 SIP 协议实现的 VoIP 。而整个这样一套接入控制系统,也称 IMS。
SIP:(Session Initiation Protocol,会话初始协议)是由IETF(Internet Engineering Task Force,因特网工程任务组)制定的多媒体通信协议。它是一个基于文本的应用层控制协议,用于创建、修改和释放一个或多个参与者的会话。是 VoIP 系统中最主要的协议,通话前期它控制信令(如拨号给张三)的传播,并维护后期的数据传输通道。
IMS:(IP Multimedia Subsystem)IP多媒体子系统,是对上述 VoIP 接入控制交换这一套系统的总称。
具体定义这不阐述,自行G一下。
任意常见的操作系统平台,类 Unix/Windows 都可以,所以本套电话网络可以搭建在树莓派上!
核心软件:FreeSWITCH (免费开源,超强大的说)
笔者提示:本软件可以在官方网站上获取源代码与预编译好的二进制代码。编译完成后,可以使用 FreeSWITCH.exe / fs_cli 来启用控制台。在默认情况下, FreeSWITCH 提供了 1000-1019 这一些默认帐号可以提供测试目的的使用。下面,笔者将介绍 FreeSWITCH 的重要配置目录与文件。
conf/dialplan:这里就是拨号规则的配置文件夹。其中包含默认拨号规则文件 (default.xml)。通过修改这些文件可以实现拨号行为的调整。
下面是对其中一规则的摘录:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 |
<extension name="Local_Extension"> <!-- 拨号规则名称 --> <!-- 目的号码匹配规则,支持使用正则表达式 --> <condition field="destination_number" expression="^(10[01][0-9])$"> <!-- 匹配 1000-1019 --> <action application="export" data="dialed_extension=$1" /> <!-- bind_meta_app can have these args <key> [a|b|ab] [a|b|o|s] <app> --> <action application="bind_meta_app" data="1 b s execute_extension::dx XML features"/> <action application="bind_meta_app" data="2 b s record_session::$${recordings_dir}/${caller_id_number}.${strftime(%Y-%m-%d-%H-%M-%S)}.wav"/> <action application="bind_meta_app" data="3 b s execute_extension::cf XML features"/> <action application="bind_meta_app" data="4 b s execute_extension::att_xfer XML features"/> <!-- 接通提示音(“嘟”声,美标) --> <!-- <action application="set" data="ringback=${us-ring}"/> --> <!-- 可以自定义音乐,达到“彩铃”的效果 --> <action application="set" data="ringback=${sounds_dir}/RINGBACK.wav" /> <action application="set" data="transfer_ringback=$${hold_music}" /> <action application="set" data="call_timeout=60" /> <!-- <action application="set" data="sip_exclude_contact=${network_addr}"/> --> <action application="set" data="hangup_after_bridge=true" /> <!-- 在以下出错情况下继续 --> <action application="set" data="continue_on_fail=NORMAL_TEMPORARY_FAILURE,USER_BUSY,NO_ANSWER,TIMEOUT,NO_ROUTE_DESTINATION"/> <action application="set" data="continue_on_fail=true" /> <action application="hash" data="insert/${domain_name}-call_return/${dialed_extension}/${caller_id_number}"/> <action application="hash" data="insert/${domain_name}-last_dial_ext/${dialed_extension}/${uuid}"/> <action application="set" data="called_party_callgroup=${user_data(${dialed_extension}@${domain_name} var callgroup)}"/> <action application="hash" data="insert/${domain_name}-last_dial_ext/${called_party_callgroup}/${uuid}"/> <action application="hash" data="insert/${domain_name}-last_dial_ext/global/${uuid}"/> <!--<action application="export" data="nolocal:rtp_secure_media=${user_data(${dialed_extension}@${domain_name}var rtp_secure_media)}"/>--> <action application="hash" data="insert/${domain_name}-last_dial/${called_party_callgroup}/${uuid}"/> <!-- 将呼入的电话桥接至本交换域中的用户(即:将拨叫方与被叫方连接起来) --> <action application="bridge" data="user/${dialed_extension}@${domain_name}"/> <!-- 告知拨叫方对方已经摘机 --> <action application="answer" /> <!-- 延迟1秒 --> <action application="sleep" data="1000" /> <!-- 如果拨号过程发生错误,且错误能继续往下处理,则执行以下流程 --> <!-- FreeSWITCH 自带的语音信箱功能(比如语音留言) --> <!-- <action application="bridge" data="loopback/app=voicemail:default${domain_name} ${dialed_extension}"/> --> <!-- 播放提示音、提示语(比如正在通话中,未接听等) --> <action application="playback" data="${sounds_dir}/BEGIN.wav" /> <action application="playback" data="${originate_disposition}.wav" /> </condition> </extension> |
上面演示了 FreeSWITCH 在拨号时的处理流程。
conf/directory/default:这里存放了本交换机中用户的配置文件。例如:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 |
<include> <user id="1002"> <!-- 用户名(电话号码) --> <params> <param name="password" value="$${default_password}"/> <!-- 该用户(话机)向本交换机注册时使用的密码,这里使用默认密码 --> <param name="vm-password" value="1002"/> </params> <variables> <variable name="toll_allow" value="domestic,international,local"/> <variable name="accountcode" value="1002"/> <!-- 用户名(电话号码) --> <variable name="user_context" value="default"/> <!-- 用户上下文 --> <variable name="effective_caller_id_name" value="Extension 1002"/> <!-- 用户名称(友好地显示) --> <variable name="effective_caller_id_number" value="1002"/> <!-- 用户电话号码(友好地显示) --> <variable name="outbound_caller_id_name" value="$${outbound_caller_name}"/> <variable name="outbound_caller_id_number" value="$${outbound_caller_id}"/> <variable name="callgroup" value="techsupport"/> </variables> </user> </include> |
conf/vars.xml:这是 FreeSWITCH 的变量主要配置文件。下面摘录一些重要的配置项:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 |
<X-PRE-PROCESS cmd="set" data="default_password=XXX"/> <!-- 定义用户的默认密码 --> <X-PRE-PROCESS cmd="set" data="sound_prefix=$${sounds_dir}/en/us/callie"/> <!-- 定义声音文件的目录 --> <!-- 设定内部(internal)/外部(external)的IP与域名称。FreeSWITCH 在启动时会自动获取网络情况与IP信息,甚至可以自动做 UPnP 映射来实现内网穿透。 --> <X-PRE-PROCESS cmd="set" data="external_sip_ip=$${local_ip_v4}"/> <X-PRE-PROCESS cmd="set" data="external_rtp_ip=$${local_ip_v4}"/> <X-PRE-PROCESS cmd="set" data="internal_sip_ip=X.X.X.X"/> <X-PRE-PROCESS cmd="set" data="internal_rtp_ip=X.X.X.X"/> <X-PRE-PROCESS cmd="set" data="domain=$${local_ip_v4}"/> <X-PRE-PROCESS cmd="set" data="domain_name=$${domain}"/> <!-- SIP监听的端口号 / SSL 通讯设置。 --> <!-- Internal SIP Profile --> <X-PRE-PROCESS cmd="set" data="internal_auth_calls=true"/> <X-PRE-PROCESS cmd="set" data="internal_sip_port=5060"/> <X-PRE-PROCESS cmd="set" data="internal_tls_port=5061"/> <X-PRE-PROCESS cmd="set" data="internal_ssl_enable=false"/> <!-- External SIP Profile --> <X-PRE-PROCESS cmd="set" data="external_auth_calls=false"/> <X-PRE-PROCESS cmd="set" data="external_sip_port=5080"/> <X-PRE-PROCESS cmd="set" data="external_tls_port=5081"/> <X-PRE-PROCESS cmd="set" data="external_ssl_enable=false"/> |
现在各大平台都有可以使用的SIP客户端软件。笔者这里推荐几款:X-Lite(Windows,免费),JusVoIP(Android&iOS,免费),Mac 下同样在 App Store 里有很多可选的客户端。
实际上 iEdon 接触博客已经有很多年了。算下来从2012年开始注册这个顶级域名,到现在差不多已经过了将近5年。这5年的风风雨雨,依然没有阻挡我对网络的热情,我坚持着为这个当年热衷的域名添加活力。现在,2017年,我已经是一名即将进入大二的学生了,我在思想、领悟等众多方面都有了巨大的变化,因此是时候给自己一个修心养性,提高自我的私人平台。没错,就是这个博客。
计算机这一个大圈子是我从小到现在都喜欢的,从破碎的四色窗到碧蓝天芳草地直到透露希望之光的窗子……这么多年来我在计算机方面的接触范围很广,只要是感兴趣的,都有研究一番,有时候甚至可以通宵达旦,不知疲倦。自从上个月参加了蓝桥杯,同某一位高一认识的大牛有所交谈后,深知自己的距离与短浅。我决心重新开拓一条成长的道路。
祝一切安好、顺利。
以上
