wifidog开源模块,通过iptable对报文进行重定向到端口2060接口,对报文进行拦截,利用iptable实现用户上网行为管理功能,目前市面上的无线多采用此模块进行portale认真。 本文章对wifidog的源码进行了分析,希望有所帮助。
("-t mangle -I PREROUTING 1 -i %s -j " CHAIN_OUTGOING, config->gw_interface);
("-t mangle -I PREROUTING 1 -i %s -j " CHAIN_TRUSTED, config->gw_interface);
("-t mangle -I PREROUTING 1 -i %s -j " CHAIN_AUTH_IS_DOWN, config->gw_interface);
3).在挂载点为POSTROUTING ,输出接口为gw_interface,执行相应的链表。
("-t mangle -I POSTROUTING 1 -o %s -j " CHAIN_INCOMING, config->gw_interface);
4).链表CHAIN_TRUSTED,匹配mac地址为白名单中设置的mac,则设置mark标记为FW_MARK_KNOWN = 2,对此mac不进行拦截。
("-t mangle -A " CHAIN_TRUSTED " -m mac --mac-source %s -j MARK --set-mark %d", p->mac,FW_MARK_KNOWN);
2.1.2 在nat表中创建新的链表和规则
1). 在nat表中创建新的链表。
("-t nat -N " CHAIN_OUTGOING);
("-t nat -N " CHAIN_TO_ROUTER);
("-t nat -N " CHAIN_TO_INTERNET);
("-t nat -N " CHAIN_GLOBAL);
("-t nat -N " CHAIN_UNKNOWN);
("-t nat -N " CHAIN_AUTHSERVERS);
("-t nat -N " CHAIN_AUTH_IS_DOWN);
2).在挂载点PREROUTING,输入接口gw_interface,执行表CHAIN_OUTGOING
("-t nat -A PREROUTING -i %s -j " CHAIN_OUTGOING, config->gw_interface);
3).在链表CHAIN_OUTGOING,目的地址为gw_address,则执行链表 CHAIN_TO_ROUTER。
("-t nat -A " CHAIN_OUTGOING " -d %s -j " CHAIN_TO_ROUTER, config->gw_address);
("-t nat -A " CHAIN_TO_ROUTER " -j ACCEPT");
4).在链表CHAIN_OUTGOING,执行表CHAIN_TO_INTERNET。
("-t nat -A " CHAIN_OUTGOING " -j " CHAIN_TO_INTERNET);
5).表CHAIN_TO_INTERNET添加规则,tcp协议,目的端口80,匹配mark标记,并重定向到端口proxy_port.
("-t nat -A " CHAIN_TO_INTERNET" -p tcp --dport 80 -m mark --mark 0x%u -j REDIRECT --to-port %u",FW_MARK_KNOWN, proxy_port);
("-t nat -A " CHAIN_TO_INTERNET " -p tcp --dport 80 -m mark --mark 0x%u -j REDIRECT --to-port %u",FW_MARK_PROBATION, proxy_port);
6).表CHAIN_TO_INTERNET添加规则,匹配mark标记,返回ACCEPT.
("-t nat -A " CHAIN_TO_INTERNET " -m mark --mark 0x%u -j ACCEPT", FW_MARK_KNOWN);
("-t nat -A " CHAIN_TO_INTERNET " -m mark --mark 0x%u -j ACCEPT", FW_MARK_PROBATION);
7).在链表CHAIN_TO_INTERNET,执行表CHAIN_UNKNOWN。
iptables_do_command("-t nat -A " CHAIN_TO_INTERNET " -j " CHAIN_UNKNOWN);
8).在链表CHAIN_UNKNOWN,执行表CHAIN_AUTHSERVERS、CHAIN_GLOBAL、CHAIN_AUTH_IS_DOWN。
("-t nat -A " CHAIN_UNKNOWN " -j " CHAIN_AUTHSERVERS);
("-t nat -A " CHAIN_UNKNOWN " -j " CHAIN_GLOBAL);
("-t nat -A " CHAIN_UNKNOWN " -j " CHAIN_AUTH_IS_DOWN);
9). 在链表CHAIN_AUTH_IS_DOWN,添加规则,匹配mark标记,返回ACCEPT
("-t nat -A " CHAIN_AUTH_IS_DOWN " -m mark --mark 0x%u -j ACCEPT",
FW_MARK_AUTH_IS_DOWN);
10). 在链表CHAIN_UNKNOWN,添加规则,tcp协议,目的端口80,重定向到端口gw_port。
("-t nat -A " CHAIN_UNKNOWN " -p tcp --dport 80 -j REDIRECT --to-ports %d", gw_port);
2.1.3 在fliter表中创建新的链表和规则
1).
在flitert表中创建新的链表
("-t filter -N " CHAIN_TO_INTERNET);
("-t filter -N " CHAIN_AUTHSERVERS);
("-t filter -N " CHAIN_LOCKED);
("-t filter -N " CHAIN_GLOBAL);
("-t filter -N " CHAIN_VALIDATE);
("-t filter -N " CHAIN_KNOWN);
("-t filter -N " CHAIN_UNKNOWN);
("-t filter -N " CHAIN_AUTH_IS_DOWN);
2). filter表中在forword挂载点,输入接口
config->gw_interface,执行链表
CHAIN_TO_INTERNET
("-t filter -I FORWARD -i %s -j " CHAIN_TO_INTERNET, config->gw_interface);
3). filter中添加链表
CHAIN_TO_INTERNET,匹配状态INVALID,则DROP
("-t filter -A " CHAIN_TO_INTERNET " -m state --state INVALID -j DROP");
4). 在链表中
CHAIN_TO_INTERNET添加规则,输出口ext_interface, tcp协议,则执行TCPMSS ,--clamp-mss-to-pmtu根据mtu调整MSS的值
("-t filter -A " CHAIN_TO_INTERNET " -o %s -p tcp --tcp-flags SYN,RST SYN
-j TCPMSS --clamp-mss-to-pmtu", ext_interface);
5). 在链表
CHAIN_TO_INTERNET添加规则
CHAIN_AUTHSERVERS,对于目的ip为authserverip地址的报文放行
("-t filter -A " CHAIN_TO_INTERNET " -j " CHAIN_AUTHSERVERS);
iptables_fw_set_authservers();
6). 从配置文件中读取相应的规则,并配置防火墙
iptables_load_ruleset
2.2 while循环;获取client连接,为每个client创建线程,处理http请求.
2.2.1. 获取client连接 r = httpdGetConnection(webserver, NULL);
2.2.2. 为每个client创建线程,处理http请求;thread_httpd
2.2.1 thread_httpd
1). 读取http请求httpdReadRequest();
2). 查找访问目录,如果dir= NULL,则调用函数http_callback_404
dir = _httpd_findContentDir(server, dirName, HTTP_FALSE);
3). 根据dir和entryName查找entry路径
entry = _httpd_findContentEntry(r, dir, entryName);
4).调用注册的entry函数
(entry->function) (server, r);
即:
httpdAddCContent(webserver, "/", "wifidog", 0, NULL, http_callback_wifidog);
httpdAddCContent(webserver, "/wifidog", "", 0, NULL, http_callback_wifidog);
httpdAddCContent(webserver, "/wifidog", "about", 0, NULL, http_callback_about);
httpdAddCContent(webserver, "/wifidog", "status", 0, NULL, http_callback_status);
httpdAddCContent(webserver, "/wifidog", "auth", 0, NULL, http_callback_auth);
httpdAddCContent(webserver, "/wifidog", "disconnect", 0, NULL, http_callback_disconnect);
2.2.1.1 http_callback_404
1). 检测网络是否连接,否,则返回提示页面
send_http_page(r, "Uh oh! Internet access unavailable!", buf);
2). 检测认证server是否在线,否,则返回提示页面
send_http_page(r, "Uh oh! Login screen unavailable!", buf);
3). 检测域名白名单,存在,放行!
get_ruleset("global");
fw_allow_host(r->request.host);
4). 返回302重定向报文
http_send_redirect_to_auth(r, urlFragment, "Redirect to login page");
2.2.1.2 http_callback_auth
当client接收到302重定向报文后,访问认证server,并返回认证界面, 输入用户名密码后,向authserver返回,并获取到authserver为它分配的token值,执行redirect url跳转,向wifidog模块发送auth报文,携带token值,请求认证。
1.向client链表中添加client信息
client_list_add(r->clientAddr, mac, token->value);
2.对client进行认证处理
authenticate_client(r);
1). 获取token值;
httpdGetVariableByName(r, "token"))
2). 向认证服务器发送认证请求
auth_server_request();
3). 根据认证结果,放行或拦截client
fw_allow(client, FW_MARK_PROBATION);
fw_deny(client);
2.3 thread_ping
函数ping(void)
1). 建立tcp连接
2). 发送ping包
res = https_get(sockfd, request, auth_server->authserv_hostname);
res = http_get(sockfd, request);
3)标记认证服务器状态,如果服务器down,设置防火墙规则,放行所有client。
fw_set_authdown();
fw_set_authup();
2.4 thread_client_timeout_check
1)每隔一段时间,检测client是否在线, 根据流量统计,来判断client是否在线
2)与认证服务器进行client同步
3)针对client进行相关处理。
2.2 thread_wdctl
1). 创建unix
wdctl_socket_server = create_unix_socket(sock_name);
2). 监听wdctl发送的命令
status、stop、reset、restart