Era askotan egin daiteke internet atzipen kontrol bat. Normalena, suhesian ebaki kanporako atzipena. Soluzio honek, arazo bat dauka. Edonork ezin dezake suhesia kontrolatu. Beste metodo bat behar dugu. Edozein irakaslek erabil dezakeena. Horrela, irakasle batek, gela bati ezar diezaioke interneterako atzipena edo ukatu. Gainera, era erraz batean behar du egin. Normalena, web orri baten bitartez. Hau egiten saiatuko gara.
Ikus dezagun ikastetxe baten adibidea.
Eskolako Azpisareak |
|
Azpisareak |
IP Taldeak |
Irakasleak |
172.16.0.0/24 |
Ikasleak |
172.16.1.0/24 |
Zuzendaritza |
172.16.2.0/24 |
Zerbitzariak |
172.16.3.0/24 |
Ikasgelen Helbideak |
|
Ikasgelak |
IP Taldeak |
Gela-01 |
172.16.1.17 -> 172.16.1.32 |
Gela-02 |
172.16.1.33 -> 172.16.1.48 |
Gela-03 |
172.16.1.49 -> 172.16.1.64 |
Gela-04 |
172.16.1.65 -> 172.16.1.80 |
Gela-05 |
172.16.1.81 -> 172.16.1.96 |
Gela-06 |
172.16.1.97 -> 172.16.1.112 |
Gela-07 |
172.16.1.113 -> 172.16.1.128 |
Gela-08 |
172.16.1.129 -> 172.16.1.144 |
Baherrezko softwarea
Atzipen kontrola squidekin egingo dugu. Behar ditugun paketeak squid, apache, php eta sudo dira. Besteak instalatuta daude.
Instalazio script-ak, /var/spool/squid-n sortuko digu katxe-aren direktorio hierarkia, eta martxan jartzen du. Badaukagu ba, squid martxan. Edozein arrazoirengatik, ez baditu direktorioak sortzen, sortzera behar dezakegu squid -z agintearekin.
Squid konfiguratzen
Konfigurazio fitxategia /etc/squid/squid.conf da. Probak egin nahi baditugu, hona hemen aldatu daitezkeen parametro batzuk:
Ez dira egin probak, aldaketa hauen eragina ebaluatzeko, baina RAM memoria nahikoa badugu, ez dute arazorik sortu behar. Jarrai dezagun konfiguratzen.
Komenigarria da hurrengoa aldatzea. Jarri komeni zaizkizuen izenak / esaldiak.
Euskaraz
jarriko ditugu errore mezuak. Hortarako, egokitu ditugun mezuak
kopiatuko ditugu, eta Squid-en konfigurazioa aldatu. Lehenengo, /var/www/lhpaiaki/squid-basque eta /var/www/lhpaiaki/squid-spanish direktorioak kopiatuko ditugu bere kokalekura. Lehendik dauden gaztelerazkoei segurtasun kopia ere egingo diegu.
mv -p R /usr/share/squid/errors/Spanish /usr/share/squid/errors/Spanish-orig
cp -p R /var/www/lhpaiaki/squid-basque /usr/share/squid/errors/Basque
cp -p R /var/www/lhpaiaki/squid-spanish /usr/share/squid/errors/Spanish
Orain, squid konfigurazio fitxategian, Euskara aukeratuko dugu errore mezuen hizkuntzarako. Hurrengo lerroa horrela geratuko da /etc/squid/squid.conf fitxategian:
Erregistro sistema jarriko dugu. Zer erregistratu, eta zein neurritan.
# ---------- Erregistro sistema ----------
cache_log /var/log/squid/cache.log
access_log /var/log/squid/access.log squid
useragent_log /var/log/squid/useragent.log
debug_options ALL,1
Zein portutan egon behar den zain esango diogu. Sare txartelaren helbidea ere esango diogu,. Honela, bat baiono gehiago baditugu, zeini kasu egin behar dion erabaki dezakegu.
ACL-ak / ACLs
Nork egin dezaken zer gauza, eta nor ez zehazteko, acl-ak erabiltzan dira. Sistema hau erabiliko dugu Interneteko atzipena kontrolatzeko. Squid proxy-ak, adierazita dauden ordenan aztertuko ditu acl-ak.
Zein portu diren seguruak eta beste gauza batzuk adieraziko dizkiogu:
# ---------- ACL berezi batzuk ----------
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 81 # http mail
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
acl manager proto cache_object
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
Orain, beharrezkoak diren baimenak emango dizkiegu adierazitako ACL-ei.
Zein orri ez dituen katxeatu behar esango diogu. Normalean, cgi-ak izango dira, berrien orriak, eta aguraldiarena, noski. Geinera, esan diezaikegu, ez ditzala katxeatu abestiak, bideoak, etab. Administratzailearen esku utziko dugu erabakia.
Ez katxeatzeko helbideen zerrenda, /etc/squid/iak.noca.conf fitxategian jarriko dugu. Hau izan daiteke bere edukia:
Atzipen kontrola
Denok dakigu, nabigatzaileetan sortzen diren arazoak, gehigarriak direla eta. Batez ere Internet Explorer nabigatzailean. Gainera, gehigarri edo plugin hauen, erabiltzaileak jakin gabe instalatzen dira. Hau dela eta, bost motatako acl-ak sortuko ditugu. Lehenengoa, irakaslee sareak baimentzeko. Web orri instituzionalak jarriko ditugu gero. Orri hauek edozein nabigatzailekin eta beti ikusteko aukera izango dugu. Gero, eduki ez egokia edo banda zabalera jaten dizkigutelako debekatuta ditugun domeinuak. Gero, seguruak ez diren nabigatzaileei ukatu egingo diegu interneterako atzipena. Azkenik, ikasgelen kontrola egingo dugu. Hona hemen irudi bat:Kontutan izan, zerrenda hauek, jarrita dauden moduan ebaluatuko direla. Hau da, lehenengo agertzen denak arabakiko du ukatu ala ez atzipena. IP zerrendak dst acl mota bidez jartzen baditugu, DNS konexioa behar da lehenengo ezxarri. Motelagoan izango dira konexio ebaluapen hauek. IP helbidearen bitartez jartzen baditugu, prozesua azkarragoa izango da. Horrela jarriko ditugu, adibide gisa. Hurrengoan beste erara jarriko ditugu. Ikus ditzagun orain, erabiliko ditugun acl-ak. Zerrendak komentatuak daude, eta beraz, ez dugu azalpen gehiagoreik emango.
Defektuzko konfigurazioan, squid-ek soilik onartzen ditu localhost konexioak. Gure sareetatik eginiko konexioak onar ditzan, horrela agindu behar diogu. Squid-en konfigurazio fitxategian, esango diogu, fitxatgegi batetik har ditzala beti baimendutako sareak. Sare horiek izan daitezke irakasleena, zuzendaritzarena, etab.
# ---------- Beti Nabigatzeko Atzipen Baimenak ----------
include /etc/squid/iak.nets.conf
/etc/squid/iak.nets.conf fitxategiaren edukia, holako zerbait izango da:
Orain esan diezaiokegu, ez dezala sekula utzi konektatzera ez-egokiak diren tokietara. Pornoak, deskarga guneak, etab. Esango diegu, /etc/squid/iak.nodo.conf fitxategiaren edukia har dezala.
Fitxategiaren edukia hau izan daiteke:
Orain, edozien nabigatzailerekin beti baimendutako helbideekin goaz. Jaurlaritza, foru aldundien, edo beti interesgarriak diren orriak izan daitezke. Honela adieraziko diogu:
/etc/squid/iak.sido.conf fitxategiaren edukia hau izan daiteke:
Orain nabigatzaileen txanda da. Irazi ditzan esango diogu squid-i.:
# ---------- Nabigatzaileen definizioak eta atzipen kontrola ----------/etc/squid/iak.brow.conf edukia honelakoa izan daiteke:
acl OngiNabiga browser FirefoxOrain ikasgelen kontrola jarriko dugu.
# ---------- Ikasgelen definizioak eta atzipen kontrola ----------/etc/squid/iak.room.conf fitxategiaren edukia, holakoa izango da defektuz:
Behar ditugun beste parametro batzuk:
Errorerik egin dugun proba dezagun. Hortarako, konfigurazio fitxategia aztertzeko agintea erabiliko dugu:
Dena ongi badago, konfigurazio berria har dezan esango diogu:
Proxy-a probatu aurretik, eta DMZn dagoenez, atzipena baimendu behar dugu suhesian. Honela geratuko litzateke erregla:
Source |
Destination |
Service |
Action |
---|---|---|---|
Irakasleak Ikasleak Zuzendaritza Zerbitzariak |
antivirus perimetral |
squid (3128) |
Accept |
Proxy-a probatzeko, nabigatzailearen hobespenak aldatu, eta esan proxy-a duela periometroko antibirusaren IP-an, eta 3128 portuan. Hurrengo atala den "Nabigatzaileak konfiguratzen" ikus dezakezu. Sorte on!
Proba dezagun funtzionamendua. Jar diezaiogu ordenagailu bati 172.16.1.18/24 helbidea. Helbide hau, gela-01 gelako bigarren ordenagailuaren helbidea da. Hurrengo aginte hau egikarituko dugu, eta Internetea atzipena duen egiaztatuko dugu. Ez probatu MSIE nabigatzailearekin ;-) Erabili Azeria.
Dena ongi? Aurrera!
Arazoak sortzen direnean
ACLekin lan egiten dugunean, sarritan sortzen dira arazoak, eta erregistroak ez digu informazio gehiegirik ematen. Hurrengo parametroak jarri /etc/squid/squid.conf fitxategian, eta berrabiarazi squid. Sorte on!
CGI skrip-a
Ez dugu squid.conf fitxategia zuzenean aldatuko, baizik eta web zerbitzariak egikaritzen duen script exekutagarri baten bitartez. Script honek, erregistro fitxategi bat sortzen du. Fitxategi hontan, nork, noiz, nondik, eta zein nabigatzailekin eman duen aldatze agintea agertuko dira. Fitxategi hau /var/log/iak direktorioan sortuko dugu. Beraz, Apache agikaritzen duen prozesuak idazteko baimenak izan behar ditu direktorio hontan. Hotarako:
Orain script-a sortuko dugu. Script-a, atzipen kontrolaren /var/www/iak direktorioan kokatuta dago. Hona hemen kudeatu.php scriptaren kodea:
On egin!
Web orria
Orain, web orri bat egingo dugu. Web zerbitzariaren iak direktorioan jarriko dugu. Debian banaketan /var/www/iak/. Sor dezagun direktorio hau.
Web orriaren izena iak.php izango da. Hemen duzu adibide bat 8 gelarekin:
Web zerbitzaria root bezala
Normalean, web zerbitzaria izango da, eta es root, script-a egikarituko duena. Bestalde, root baimenak behar dira squid prozesua kudeatzeko. Arazoa konpontzeko, root baimenak emango dizkiogu web zerbitzaria egikaritzen duen erabiltzaileari. Kasu hontan www-data. Soilik egikarituko behar ditu bi aginte. Hortarako sudo agintea erabiliko dugu. sudo agintea /etc/sudoers fitxategian konfiguratzen da. Fitxategi hau editatzeko, visudo agintea erabiltzea da komenigarri. Horrela, bukatzerakoan, fitxategia ongi dagoen egiaztatzen da. Editatzeko, pultsa i. Aginte modura bueltatzeko, ESC pultsatu. Komando modutik, gorde eta irtetzeko, :wq. Hona hemen fitxategi honek izan behar duen itxura:
Ikus dezakegunez, ez du pasahitzik eskatuko. Kitto!
INPORTANTEA: Host_Alias parametroan, hostalariaren izena jarri behar dugu eta ez alias bat. hostname fitxategian daukaguna izan daiteke.
Segurtasuna
Web orri hontan soilik sartu ahal izan behar da irakasle, zuzendaritza eta sareko azpisareetati¡k. Honez gain, soilik sartu behar dira irakasleak. Irakasleen autentifikazioa bi eratara egingo dugu. Lehenengoa, fitxategi baten aurka. Bigarrena, MS Active Directory-ren aurka.
Fitxategi baten aurka
Fitxategi baten aurka autentifikatzeko irakasleak, Apache konfiguratu behar dugu. /etc/apache2/conf.d/ direktorioan, iak.conf fitxategian, hurrengo hau jarriko dugu:
Orain, erabiltzaileak eta pasahitzak sortu behar ditugu /var/lib/apache2/irakasleak.pass fitxategian. 8 irakasle aukeratuko ditugu, eta baimendu egingo ditugu. Pasahitza eskatuko digu, eta lehenengo erabiltzailearekin -c parametroa jarri behar dugu, fitxategia sor dezan. Hurrengo aginteak egikaritu:
Erabiltzailea ezabatu nahi badugu ordez, -D parametroa emango diogu.
Orain, apache egikaritzen duen prozesuak irakur ahal dezan, ugazaba aldatuko diogu:
Azkenik, Apacheren konfigurazioa birkargatuko dugu.
MS-en Active dIrectory-ren aurka
Gauza bera egin dezakegu Active Directory badaukagu. Kontutan izan beharko dugu, nola Active Directory-n, irakasleak gain, ikasleak ere eduki ditzakegu.
Lehenengo, Apache-ren modulu bi gaitu behar ditugu. Hona hemen nola:
Hona hemen /etc/apache2/conf.d/iak fitxategiaren edukia:
Hona hemen LDAP-i dagozkion parametroen azalpen txiki bat:
Parametroa | Azalpena | ||||||||||||||||||
AuthBasicProvider | Nork ematen duen autentifikazioa | ||||||||||||||||||
AuthzLDAPAuthoritative | Baimentzeko orduan, azkenengo hitza LDAP moduluak duen ala ez | ||||||||||||||||||
AuthLDAPUrl | Nondik bilatzen den irakasleen informazioa | ||||||||||||||||||
|
|||||||||||||||||||
AuthLDAPBindDN | LDAP direktorioan bilaketa egiten duen erabiltzailea (Beharrezkoa AD-n) | ||||||||||||||||||
|
|||||||||||||||||||
AuthLDAPBindPassword | Bilaketa egiten duen erabiltzailearen pasahitza |
Arazotxo bat dago Linux-en LDAP eta AD-ren artean. Konpontzeko, hurrengo lerroa jarriko dugu /etc/ldap/ldap.conf fitxategian:
REFERRALS offOrain, Apacheren konfigurazioa birkargatuko dugu.
/etc/init.d/apache2 reloadOHARRA: Ahaztu gabe! Antibirusetik irakasleen erabiltzaile kontuak dituen zerbitzarira eginiko konexioentzat, ireki behar duzue suhesian 389 portua.
Contra OpenLDAP
Active Directory LDAP direktorioa bezala, OpenLDAP erabil dezakegu autentifikazioa egiteko.
Lehenengo, eta ADren kasuak bezala, Apache-ren modulu bi gaitu behar ditugu:
Hona hemen /etc/apache2/conf.d/iak fitxategiaren edukia:
Hona hemen OpenLDAP-en LDAP-ari dagozkion parametroen azalpen txiki bat:
Parámetro | Explicación | ||||||||||||
AuthBasicProvider | Nork ematen duen autentifikazioa | ||||||||||||
AuthzLDAPAuthoritative | Baimentzeko orduan, azkenengo hitza LDAP moduluak duen ala ez | ||||||||||||
AuthLDAPUrl | Nondik bilatzen den irakasleen informazioa | ||||||||||||
|
|||||||||||||
AuthLDAPBindDN | LDAP direktorioan bilaketa egiten duen erabiltzailea | ||||||||||||
|
|||||||||||||
AuthLDAPBindPassword | Bilaketa egiten duen erabiltzailearen pasahitza |
Orain, Apacheren konfigurazioa birkargatuko dugu.
/etc/init.d/apache2 reloadOHARRA: Ahaztu gabe! Antibirusetik irakasleen erabiltzaile kontuak dituen zerbitzarira eginiko konexioentzat, ireki behar duzue suhesian 389 portua.
Log fitxategia
Lehen aipatu denez, erregistro fitxategia /var/log/iak/iak.log da. Gehiegi has ez dadin, biratu egingo dugu. Hortarako /etc/logrotate.d/iak sortuko dugu hurrengo edukiarekin:
Konfigurazio automatikoa
Goizean eta arratsaldean, klaseak bukatu ondoren, defektuzko konfigurazioa jarriko dugu atzipen kontrolean. Automatikoki egingodugu, cron bidez. Lan hau aginduko diogu egunero 15:30 eta 23:30 etan. Hortarako, kudeatu.php fitxategtia egikarituko du defektuz parametroarekin. Gure adibidean, klase guztiak itxiko ditu. Hortarako, /etc/cron.d/iakfitxategi bat sortuko dugu edukin honekin:
Azkenik, cron prozesua berrabiaraziko dugu.
/etc/init.d/cron restart
Proba dezagun ba aplikazioa. Hurrengo helbidea sartu nabigatzailean eta probatu.
Sorte on!