Era askotan egin daiteke internet atzipen kontrol bat. Normalena, suhesian ebaki kanporako atzipena. Soluzio honek, arazo bat dauka. Edonork ezin dezake suhesia kontrolatu. Beste metodo bat behar dugu. Edozein irakaslek erabil dezakeena. Horrela, irakasle batek, gela bati ezar diezaioke interneterako atzipena edo ukatu. Gainera, era erraz batean behar du egin. Normalena, web orri baten bitartez. Hau egiten saiatuko gara.
Kontutan izan, adibide hau, HTTP proxy-aren atalean agindakoaz laguntzen dela. Beste instalazio mota bat nahi izanez gero, sistema imaginatu beharko da atal biak kontutan izanez.
Ikus dezagun ikastetxe baten adibidea.
Eskolako Azpisareak |
|
Azpisareak |
IP Taldeak |
Irakasleak |
172.16.0.0/24 |
Ikasleak |
172.16.1.0/24 |
Zuzendaritza |
172.16.2.0/24 |
Zerbitzariak |
172.16.3.0/24 |
Ikasgelen Helbideak |
|
Ikasgelak |
IP Taldeak |
Gela-01 |
172.16.1.17 -> 172.16.1.32 |
Gela-02 |
172.16.1.33 -> 172.16.1.48 |
Gela-03 |
172.16.1.49 -> 172.16.1.64 |
Gela-04 |
172.16.1.65 -> 172.16.1.80 |
Gela-05 |
172.16.1.81 -> 172.16.1.96 |
Gela-06 |
172.16.1.97 -> 172.16.1.112 |
Gela-07 |
172.16.1.113 -> 172.16.1.128 |
Gela-08 |
172.16.1.129 -> 172.16.1.144 |
Baherrezko softwarea
Behar ditugun paketeak squid eta sudo dira. Besteak instalatuta daude.
Instalazio script-ak, /var/spool/squid-n sortuko digu katxe-aren direktorio hierarkia, eta martxan jartzen du. Badaukagu ba, squid martxan. Edozxein arrazoirengatik, ez baditu direktorioak sortzen, sortzera behar dezakegu squid -z agintearekin.
Squid konfiguratzen
Konfigurazio fitxategia /etc/squid/squid.conf da. Probak egin nahi baditugu, hona hemen aldatu daitezkeen parametro batzuk:
Ez dira egin probak, aldaketa hauen eragina ebaluatzeko, baina RAM memoria nahikoa badugu, ez dute arazorik sortu behar.
Komenigarria da hurrengoa aldatzea. Jarri komeni zaizkizuen izenak / esaldiak.
Zein portutan egon behar den zain esango diogu. Sare txartelaren helbidea ere esango diogu,. Honela, bat baiono gehiago baditugu, zeini kasu egin behar dion erabaki dezakegu.
Zein orri ez dituen katxeatu behar esango diogu. Normalean, cgi-ak izango dira, berrien orriak, eta aguraldiarena, noski. Geinera, esan diezaikegu, ez ditzala katxeatu abestiak, bideoak, etab. Administratzailearen esku utziko dugu erabakia.
Defektuzko konfigurazioan, squid-ek soilik onartzen ditu localhost konexioak. Gure sareetatik eginiko konexioak onar ditzan, horrela agindu behar diogu. Hortarako, atzipen kontrol zerrenda bat sortuko dugu, eta zerrenda hori baimen dezala esango diogu.
Orain esango diogu, beste proxy bat duela gainean, eta hura erabili behar duela. Proxy hay HAVP da, eta trafikoa aztertzeko erabiltzen dugu.
Euskaraz jarriko ditugu errore mezuak. Hortarako, pertsonalizatu ditugun mezuak kopiatuko duitugu, eta Squid-en konfigurazioa aldatu. Lehenengo, /var/www/lhpaiaki/squid-basque eta /var/www/lhpaiaki/squid-spanish direktorioak kopiatuko ditugu bere kokalekura. Lehendik dauden gaztelerazkoei segurtasun kopia ere egingo diegu.
Orain, squid konfigurazio fitxategian, Euskara aukeratuko dugu errore mezuen hizkuntzarako. Hurrengo lerroa horrela geratuko da /etc/squid/squid.conf fitxategian:
Errorerik egin dugun proba dezagun. Hortarako, konfigurazio fitxategia aztertzeko agintea erabiliko dugu:
Dena ongi badago, konfigurazio berri har dezan esango diogu:
Squid-en 2.6.5-6 bertsioan, ohartu naiz, errore bat ematen duela, eta ez dela abiarazten squid, fitxategi batzuen baimenengatik. Ugazaba root da, eta proxy izan beharko litzateke. Konpon dezagun arazoa:
Ugazaba aldatuko diogu.
Proxy-a probatu aurretik, eta DMZn dagoenez, atzipena baimendu behar dugu suhesian. Honela geratuko litzateke erregla:
Source |
Destination |
Service |
Action |
---|---|---|---|
Irakasleak Ikasleak Zuzendaritza Zerbitzariak |
antivirus perimetral |
squid (3128) |
Accept |
Proxy-a probatzeko, nabigatzailearen hobespenak aldatu, eta esan proxy-a duela periometroko antibirusaren IP-an, eta 3128 portuan. Sorte on!
ACL-ak / ACLsNork erabil dezaken squid eta nor ez zehazteko, acl-ak erabiltzan dira. Hau da: atzipen kontrolerako zerrendak. Sistema hau erabiliko dugu Interneteko atzipoena kontrolatzeko. Squid proxy-ak, acl-ak azztertuko ditu, adierazita dauden ordenan.
Denok dakigu, nabigatzaileetan sortzen diren arazoak, gehigarriak direla eta. Batez ere Internet Explorer nabigatzailean. Gainera, gehigarri edo plugin hauen, erabiltzaileak jakin gabe instalatzen dira. Hau dela eta, hiru motatako acl-ak sortuko ditugu. Lehenengoa, irakaslee sareak baimentzeko. Web orri instituzionalak jarriko ditugu gero. Orri hauek edozein nabigatzailekin eta beti ikusteko aukera izango dugu. Gero, seguruak ez diren nabigatzaileei ukatu egingo diegu interneterako atzipena. Azkenik, ikasgelen kontrola egingo dugu. Hona hemen irudi bat:
Kontuitan izan, zerrenda hauek, jarrita dauden moduan ebaluatuko direla. Hau da, lehenengo agertzen denak arabakiko du ukatu ala ez atzipena. IP zerrendak dst acl mota bidez jartzen baditugu, DNS konexioa behar da lehenengo ezxarri. Motelagoan izango dira konexio ebaluapen hauek. IP helbidearen bitartez jartzen baditugu, prozesua azkarragoa izango da. Horrela jarriko ditugu, adibide gisa. Hurrengoan beste erara jarriko ditugu. Ikus ditzagun orain, erabiliko ditugun acl-ak. Zerrendak komentatuak daude, eta beraz, ez dugu azalpen gehiagoreik emango.
IP helburuak. Denentzat interesgarriak diren zenbait helbide.
Orain, nabigatzaileen definizioak jarriko ditugu.
Orain, atzipen erreglak jarriko ditugu. Lehenengo suebkiari emango diogu baimena. Gero irakasle, zuzendaritza eta sareko azpisareei. Segidan, interesgarriak diren web guineetan emango digi sartzeko baimena. Gero, seguruak ez diren nabigatzaileak debekatuko ditugu. Azkenik, ikasgelen atzipen kontrola egingo dugu. Defektuz, denek dute debekatuta Internet Atzipena.
Proba dezagun funtzionamendua. Jar diezaiogu ordenagailu bati 172.16.1.18/24 helbidea. Helbide hau, gela-01 gelako bigarren ordenagailuaren helbidea da. Hurrengo aginte hau egikarituko dugu, eta Internetea atzipena duen egiaztatuko dugu. Ez probatu MSIE nabigatzailearekin ;-) Erabili Azeria.
Dena ongi? Aurrera!
Arazoak sortzen direnean
ACLekin lan egiten dugunean, sarritan sortzen dira arazoak, eta erregistroak ez digu informazio gehiegirik ematen. Hurrengo parametroak jarri /etc/squid/squid.conf fitxategian, eta berrabiarazi squid. Sorte on!
CGI skrip-a
Ez dugu squid.conf fitxategia zuzenean aldatuko, baizik eta web zerbitzariak egikaritzen duen script exekutagarri baten bitartez. Script honek, erregistro fitxategi bat sortzen du. Fitxategi hontan, nork, noiz, nondik, eta zein nabigatzailekin eman duen aldatze agintea agertuko dira. Fitxategi hau /var/log/iak direktorioan sortuko dugu. Beraz, Apache agikaritzen duen prozesuak idazteko baimenak izan behar ditu direktorio hontan. Hotarako:
Orain script-a sortuko dugu. Script hau, web zerbitzariaren cgi-bin direktorioan sortuko dugu. Debian banaketan, direktorio hau /usr/lib/cgi-bin da. Scriptaren izena kudeatu izango da. Script hau, txosten honen lehenengo orrian duzue eskuragarri. Errekurtsoak atalean.
Exekutagarri egin dezagun.
Goazen probatzera. Aginte hauek egikarituko ditugu eta ea funzionatzen duten.
Kontuz! Probatu ondoren ez ahaztu /var/log/iak/iak.log fitxategia ezabatzeaz. root erabiltzaileak sortu du. Beste inork ez du baimenik fitxategi hortan idazteko. Scriptak idatz dezan, berak sortu behar du fitxategia.
Scriparen beste bertsio bat dago. Bertsio hau PHP lengoaian programatu da. Abantailarik nagusiena, interaktiboagoa dela. Ez da beste orri batetik pasatzen bueltan. Arazoa? Motelagoa da. Atzipen kontrolaren /var/www/iak direktorioan kokatuta dago. Hona hemen kodea:
On egin!
Web orria
Orain, web orri bat egingo dugu. Web zerbitzariaren iak direktorioan jarriko dugu. Debian banaketan /var/www/iak/. Sor dezagun direktorio hau.
Web orriaren izena iak.php izango da. Hemen duzu adibide bat 8 gelarekin:
Web zerbitzaria root bezala
Normalean, web zerbitzaria izango da, eta es root, script-a egikarituko duena. Bestalde, root baimenak behar dira squid prozesua kudeatzeko. Arazoa konpontzeko, root baimenak emango dizkiogu web zerbitzaria egikaritzen duen erabiltzaileari. Kasu hontan www-data. Soilik egikarituko behar ditu bi aginte. Hortarako sudo agintea erabiliko dugu. sudo agintea /etc/sudoers fitxategian konfiguratzen da. Fitxategi hau editatzeko, visudo agintea erabiltzea da komenigarri. Horrela, bukatzerakoan, fitxategia ongi dagoen egiaztatzen da. Editatzeko, pultsa i. Aginte modura bueltatzeko, ESC pultsatu. Komando modutik, gorde eta irtetzeko, :wq. Hona hemen fitxategi honek izan behar duen itxura:
Ikus dezakegunez, ez du pasahitzik eskatuko. Kitto!
INPORTANTEA: Host_Alias parametroan, hostalariaren izena jarri behar dugu eta ez alias bat. hostname fitxategian daukaguna izan daiteke.
Segurtasuna
Web orri hontan soilik sartu ahal izan behar da irakasle, zuzendaritza eta sareko azpisareetati¡k. Honez gain, soilik sartu behar dira irakasleak. Irakasleen autentifikazioa bi eratara egingo dugu. Lehenengoa, fitxategi baten aurka. Bigarrena, MS Active Directory-ren aurka.
Fitxategi baten aurka
Fitxategi baten aurka autentifikatzeko irakasleak, Apache konfiguratu behar dugu. /etc/apache2/conf.d/ direktorioan, iak.conf fitxategian, hurrengo hau jarriko dugu:
Orain, erabiltzaileak eta pasahitzak sortu behar ditugu /var/lib/apache2/irakasleak.pass fitxategian. 8 irakasle aukeratuko ditugu, eta baimendu egingo ditugu. Pasahitza eskatuko digu, eta lehenengo erabiltzailearekin -c parametroa jarri behar dugu, fitxategia sor dezan. Hurrengo aginteak egikaritu:
Erabiltzailea ezabatu nahi badugu ordez, -D parametroa emango diogu.
Orain, apache egikaritzen duen prozesuak irakur ahal dezan, ugazaba aldatuko diogu:
Azkenik, Apacheren konfigurazioa birkargatuko dugu.
MS-en Active dIrectory-ren aurka
Gauza bera egin dezakegu Active Directory badaukagu. Kontutan izan beharko dugu, nola Active Directory-n, irakasleak gain, ikasleak ere eduki ditzakegu.
Lehenengo, Apache-ren modulu bi gaitu behar ditugu. Hona hemen nola:
Hona hemen /etc/apache2/conf.d/iak fitxategiaren edukia:
Hona hemen LDAP-i dagozkion parametroen azalpen txiki bat:
Parametroa | Azalpena | ||||||||||||||||||
AuthBasicProvider | Nork ematen duen autentifikazioa | ||||||||||||||||||
AuthzLDAPAuthoritative | Baimentzeko orduan, azkenengo hitza LDAP moduluak duen ala ez | ||||||||||||||||||
AuthLDAPUrl | Nondik bilatzen den irakasleen informazioa | ||||||||||||||||||
|
|||||||||||||||||||
AuthLDAPBindDN | LDAP direktorioan bilaketa egiten duen erabiltzailea (Beharrezkoa AD-n) | ||||||||||||||||||
|
|||||||||||||||||||
AuthLDAPBindPassword | Bilaketa egiten duen erabiltzailearen pasahitza |
Arazotxo bat dago Linux-en LDAP eta AD-ren artean. Konpontzeko, hurrengo lerroa jarriko dugu /etc/ldap/ldap.conf fitxategian:
REFERRALS offOrain, Apacheren konfigurazioa birkargatuko dugu.
/etc/init.d/apache2 reloadOHARRA: Ahaztu gabe! Antibirusetik irakasleen erabiltzaile kontuak dituen zerbitzarira eginiko konexioentzat, ireki behar duzue suhesian 389 portua.
Log fitxategia
Lehen aipatu denez, erregistro fitxategia /var/log/iak/iak.log da. Gehiegi has ez dadin, biratu egingo dugu. Hortarako /etc/logrotate.d/iak sortuko dugu hurrengo edukiarekin:
Konfigurazio automatikoa
Goizean eta arratsaldean, klaseak bukatu ondoren, defektuzko konfigurazioa jarriko dugu atzipen kontrolean. Automatikoki egingodugu, cron bidez. Lan hau aginduko diogu egunero 15:30 eta 23:30 etan. Hortarako, kudeatu fitxategtia egikarituko du defektuz parametroarekin. Gure adibidean, klase guztiak itxiko ditu. Hortarako, /etc/cron.d/kudeatu fitxategi bat sortuko dugu eduki honekin:
Azkenik, cron prozesua berrabiaraziko dugu.
/etc/init.d/cron restart
Proba dezagun ba aplikazioa. Hurrengo helbidea sartu nabigatzailean eta probatu.
Sorte on!