"Köznet" internet + Squid + Perl

Hálózatok egyéb

Sziasztok!

Segítségeteket szeretném kérni az alábbi dologban. Adott egy Köznetes internet végpont. (Műholdas internetkapcsolat, Cisco router, sw; vlan, a kliensek 10.x.y.z privát ip cimet kapnak).

Windows XP kliensekkel a webböngészés így lehetséges:
Lekérem a kívánt url-t (pl.: www.hup.hu). Az első használat alkalmával bejön egy Köznet login felület, (https alapon). Itt meg kell adni a végpont azonosítóját + jelszót. A sikeres azonosítás után nyílik egy 8 órás session, és indulhat a böngészés.
Ez idő alatt már nem kell újra azonosíttatni magunkat az előbbi módon.

A feladat:
Squiddel, tartalomszűrést kell megvalósítani, mivel a kapcsolat sebessége gyenge (512/96, 8 kliensre).
A megvalósítandó hálózat így néz ki: Proxy eth0 az internet felé, 10.x.y.z ip cimmel; eth1 a lan felé, 192.168.64.x.

Készítettem egy nagyon csupasz squid konfigot:

http_port 3128

acl tele src 192.168.64.0/255.255.255
acl all src 0.0.0.0/0.0.0.0
acl safeports port 443
acl tilt url_regex "/etc/squid/tilt.txt"

http_access deny tilt
http_access allow tele
http_access allow safeports
http_access deny all

access_log /var/log/squid/access.log squid
logformat squid %ru

A probléma:
A kliensekből böngészéskor a fent említett login felület nem érhető el. Helyesebben kapok egy olyan weboldalt, ami megegyezik a Köznet login felület címével (https alapon ez is), és felhívja a figyelmemet, hogy végponti hiba van, hívjam a Köznet telefonos supportot.
Az access.logban látszanak a kliensektől érkező kérések, de nem kerülnek kiszolgálásra - gondolom a login hiba miatt.

Segítsen aki tud/hasonlót látott/megoldott vagy csak ötlete van a dologgal kapcsolatban.

Köznet ügyfélszolgálat technikai számát felhívtam, sajnos nem tudott a szakember érdemben nyilatkozni. Jelezte, hogy az ötlet egyébként jó :D.

*A proxy-s teszt gép alap Debian 4 telepítés, bináris squid, tűzfal szabályok nélkül.

Köszönöm!

  • 3207 megtekintés

( trey | 2008. 11. 29., szo – 19:02 )

Nem tudom, hogy mi az a "Köznet", de nagyon sok évvel ezelőtt egy iskolában "Sulinet"-ben hasonló dologgal találkoztam és meg is oldottam. Ha jól emlékszem, parent proxy-t kellett beállítani a squid.conf-ban. A parent proxy adatait úgy kellett nekem is elkérnem, de akkor én olyan értelmes emberrel beszélgettem, aki vágta, hogy miről van szó :)

--
trey @ gépház

Köszi Trey! A "Köznet" a Közháló program része, összesen 7300 végpont, ebből 5000 a Sulinet, a többi Köznet (info: www.kozhalo2.hu). Tehát jó volt a megérzésed, Sulinettel rokon szellemű :).
Hétfőn állítólag lesz olyan szaki, aki több infóval van felvértezve. Állami szektort figyelembe véve pozitív az is, hogy hétvégén volt aki foglalkozott a kérdésemmel.

Nem emlékszel, a Sulinetes megoldásodban is volt hasonló authentikáció?
Néztem parent proxy konfigokat, lehet authentikálni, "bedrótozható" a user+pass, csak ssl felett állítólag problémás (?). Megpróbálom a Squidet ssl-el fordítani, aztán kiderül :).

Tartalom szűréshez SquidGuard-ot (squidguard.org) javallom, nálunk bevált, mert gyors, és van hozzá jó tematikus adatbázis is.

squid, ha csomagból teszed fel, ssl-t tartalmaz,

Az azonosítást és scriptből csinálnám az squid szerverről 8 óránként ;)
Sajna én semmit nem tudok a köznetről, így konkrét scriptben csak konkrét kérdés alapján tudhatok segíteni.

TamsA

Ha átadod a tudásod neked attól még nem lesz kevesebb belőle..

"Az azonosítást és scriptből csinálnám az squid szerverről 8 óránként ;)"
Jó ötlet, ma megnézem, hogy életképes-e :)! Egy sima bejelentkezést csinálok Lynx-el, ha ezzel sikerül authentikálni a proxyt, és működik a böngészés a kliensekről, akkor nekiállok a login szkriptnek. Sohasem csináltam ilyet, mivel az eddigi proxy-k simábban működtek. Fogok konkrét dolgokkal ide fordulni :).

TamsA tippje bejött :)! A Squid szerveren a Lynx elfogadta a biztonsági tanúsítványt, sikeres volt a login. A kliensek kapcsolódnak a proxyhoz és működik a böngészés.
Szeretnék tovább lépni és megoldani, hogy a szerver automatikusan elvégezze a login folyamatot. Ehhez kérnék szépen némi támpontot. Rögtön írok további konkrétumokat is, csak ezt most első örömként szerettem volna megosztani :).

:), még sajnos nem tartok itt, de köszi a tippet.
A lentebb írt szkript működik szépen, igaz Windows alatt készítettem és teszteltem - mivel itt WinXP kliensek vannak. Szóval körvonalazódik a megoldás, és lassan ki is írom, hogy [Megoldva].

DansGuardian erőforrásigénye milyen? A szervergépünk baromi erős vas lesz: P2-400 (vagy Celeron 533, de cahce miatt lenne P2 :D), 256 SD, 1 db ide hdd, 20-40 GB körüli, X nem lesz. A gép feladata kizárólag proxy kiszolgáló szerep, 8 "átlagos" terheltségű WinXP kiszolgálása.

Tévedsz! Itt van előttem a rendszer! Iharos a település. Ezen felül nincs telefonvonal (réz, optika), ergo nincs ADSL. A T-c*m és társai gsm900-at használnak.
+ pár éve, az egy faluval arrébb lévő suliban is műholdas rendszer volt, igaz hasonló auth nélkül. Most a T-m*bile wlan a sulinetes végpont, tehát ez !ADSL.

Gsm900. Illetve van egy mobilkommunikációs torony, ehhez kiépítettek egy rezes vonalat és bizony a suliban isdn volt az első net... Aztán gondoltunk egy merészet: ha ISDN, akkor lehetne akár ADSL is? Sajna nem... ennek technikai okai is vannak, ne menjünk bele. A toronyhoz kellett vna spec bővítés stb. DE léccike ne ezen lovagoljunk, inkább a Perl szkriptre mondj szebb megoldást lent. DE ha mégse, akkor: Neked higgyek vagy a szememnek :D? Átmehetünk flémbe, nem haragszom meg XD!

Van ahol nicsen telefonkabel es anelkul nagyon nehez rendes adsl szolgaltatast nyujtani es muholdas nettel oldjak meg a fel illetve leiranyu forgalmat is. Nem a legjobb megoldas, de valahol meg mindig csak igy lehet viszonylag normalis netet elerni. Meg mindig baromi draga es lassu is.
Tobbsegeben en is olyan helyeket ismerek ahol nicsen autentikacio, de ezek szerint van ahol meg van.

Azért elég hihetetlen, hogy ott ahol iskola van (A közhálónak ugye alapvetően az iskolák nettel való ellátása a cél) ott nincs telefon. ISDN az egész országban van, és ahol nincs ADSL ott így oldják meg. Legalábbis itt a nyugati végen (itt sincs minden faluba adsl).

Ezenkívül volt egy külön műholdas netes pályázati dolog iskoláknka, ami a közhálótól független.

A telefon a közháló startja előtt itt RLL rendszerű volt, majd ezt cserélték GSM900-ra, hallottál a Matáv gsm-ről? Ez az!
Közháló = "szélessáv" != ISDN. A franc essen beléjük, hogy nem kaptunk 30 B csatornás ISDN Pri-t :)! Nincs! Ne haragudj! Tényleg nincs :D! Ha bennfentes vagy, akkor mond nekik, hogy nekünk _nincs_!

Sokáig a közháló az ISDN-t jelentette (és egy-két helyen még ma is)

Nem tudok róla, hogy vhol van jelenleg ISDN30 (E1), bár tervbe volt véve, hogy ahol nincs más szélessáv (és akkoriban nagyon sok helyen nem volt, ott ilyen (vagy esetleg több ISDN2) legyen, csak a matáv és az akkori minisztériumok szerencsétlenkedése/töketlenkedése miatt nem lett belőle semmi. (pontosabban lett belőle sima ISDN a maga 128 kbit/secundumával, de minden gépre fix, publikus IP-vel)

(mellesleg a közháló, nem szélessáv, hanem min. 128 le, 64 kbit/s fel irányú netet jelent, ami persze kifacsart módon nem azt jelenti ezt egyszerre máveld, tehát igy fér bele az ISDN2 is)

köznet program meg egy kicsit más mint a közháló, ráadásul ez a térségi izé, meg mégfőleg, ezeket nem ismerem, csak ami az iskolákba van bekötve. (lassan mondjuk, ugyse lesz olyan helyen iskola, ahol ilyen telefon van)

Remélem egy iskola léte nem telefonvonal kérdése. Megoldódnak/tak ezen problémák egyébként, mert lett kábeltelevízió, aminek a végén wireless gerincen van internet is. Aztán van T-M*bile wlan, sőt Z-net-es wlan is. Éljen a verseny:). Tehát a suliban wlanos Sulinet végpont van.
Viszont amiről eredetileg beszélgettünk - a másik település - ott nincs suli -> tehát nincs telefonvonal sem :). Viszont itt is van Z-Netes wlan _Zuber_Gyula_ barátunknak hála!

( uid_10503 v | 2008. 11. 29., szo – 23:04 )

Nem tudom segít-e...

http://www.kozhalo2.hu/News.aspx

KözHáló Ügyfélszolgálat új elérhetőségei 06.12.21

Szeretnénk felhívni szíves figyelmét arra, hogy a KözHáló Ügyfélszolgálati szolgáltatást 2007. január 1-től a MINOR Holding Zrt. látja el.

Ezért 2007. január 1-től a KözHáló Ügyfélszolgálat elérhetőségei megváltoztak:

Cím: 1033 Budapest, Vörösvári út 103-105.
Tel: (06-1) 436-30-30
Fax: (06-1) 436-30-31
E-mail: uszi@kozhalo2.hu
Web: http://www.kozhalo2.hu/

Igen, ők azok, köszi. Erre nem figyeltem fel, de ezt a telefonszámot adja a bejelentkező lap a fent nevezett hiba után! Majd a szám végén a supportos adott egy további számot :) - nem kinevetni akarom, nehogy félreértsetek, hiszen ha én vágnám a dolgot, akkor nem nyúználak titeket!

( v4x v | 2008. 11. 30., v – 21:43 )

Feltettem a login lap forrását, http://mrobcsi.uw.hu/login.txt .

A Squid-es gépre ezt a perl szkriptet tenném, de egyéb jó ötlet is jöhet:

#!/usr/bin/perl

use strict;
use WWW::Mechanize;
use HTTP::Cookies;

my $url = "https://avsr.koznet.hu";
my $username = "felhasz";
my $password = "jelszo";

my $mech = WWW::Mechanize->new();

$mech->cookie_jar(HTTP::Cookies->new());
$mech->get($url);
$mech->form_name('bevitel');
$mech->field('auth' => $username);
$mech->field('pwd' => $password);
$mech->click();

Mit szóltok hozzá? Ha lementem a távoli szerver biztonsági tanúsítványát, hogy oldható meg, hogy a szkript használja?
Tesztelni nem tudtam, mivel itthonról nincs hozzáférésem a rendszerhez.