基于IPTABLES的網絡計費系統的設計

周喜平 姜 斌

[摘要]以Iptables作為網關來實現中小型局域網的內網機器上網,將內網用戶的帳號和IP地址綁定,通過修改Iptables的規則以及修改Netfilter的代碼來控制內網用戶上網;系統在計費的同時還可以實現域名和關鍵字過濾以及內網的防火墻,實現成本低,安全系數較高。

[關鍵詞]Iptables網絡計費

中圖分類號:TP3文獻標識碼:A文章編號:1671-7597(2009)1110090-01

一、引言

計費管理是網絡管理的五大功能之一(故障管理、計費管理、配置管理、性能管理、安全管理)。常見的計費管理的實現方法有三種[1]:通過路由器進行計費、通過代理服務器進行計費和基于監聽的計費。本文采用類似第二種計費實現方法即基于網關的實現方式。基于網關的實現方式較之基于代理服務器的實現方式的基本原理是相似的,就是在內網和Internet

網絡之間建立網關(類似于代理服務器的功能),通過這個網關來實現內網用戶訪問Internet。所不同的是可以把網關設置成“透明網關”,即內網用戶只要設置網關的IP地址就可以通過網關來訪問Internet,而無需像代理服務器的實現方法那樣過多的設置其他參數。本文以Linux系統中的Netfilter來實現“透明網關”,通過Netfilter和Iptables來完成內網用戶訪問Internet,同時實現對這些用戶的上網控制和計費。

二、設計思路

Netfilter是Linux內核的一個完善的且功能強大的防火墻子系統,Iptables 是與最新的版本Linux 內核集成的IP信息包過濾系統,或者可以簡單理解為Netfilter是Linux內核的一部分,而Iptables則是Linux提供給用戶的一種工具,通過這種工具可以很好的處理內核中的防火墻的各種信息處理規則,利用Netfilter和Iptables可以實現NAT(Network Address Translation)。NAT即網絡地址轉換,當網關被分配一個或者多個合法的Internet IP地址后,通過NAT技術使發給其中某一個IP地址的包轉發至內部某一內網用戶的上網設備上,然后再將該內網用戶的響應包偽裝成該合法IP發出的包,這樣內網用戶即可訪問Internet。

所有上網的內網用戶訪問Internat之前必須通過認證服務器的鑒別,通過設置NAT的PREROUTING鏈的規則[2],使得所有沒有通過鑒別的用戶重定向到認證服務器,而通過鑒別的用戶,相應綁定的IP地址被寫入Iptables的規則中,這個IP是允許訪問Internat,而且不用被重定向到認證服務器。

當用戶不想上網時,則從Iptables的規則中刪除IP地址,這個工作可以由單獨的刷新在線信息頁面完成。

三、設計要點

(一)實現內網用戶訪問Internet

首選應該配置網關服務器,使得網關能夠訪問Internet,建議作為網關的服務器最好裝配兩塊網卡,一塊用來連接Internet(以下簡稱外網,用eth0代替),一塊用來連接內網(用eth1代替)。在確保Netfitler和Iptables被安裝完整后,就可以配置Iptables來實現NAT,建立可執行腳本:

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -F;

iptables -t nat -F;

iptables -t mangle -F;

以上腳本適合IPV4,通過執行以上腳本,使得任何內網訪問eth1的請求包,都被轉發到eth0。

(二)控制上網用戶

確保內網用戶能夠訪問外網后,在腳本中增加以下指令:

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 196.188.1.9:80

其中IP地址196.188.1.9是認證服務器的IP地址。這里必須確保認證服務器已經設置好web認證服務,并且能夠實現用戶的基本信息認證,包括用戶帳號、密碼、上網在線時間、計費方式、費率等。

這條指令使所有訪問外網的請求都被轉發到196.188.1.9:80的認證頁面。用戶輸入合法的帳號和密碼后,調用下面的指令來完成該用戶訪問外網:

iptables -t nat -I PREROUTING s ipaddr -j ACCEPT

ipaddr是該上網帳號對應的IP地址,當然你好可以通過下列指令來邦定用戶的MAC地址:

iptables -t nat -I PREROUTING s ipaddr -m mac --mac-source macaddr -j ACCEPT

macaddr是IP地址對應的計算機的MAC地址。

用戶驗證合法后,在客戶端要做的另外一件事是彈出認證合法的“在線窗口”,通過該窗口上的“斷開連接”按鈕來告訴計費服務器用戶下線時間,“在線窗口”通過刷新頁面來告訴服務器用戶是否在線,若用戶點擊“斷開連接”按鈕,或者規定時間內沒有刷新在線信息,則服務器認為用戶中斷上網,則調用如下指令來阻斷用戶上網:

iptables -t nat -D PREROUTING -s ipaddr -j ACCEPT

(三)計費設計

本系統采用Java技術的J2EE開發標準來完成,web和應用服務器采用weblogic9.2,數據庫采用oracle10g。用戶的基本信息保存在數據庫中,可以通過管理員增加用戶的基本信息,也可以通過用戶注冊,管理員審批的方式。對于用戶在線信息的維護,則是采用一個session的數據庫表,每次用戶端發送在線信息過來后,更新session中對應的信息,若發現某些用戶的session信息過期,則清除session信息,同時刪除該用戶對應的Iptables規則。

采用Java來完成Iptables規則的修改是比較簡單的事情,調用Runtime. getRuntime().exec(Stirng command)方法,就可以完成規則的增加和刪除,因為在安裝了netfilter 的linux中Iptable本身就是可執行的腳本工具。

四、結束語

本系統經過試用后,發現還存在一些問題,比如“在線窗口”的彈出影響了客戶的使用體驗,另外就是認證頁面請求的轉發只是web請求的轉發,對于非HTTP請求的包會在不通過認證的情況下通過Iptables,這些是該系統下一步要改進的問題。

參考文獻:

[1]張孟雄,校園網計費系統的實現途徑探討,空軍雷達學院學報,2000.

[2]宋光惠等,基于IPTABLES的Web認證系統的實現,中國信息化教育,2009.