淺談利用網(wǎng)絡服務器在機房內(nèi)控制學生上網(wǎng)行為

摘要：本文以目前學校機房內(nèi)學生上網(wǎng)的需求為背景，引入了在機房中進行上網(wǎng)行為控制的解決方案，進而通過實例對其進行了設計與實現(xiàn)。希望通過此文能夠拋磚引玉，與其他同類職業(yè)院校的同仁一起探討在不影響教學的前提下，如何在機房內(nèi)對學生的上網(wǎng)行為進行控制，共同營造良好的上網(wǎng)氛圍。

關鍵詞：網(wǎng)絡服務器 控制上網(wǎng) 透明代理

1 在機房內(nèi)控制學生上網(wǎng)的必要性

在當今社會上，互聯(lián)網(wǎng)是一個無窮無盡的文化信息源，它具有信息量大、傳播速度快、交流互動性強和影響范圍廣等顯著特點，所以互聯(lián)網(wǎng)已經(jīng)極大地改變了人類的生活，當然也對學校教學產(chǎn)生了極大的影響。目前基本上所有學校都組建了校園網(wǎng)，因此在機房教學過程中，互聯(lián)網(wǎng)也成為了一個非常重要的工具。首先互聯(lián)網(wǎng)可以轉變教師教育教學觀念，提高教師對教育的深刻認識；其次使學生變被動學習為主動學習，符合學習規(guī)律，提高學習效率；還可以通過互聯(lián)網(wǎng)資源的檢索和查尋，使網(wǎng)絡資源能支持教師備課、上課和基于網(wǎng)絡的學生個性化自主學習；此外互聯(lián)網(wǎng)信息豐富了校園文化建設，總之互聯(lián)網(wǎng)的資源優(yōu)勢和校園網(wǎng)的傳輸方式有機結合，增強了教育的交互性，滿足了各種各樣學生對學習的不同要求，使不同類型的學生都能得到發(fā)展。同時由于交互式的加強，提高了學生交流的能力，這也是時代對人才培養(yǎng)的要求。

但是互聯(lián)網(wǎng)在帶給人們便利的同時，也帶來了不少負面效應。比如網(wǎng)絡聊天是許多學生上網(wǎng)的主要內(nèi)容，沉湎于此容易影響學生的邏輯思維能力和注意力；互聯(lián)網(wǎng)還擠占了學生讀書和獨立思考的時間；現(xiàn)實中存在不少學生由于過度地迷戀、依賴電腦網(wǎng)絡，沉湎于網(wǎng)絡之中，正常學習、生活秩序遭受破壞，學習時間無精打采，學習成績下降，有的甚至厭學、逃學、輟學。

鑒于以上原因，在機房里必須要對學生上網(wǎng)行為進行控制。在本文中主要利用在服務器中配置網(wǎng)絡服務來對網(wǎng)絡進行控制，下面來介紹一些常見的控制上網(wǎng)的網(wǎng)絡服務。

2 常用的控制上網(wǎng)行為的網(wǎng)絡服務

2.1 代理服務

代理服務在Internet上指Proxy Server，即代理服務器，它是一個軟件，運行于某臺計算機上，使用代理服務器的計算機與Internet交換信息時都先將信息發(fā)給代理服務器，由其轉發(fā)，并且將收到的應答回送給該計算機。使用代理服務器的目的有：出于安全考慮或局域網(wǎng)的Internet出口有限等[1]。使用代理服務器有很多好處，通過代理服務器可以使公司內(nèi)部網(wǎng)絡與Internet實現(xiàn)安全連接。主要有以下優(yōu)點：

①提高訪問速度。

②方便對用戶的管理。

③節(jié)省IP開銷。

④能加快對網(wǎng)絡的瀏覽速度。

⑤可以作為防火墻。

代理服務主要包括了正向代理、反向代理和透明代理。本文主要涉及到的是透明代理。透明代理除了包含以上代理服務的優(yōu)點外，在客戶端訪問過程中根本不需要知道有代理服務器的存在，它改變你的報文，并會傳送真實IP，多用于路由器的NAT轉發(fā)中[2]。從以上我們可以了解到，配置透明代理服務，絕大部分的配置集中在服務器端，而客戶端只需要將默認網(wǎng)關指向服務器即可。要想實現(xiàn)透明代理，還要依賴于NAT服務。

2.2 NAT服務

NAT（Network Address Translation，網(wǎng)絡地址轉換）是將IP 數(shù)據(jù)包頭中的IP 地址轉換為另一個IP 地址的過程。在實際應用中，NAT 主要用于實現(xiàn)私有網(wǎng)絡訪問公共網(wǎng)絡的功能。這種通過使用少量的公有IP 地址代表較多的私有IP 地址的方式，將有助于減緩可用IP地址空間的枯竭。在本文中，NAT服務主要作用是端口重定向和DNS域名解析。在路由前將所有發(fā)往遠程服務器80端口的報文重定向至代理服務器的代理服務端口上，然后在路由后進行DNS域名解析，確保客戶端可以正常的上網(wǎng)。

2.3 DHCP服務

DHCP（Dynamic Host Configuration Protocol，動態(tài)主機配置協(xié)議）是一個局域網(wǎng)的網(wǎng)絡協(xié)議，使用UDP協(xié)議工作，主要有兩個用途：給內(nèi)部網(wǎng)絡或網(wǎng)絡服務供應商自動分配IP地址，給用戶或者內(nèi)部網(wǎng)絡管理員作為對所有計算機作中央管理的手段[3]。除了可以分配IP地址和子網(wǎng)掩碼外，DHCP服務還可以向網(wǎng)絡內(nèi)的用戶提供默認網(wǎng)關和指定DNS服務器IP地址等參數(shù)。

接下來我們便利用以上三種網(wǎng)絡服務，通過配置網(wǎng)絡服務器實現(xiàn)對上網(wǎng)行為的控制。

3 利用網(wǎng)絡服務器控制上網(wǎng)行為

本文中，網(wǎng)絡服務器使用的操作系統(tǒng)是CentOS 6.4，實現(xiàn)代理服務的軟件是squid，實現(xiàn)NAT服務的軟件是iptables，而實現(xiàn)DHCP服務的軟件是dhcpd，以上軟件均為開源軟件，其性能強、穩(wěn)定性高，是當前使用較多的網(wǎng)絡服務軟件。

如圖是某機房網(wǎng)絡拓撲，其中網(wǎng)絡服務器有兩塊網(wǎng)卡，其中一塊連接互聯(lián)網(wǎng)，而另一塊連接機房的交換機，與機房內(nèi)PC連接在一起。接下來我們便開始配置網(wǎng)絡服務器。

3.1 基本配置

①配置ip參數(shù)

ifconfig eth1 200.1.1.1 netmask 255.255.255.0

//配置連接互聯(lián)網(wǎng)網(wǎng)卡的ip地址

ifconfig eth0 192.168.1.

254 netmask 255.255.255.0

//配置連接機房PC網(wǎng)卡的ip地址

②開啟網(wǎng)絡服務器的路由功能

將/etc/sysctl.conf文件中的net ipv4 ip_forward的數(shù)值由0修改為1，保存退出后，再運行sysctl-p命令后即開啟了路由功能。

3.2 配置代理服務

配置代理服務主要是編輯/etc/squid/squid.conf文件。以下是該文件的主要實現(xiàn)部分。

①配置偵聽透明代理服務器的ip地址和端口

http_port 192.168.1.254：3128 transparent

//參數(shù)transparent表示透明代理，如果是正向代理或反向代理則不需要此參數(shù)。

②配置代理服務的訪問控制

acl MyNetwork src 192.168.1.0/24

http_access allow MyNetwork

http_access deny All

//只允許192.168.1.0/24可以使用代理服務

acl qq url_regex -i qq

http_access deny qq

//禁止訪問帶“qq”字符的網(wǎng)站

acl Working_hours MTWHF 08：00-17：00

http_access allow Working_hours

http_access deny ！Working_hours

//禁止在周一至周五8點到17點以外的時段上網(wǎng)

以上只是給出了幾個樣例，比如控制上網(wǎng)的源ip網(wǎng)段、控制上網(wǎng)的域名以及控制上網(wǎng)的時段等，具體控制上網(wǎng)行為可以根據(jù)需求來動態(tài)調整。

3.3 配置NAT服務

①端口重定向

iptables -t nat -A PREROUTING -i eth0 -p tcp -s 192.168.1.0/24 --dport 80 -j REDIRECT --to-ports 3128

//內(nèi)網(wǎng)192.168.1.0/24發(fā)出的所有web請求將定向到網(wǎng)絡服務器上，由網(wǎng)絡服務器對其進行相應

②DNS域名解析

iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.0/24 -p udp --dport 53 -j MASQUERADE

iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.0/24 -p tcp --dport 53 -j MASQUERADE

//放行從內(nèi)網(wǎng)192.168.1.0/24發(fā)出的DNS域名解析請求

通過以上配置可以看出，由內(nèi)網(wǎng)發(fā)出的web請求將重定向到網(wǎng)絡服務器，由其來進行處理和相應，而放行由內(nèi)網(wǎng)發(fā)出的DNS域名解析請求。

3.4 配置DHCP服務

配置DHCP服務主要是編輯/etc/dhcpd.conf文件。以下是該文件的主要實現(xiàn)部分。

subnet 192.168.1.0 netmask 255.255.255.0

//設置子網(wǎng)申明

option routers 192.168.1.254；

//設置客戶端默認網(wǎng)關

option domain-name-servers 1.1.1.1；

//設置客戶端指定DNS服務器地址

range 192.168.1.1 192.168.1.50；

//設置可以限定分配的IP地址范圍

網(wǎng)絡服務器配置完畢后，機房內(nèi)的電腦只需要自動獲取ip地址即可實現(xiàn)上網(wǎng)了，但是其上網(wǎng)行為將被網(wǎng)絡服務器所控制。如果觸發(fā)了某些規(guī)則，則會出現(xiàn)如圖2所示的情況。

總之，通過網(wǎng)絡服務器可以對上網(wǎng)行為進行有效的控制，但是不能對正常的教學產(chǎn)生影響。以上只是給出了一種可行的方案，至于如何去控制，控制哪些具體的上網(wǎng)行為，還需要和各位其他學校的同仁們一起共同探討，根據(jù)各種不同的具體情況，設計出更加成熟的方案，使互聯(lián)網(wǎng)可以發(fā)揮其作用，更好地為機房教學服務。

參考文獻：

[1]車葵，邢書濤.網(wǎng)絡代理服務器的設計與實現(xiàn)[J].計算機安全， 2008（06）.

[2]陳吉寧.基于Squid的透明web加速代理的實現(xiàn)[J].廣西輕工業(yè)，2008（11）.

[3]梁輝.Linux操作系統(tǒng)校園網(wǎng)解決方案[J].廣東技術師范學院學報，2006（06）.

作者簡介：

王亮（1978-），男，江蘇南通人，講師，研究方向：計算機網(wǎng)絡。