Linux网络——一种强制门户技术

概述

强制门户技术是一种位于网关上的功能，lan侧用户访问外网，强制先进行网关认证，认证经过，才能够访问外网。最近研究了一下这种技术，并在项目中实现，用于用户的web快速登录

强制门户原理

我认为强制门户技术的核心是重定向，重定向的方法有多种，好比基于MAC或IP的重定向、DNS重定向、HTTP重定向、WPAD等等，固然重定向的做用范围远不止强制门户技术。不管是何种重定向，本质上是利用通讯协议的机制和规则，实现特定数据流的转发

我使用的是DNS重定向和HTTP重定向结合的方案，经过DNS重定向，将lan侧用户的外网访问请求指定到网关管理地址，网关HTTP进程接收特定的HTTP请求后，返回特定的重定向报文，lan侧客户端浏览器以重定向报文中指定的URL再次发起请求，以此将用户强制到网关的登录页面。整个通讯过程以下图

详细过程

这里有几个前提：

1. 用户设备上网方式是DHCP获取地址，或者手动设置静态地址但必须设置DNS地址为网关地址，总之用户设备必须知道DNS服务器位于网关上
2. 用户浏览器设置了默认主页，或者用户手动输入任意域名，而非ip地址

基于这样的前提，会有如下的几个过程：

• 当用户手动打开浏览器时，浏览器会无条件去访问默认主页，假如为www.hao123.com，可是主页是一个域名(domain name)而非一个ip地址，浏览器不知道主页www.hao123.com的ip地址是多少，没法与该域名所在服务器创建tcp链接，因此须要经过DNS协议向DNS服务器查询域名对应的的ip
• 因为用户设备上预先已经存在DNS服务器的地址，而且该地址是网关地址，用户设备会以www.hao123.com封装DNS query报文发往网关上的DNS Proxy进程。网关上的DNS Proxy进程查询当前wan侧链接状况，若是未链接，则封装一个ip地址为本机地址的DNS answer报文回复给用户
• 浏览器收到DNS answer报文后，便以此报文中的ip地址，向该地址发起tcp链接，并在链接创建以后，发起HTTP HEAD或GET请求，通常URL为空，或者为/wpad.dat，这个特殊URL是WPAD协议规定，该协议还未研究，只是PC机固定会发该URL
• 网关上HTTP Server接收到该(/wpad.dat)特殊请求后，以状态码为301或307，Location为登陆页面的URL封装HTTP应答报文，告诉浏览器将请求重定向到以Location指定的URL
• 浏览器以该Location为URL再次封装HTTP GET报文，请求该页面，完成强制登录