很多时候公共网络需要提供安全认证功能,比如我们去星巴克或者商场、酒店,我们连接wifi上网的时候, 需要认证后才可以上网。
用户可以主动访问已知的Portal认证网站,输入用户名和密码进行认证,这种开始Portal认证的方式称作主动认证。
反之,如果用户试图通过HTTP访问其他外网,将被强制访问Portal认证网站,从而开始Portal认证过程,这种方式称作强制认证。一般都是这种方式。
路由器实现portal认证的方式有两种,黑名单或者白名单机制。
1.黑名单
先全部黑名单,只有认证服务器地址提前放行
连接上一个设备,就把80/443端口重定向到认证服务器页面
认证服务器根据这个设备是否授权成功,提示开始认证页面或认证成功页面
认证服务器认证通过之后,发送消息给路由器,路由器就把该MAC地址设备放行白名单。
只有放行的设备才可以上网,其他设备都不可以上网。
2.白名单
不设置任何规则,连接上路由器之后就发送设备地址给后台
后台返回该设备是否认证过消息给路由器
路由器判断后台返回的结果,如果认证通过则不做处理,如果未认证通过则拉黑,跳转到认证服务器进行认证
认证服务器认证通过之后,发送消息给路由器,路由器就把该MAC地址设备的黑名单删除。
开源工具
- chillispot,但原维护作者停止更新,被chillispot.info接管继续开发;
- coova-chilli,它是基于chillispot开发拓展的,功能最为强大;可以去官方看一下Coova-chilli;
- wifidog,是一款开源的无线接入认证系统,主要用于实现无线网络用户的认证与管理。
在路由器上面使用portal认证功能,一般使用wifidog实现,基于iptable和端口重定向功能很容易移植到openwrt平台上。