分享wifidog的增强版: wifidogx

时间:2022-12-20 15:02:30

j同学前阵子有段时间在维护wifidog,然后就重复发明了个*:wifidogx。当然也不能算完全重复,j同学认为以下几方面wifidog做的不是很好:

  • 多线程的架构欠佳,性能不强,健壮性也不好,坑还多。(LOCK_CLIENT_LIST,LOCK_CLIENT_LIST,LOCK_CLIENT_LIST,讨厌的事情也说三遍)。
  • 通信协议过于简单,与服务端交互效率不高,服务端的远程控制能力也不好。
  • 在已认证用户比较多的时候,对mac地址进行逐一规则匹配会降低路由器的包处理能力。不过j同学目前还没有实验数据。
  • 不支持https。
  • c语言开发效率低。虽然比j同学更懒的人不多,但是反复枯燥的交叉编译-远程复制-opkg install,即便是勤奋的你也会厌烦的。

wifidogx差不多克服了上面所有的缺点,来掰一掰吧:

  • 单线程架构,采用epoll来支持并发。
  • 采用新的认证通信协议。
  • 提供以ipset的方式进行防火墙规则管理(需要6.22及以上版本,并且j同学目前还不知道怎么做流量统计)。
  • 与认证服务器的通信支持https。
  • 全部用lua开发。
  • 以及一个小小的bonus: 支持简单的静态文件服务。
    wifidogx目前处于alpha版本,可能bug还比较多,但是j同学会一直维护。另外,wifidogx采用MIT许可证。

下载,编译,运行

wifidogx依赖于j同学开发的一个基于lua的工具包[lask](https://github.com/spyderj-cn/lask)。lask导出了常用的posix api,并提供了一个异步通信框架。

下载

git clone https://github.com/spyderj-cn/wifidogx.git

编译

Wifidogx中(只)包含了支持openwrt的makefile文件,将源码包放在某个src-link的的目录下即可。同wifidog一样,wifidogx也在menuconfig的/Network/Captive Portals栏目下。

本质上wifidogx不需要编译,其编译实际上是安装过程。

运行

启动
/etc/init.d/wifidogx start
停止
/etc/init.d/wifidogx stop

目前不支持restart哦


Wifidogx详细的启动参数
选项 含义
-a 认证路径,会覆盖配置文件中的AuthURL
-c 配置文件路径,默认为/etc/wifidogx.conf
-f 不要以守护进程的方式运行
-p 日志路径
-l 日志等级
-t 测试配置文件是否正确
-I 初始化防火墙规则后退出
-D 销毁防火墙规则后退出
-h 帮助信息
-v 显示版本
wdxctl(对应wdctl)工具
命令 作用
clients 获取连接了wifi的用户信息
jclients 获取连接了wifi的用户信息(json输出)
logread 当日志保存在wifidogx内存中时,读取日志
logcapture 截获日志
start wifidogx异常退出后,会将traceback和日志分别保存到/tmp/wifidogx.traceback和/tmp/wifidogx.logdump,然后执行wdxctl start。wdxctl start先尝试将错误信息文件POST到指定的bugreport_url,然后删除文件,接着执行/etc/init.d/wifidogx start。

可以修改wdxctl.lua的BUGREPORT_URL为你的服务器URL, 也可以设置为false或者nil来禁用此功能。


文件服务

wifidogx启动后检查/tmp/wifidogx-www是否存在,如果不存在则将/etc/wifidogx-www下的所有内容复制到/tmp/wifidogx-www,并以/tmp/wifidogx-www为docroot开启文件服务。如果来访的URL是“/wifidogx-static/*”格式则视其为请求静态文件。当错误发生时,wifidogx自动回送/tmp/wifidogx-www目录下的以下文件
文件名 错误原因
netdown.htm 外网不通
serverunreach.htm 有外网但认证服务器连不上
servererror.htm 服务器返回的数据不对
internalerror.htm 路由器系统/wifidogx 内部错误,如arp表中根据来访的ip找不到mac
在后续和服务器的通信中,如果服务器的应答配置了StaticGZ, 则wifidogx根据StaticGZ指定的URL下载该压缩包,并将压缩包的内容解压到/tmp/wifidogx-www中。

一些典型的StaticGZ用法:

  • 替换wifidogx的错误提示页面。
  • 缓存login等页面上的图片。
  • 指定RedirectHostname为GatewayAddress,完全进行本地推送认证页面。

配置文件

配置文件中的选项,大部分都可以由认证服务器动态修改,除了以下几项:AuthURL GatewayID (可选)GatewayPort (可选)GatewayAddress GatewayInterfaceExternalInterface (可选)Firewall Rules (这一项也应当被动态修改,但是j同学还没想好具体做法)

一些改动

  • 不再支持AuthServer块和多个认证服务器,只支持单个AuthURL。

    (如有特殊字符请先编码,wifidogx不自动进行url编码。)
    示例:
    AuthURL https://mysite.com:8888/index.php?s=/Wifidogx/auth

  • 重定向服务器可以和认证服务器不同,由RedirectHostname指定。

    RedirectPort指定跳转端口,默认为80。
    几个跳转路径分别由PortalPath/MessagePath/LoginPath指定。
    (PortalPath/MessagePath/LoginPath尾部的&(或?)是必要的;并且如有特殊字符请先编码)。
    示例:
    RedirectHostname www.mysite2.com
    PortalPath /index.php?s=/Wifidogx/portal
    MessagePath /index.php?s=/Wifidogx/message
    LoginPath /index.php?s=/Wifidogx/login

  • ClientTimeout的意义改为认证后能上网的时间(秒)。

    示例:
    ClientTimeout 7200

  • 添加PingInterval字段,意义是和服务器的心跳间隔(秒)。

    示例:
    PingInterval 30

  • 配置文件中的黑白MAC名单将被忽略。


通信协议

技术特点

通信过程是wifidogx和wifidog区别最大的一块,j同学认为wifidogx的通信技术需求应当有以下几方面:


  • 能进行批量认证,数据采用json编码,使用post方法发送http请求。
  • 数据量比较大的时候使用gzip压缩。
  • 最多只和认证服务器建一条tcp连接,所有认证都通过这条连接进行。
  • 报文的发送间隔和远程控制的延时成正比。因此心跳间隔不适合太大,并且双方的http报文应启用keep-alive。

请在http应答中指定Content-Length为实际长度,或者启用Chunked的传输编码,wifidogx无法自动探测消息体的结束。

请求

报文示例
{
"id": "11:11:11:11:11:11"
"version": "1.0.0",
"clients": [
{
"mac" : "11:11:11:11:11:12"
"ip" : "192.168.1.123",
"token" : "whateverthetokenis",
"state" : "authed",
"incoming" : 1111,
"outgoing" : 2222,
"starttime" : 1234,
},
{
"mac" : "11:11:11:11:11:13"
...
},
...
],
"uptime": 333,
"seq": 20,
"sys_uptime" : 123132,
"status": {
"sys_memfree":9284,
"sys_load":"0.03"
},
}
字段意义详解

*表示必需的,非必需项的属性名可以不存在,也可能其值为false或者{}

字段名 说明
id* 即GatewayID,若无指定则是GatewayInterface的mac地址
version* wifidogx版本号
uptime* wifidogx启动后经过的秒数
sys_uptime* 系统启动后经过的秒数(即/proc/uptime)
seq* 报文序号,每成功完成一次http交互后加一,初始为0
clients 需要认证处理的用户信息
status 当前系统状态



clients为用户信息数组,每个元素的各字段意义是:

字段名 说明
mac 用户mac
ip 用户使用的ip
token token
state 当前状态
starttime 进入此状态的时间戳(自系统启动),即sys_uptime - starttime为状态已持续时间
outgoing 发送的流量
incoming 接收的流量



几种状态:

状态名称 解释
login 用户还未认证,防火墙规则未放行
authed 已认证,已放行
logout 认证期已过,规则已关,通知了认证服务器后此用户信息会被删除

应答

报文示例
{
"config":{
"ClientTimeout":7200,
"PingInterval":20,
"CheckInterval":300,
"StaticGZ":"http://mysite.com/Public/wifidogx.tar.gz",
"SetWhiteMaclist":["9c:c1:72:5e:51:49","11:11:11:11:11:12"],
"SetBlackMaclist":["11:11:11:11:11:13","11:11:11:11:11:14"],
"GreenHostname" : ["www.baidu.com", "1.2.3.4"]
},
"clients":[
{"mac":"08:7a:4c:8a:c1:62","auth":1}
]
}
配置项

当应答中指定了config时,wifidogx将立即接受这样配置并予以生效。
这些是wifidogx新增的配置项:

配置名 解释
StaticGZ 见文件服务部分
SetWhiteMaclist 设置白名单
AddWhiteMaclist 添加白名单
DelWhiteMaclist 删除白名单
SetBlackMaclist 设置黑名单
AddBlackMaclist 添加黑名单
DelBlackMaclist 删除黑名单
GreenHostname 无论是否认证都可直接访问的主机名
认证结果

wifidogx不支持wifidog的试用期功能,认证结果只能是1或者0,其他值不合法。

附录

服务端开发示例

PHP版本(基于ThinkPHP)

wifidogx的AuthURL指定为 http://mysite.com/index.php?s=/Wifidogx/auth

class WifidogxAction extends Action
{

public function auth()
{

$resp = array();
$req = false;
$content = file_get_contents('php://input');

if ($content && $_SERVER['CONTENT_ENCODING'] && strpos($_SERVER['CONTENT_ENCODING'], 'gzip') !== false)
$content = gzdecode($content);
if ($content)
$req = json_decode($content);
if (!$req || !$req->id)
return;

if ($req->seq == 0) {
$resp['config'] = array(
'ClientTimeout' => 7200,
'PingInterval' => 20,
'CheckInterval' => 300,
'StaticGZ' => 'http://mysite.com/Public/wifidogx.tar.gz',
'SetWhiteMaclist' => array('9c:c1:72:5e:51:49', '11:11:11:11:11:12'),
'SetBlackMaclist' => array('11:11:11:11:11:13', '11:11:11:11:11:14'),
'RedirectHostname' => 'mysite.com',
'LoginPath' => '/index.php?s=/Wifidogx/login&',
'MessagePath' => '/index.php?s=/Wifidogx/message&'
'PortalPath' => '/index.php?s=/Wifidogx/portal&'
);
}

if ($req->clients) {
$clients = array();
foreach ($req->clients as $client) {
$clients[] = array(
'mac' => $client->mac,
'auth' => 1,
);
}
$resp['clients'] = $clients;
}

$json_resp = json_encode($resp);
header('Content-Length: ' . strlen($json_resp));
header('Content-Type: application/json');
echo $json_resp;
}

public function login()
{

// ...
}

public function message()
{

// ...
}

public function portal()
{

// ...
}
}