至顶网›安全频道 ›巧用PacketFence阻止非法网络访问(2)

巧用PacketFence阻止非法网络访问(2)

扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条

近来，笔者花费了大量的时间安装开源网络访问控制(NAC)系统PacketFence。PacketFence有一个特性比起其它所有方面都更加可行：注册。

作者：论坛整理来源：zdnet网络安全 2008年4月14日

　我们将首先运行htpasswd命令，用-c标记来创建文件。因此首先运行：

htpasswd -c /usr/local/pf/conf/user.conf USERNAME

　　在这里，USERNAME是第一个用户的名字。执行了这个命令，你会被提示两次，要求输入两次口令。在用户们被提示要求PacketFence注册时，这也就是用户所使用的用户名/口令的组合。你必须为每一个用户创建全部的用户名/口令组合，在下次运行这个命令时，就不需要-c标记了，因为这个文件已经创建。因此剩余的命令看起来是这个样子：　

htpasswd /usr/local/pf/conf/user.conf USERNAME

　　你现在需要重新配置PacketFence使其启动。

　　configurator.pl脚本

　　在我们首次安装PacketFence时，我们通过在测试模式中运行configurator.pl脚本而完成这种操作。这次我们要在注册模式中运行configuator.pl脚本。为此，切换到/usr/local/pf目录并执行命令(以root用户身份)./configurator.pl。这个过程将是如下的样子：

Checking existing configuration...
　　Existing configuration found, upgrading
　　Would you like to modify the existing configuration [y|n]
　　y
　　Would you like to use a template configuration or custom [t|c]
　　t
　　Which template would you like:
　　1) Test mode
　　2) Registration
　　3) Detection
　　4) Registration & Detection
　　5) Registration, Detection & Scanning
　　6) Session-based Authentication
　　Answer: [1|2|3|4|5]: [1|2|3|4|5|6]
　　5
　　Setting option scan to template value enabled
　　Setting option dhcpdetector to template value enabled
　　Setting option mode to template value passive
　　Setting option isolation to template value disabled
　　Setting option testing to template value disabled
　　Setting option detection to template value enabled
　　Setting option registration to template value enabled
　　Setting option auth to template value local
　　Setting option skip_mode to template value window
　　Setting option skip_window to template value 2w
　　Setting option aup to template value disabled
　　Setting option skip_reminder to template value 1d
　　Setting option pass to template value packet
　　Setting option ssl to template value enabled
　　Setting option user to template value admin
　　Setting option port to template value 1241
　　Setting option registration to template value enabled
　　Setting option host to template value 127.0.0.1

　　请一定要检查conf/violations.conf，并禁用任何与你的环境相冲突的因素。注意：这种配置可能有点儿单调乏味。如果你厌倦了，可以直接编辑/usr/local/pf/conf/pf.conf。笔者的管理接口是什么呢?

(default: eth0) [eth0|?]:
　　eth0 - ok? [y|n]
　　y

　　其IP地址是

(default: 192.168.1.29 [?]):
　　192.168.1.29 - ok? [y|n]
　　y

　　其子网掩码

(default: 255.255.255.0 [?]):
　　255.255.255.0 - ok? [y|n] y

　　网关

(default: 192.168.1.1 [?]):
　　192.168.1.1 - ok? [y|n] y

　　监视程序接口

(default: eth1) [eth0|?]: eth0
　　eth0 - ok? [y|n] y

　　此外，还有SMTP中继服务器等。此后，你将准备启动PacketFence.为此执行命令：

　　/usr/local/pf/bin/start