2018年4月21日 星期六

SFS 新增模組 computer_manager 電腦教室上網管理

  1. 事前準備
    以 FG200D FortiOS v5.6.3 build1547 (GA) 為例
    1. 建立管理帳號 (不新建管理帳號,使用 admin 帳密也可以)
      1. 系統管理 → 系統管理員 → 新建 → administrator

      2. 輸入帳號、密碼
        「限制登錄到受信任主機」以增加安全性 (輸入學務系統 IP)
    2. 開通 Telnet 連線
      1. 網路介面開啟 Telnet 功能
        網路 → 介面 → 在對外介面按右鍵 → 編輯
        因本校學務系統在資網中心,所以要從校外連入,如果學務系統放校內,就要開啟對內的 Telnet 介面。
      2. 勾選 Telnet → 確定
      3. 開放從校外 Telnet 連入
        因本校學務系統在資網中心,所以要從校外連入,如果學務系統放校內,就不必寫此規則。
  2. 開始安裝設定
    以「學務管理系統」 SFS 3.1-2018-04-20 03:10(stable) 為例
    1. 系統管理 → 模組權限管理 → 新增模組:computer_manager [電腦教室上網管理]
    2. 系統管理 → 模組權限管理 → 模組管理
      「電腦教室上網管理〈computer_manager〉」→ 管理
      自己有管理權,其他教師有一般權限。
    3. 系統管理 → 模組權限管理 → 模組管理
      「電腦教室上網管理〈computer_manager〉」→ 調整
      輸入防火牆 IP、管理帳號、密碼 → 儲存變數值
      (其他依建議使用預設值)
    4. 開啟模組,開始設定
      /modules/computer_manager/
      建議開始設定前先看「重要說明」/modules/computer_manager/readme.php
      1. 設定電腦教室座位
        選擇教室 → 輸入編號、IP → 儲存

        按儲存後就會開始寫入防火牆,
        因資料較多,要耐心等他寫完。
      2. 防火牆登入測試
        會開始在防火牆建立相關群組及規則,因我事先依「重要說明」手動建立了相關群組及規則,所以畫面可能不一樣。

        如果自動建立策略,在內對外網路其他規則之下,建議將第一條策略移到最前面,第二條規則移到第二。
  3. 開始使用「電腦教室上網管理」

    跟之前版本「netstate 網路管理模組」不一樣,打勾就是開放自由上網,不勾就是封鎖對外連線,勾選完按儲存設定即可。


PS:

  1. netstate 網路管理模組」和「computer_manager 電腦教室上網管理」一樣用 Telnet 管理控制防火牆。
  2. 這個模組限制電腦上網,會將電腦 IP 加入 sfs3_comp_out_deny 群組,可直接從防火牆查:政策&物件 → 位址 → 地址群組。「netstate 網路管理模組」則無法從網頁查。
  3. 因為每一台電腦都要建立一個聯絡地址,所以「聯絡地址」變很長。
  4. 被鎖的電腦不會完全不能上網,列在 sfs3_comp_out_access 群組裡的網站,還是可以連線。但目前測試 https 加密的網頁仍然不能連,只有 http 未加密的網頁可連。
  5. 可以從模組直接「設定例外網路IP」,加到 sfs3_comp_out_access 群組裡,但個人還是習慣從防火牆加入。
  6. 參考請注意:
    1. 本校學務系統在校外 (資網中心),所以防火牆 Telnet 對校外 (學務系統) 開啟。
    2. 電腦教室未使用 NAT,所以防火牆規則未啟用 NAT。

沒有留言:

張貼留言