- 事前準備
以 FG200D FortiOS v5.6.3 build1547 (GA) 為例 - 建立管理帳號 (不新建管理帳號,使用 admin 帳密也可以)
- 系統管理 → 系統管理員 → 新建 → administrator
- 輸入帳號、密碼
「限制登錄到受信任主機」以增加安全性 (輸入學務系統 IP)
- 開通 Telnet 連線
- 網路介面開啟 Telnet 功能
網路 → 介面 → 在對外介面按右鍵 → 編輯
因本校學務系統在資網中心,所以要從校外連入,如果學務系統放校內,就要開啟對內的 Telnet 介面。
- 勾選 Telnet → 確定
- 開放從校外 Telnet 連入
因本校學務系統在資網中心,所以要從校外連入,如果學務系統放校內,就不必寫此規則。
- 開始安裝設定
以「學務管理系統」 SFS 3.1-2018-04-20 03:10(stable) 為例 - 系統管理 → 模組權限管理 → 新增模組:computer_manager [電腦教室上網管理]
- 系統管理 → 模組權限管理 → 模組管理
「電腦教室上網管理〈computer_manager〉」→ 管理
讓自己有管理權,其他教師有一般權限。
- 系統管理 → 模組權限管理 → 模組管理
「電腦教室上網管理〈computer_manager〉」→ 調整
輸入防火牆 IP、管理帳號、密碼 → 儲存變數值
(其他依建議使用預設值)
- 開啟模組,開始設定
/modules/computer_manager/
建議開始設定前先看「重要說明」/modules/computer_manager/readme.php - 設定電腦教室座位
選擇教室 → 輸入編號、IP → 儲存
按儲存後就會開始寫入防火牆
因資料較多,要耐心等他寫完。
- 防火牆登入測試
會開始在防火牆建立相關群組及規則,因我事先依「重要說明」建立了相關群組及規則,所以畫面可能不一樣。
- 開始使用「電腦教室上網管理」
PS:
- 「netstate 網路管理模組」和「computer_manager 電腦教室上網管理」一樣用 Telnet 管理控制防火牆。
- 這個模組限制電腦上網,會將電腦 IP 加入 sfs3_comp_out_deny 群組,可直接從防火牆查:政策&物件 → 位址 → 地址群組。「netstate 網路管理模組」則無法從網頁查。
- 因為每一台電腦都要建立一個聯絡地址,所以「聯絡地址」變很長。
- 被鎖的電腦不會完全不能上網,列在 sfs3_comp_out_access 群組裡的網站,還是可以連線。但目前測試 https 加密的網路仍然不能連,只有 http 未加密的網站可連。
- 可以從模組直接「設定例外網路IP」,加到 sfs3_comp_out_access 群組裡,但個人還是習慣從防火牆加入。
沒有留言:
張貼留言