此处以VirtualBox举一个例子。建议你从http://www.wiwiz.com/zh/download/下载并使用我们提供的虚拟机镜像。它包含了所有必要的软件包，并且被很好的配置了，这样可以节约你很多时间。

系统需求

硬件

• 一台带有1个以太网卡的电脑(宿主机)
• 一个无线路由器

软件

• VirtualBox 4.1或更高的版本。下载网址：http://www.virtualbox.org/
• 我们提供的最新版虚拟机镜像文件Wiwiz-VBox.ova。下载网址：http://www.wiwiz.com/zh/download

准备工作

1. 准备一个无线路由器，连接并设置好Internet连接，设置好无线局域网。
2. 用网线连接电脑的网卡与无线路由器的LAN口。
3. 把电脑网卡设置为静态IP，而不要用自动获得IP的方式，并确保电脑可以正常访问Internet。
4. 关闭路由器的DHCP服务，确保网络中没有其他的DHCP服务运行（重要）。
5. 建议关闭宿主机的防火墙。

安装与设置
1. 启动VirtualBox，导入我们的虚拟机镜像文件Wiwiz-VBox.ova，参考下图：

2. 导入后，会显示以下界面。然后，点击“设置”。

3. 确认网络设置。确保“网卡1”的连接方式必须是“桥接网卡”。如果电脑有多块网卡，那么，“界面名称”项务必要选择用网线连接路由器的网卡（重要）。网卡2、网卡3、网卡4的设置不要修改。

4. 然后，点击“启动”，运行虚拟机。

之后，你会看到以下的虚拟机运行界面：

稍等片刻后，待系统启动完毕，按一下回车键，就会进入到命令行界面，如下图。

5. 设置IP地址。输入以下命令：
setIP 192.168.1.9

注意：setIP命令后面的参数值是要给虚拟机设置的内网IP地址，它应和你的路由器内网网段是一致的，并且是一个没被占用的IP地址。例如，如果你的路由器网段是192.168.1.x，那么，IP可以是192.168.1.9。

6. 测试网络，确保在虚拟机内可以ping通路由器和外网地址（重要）。比如：
ping 192.168.1.1 #请将192.168.1.1替换为你的路由器的实际IP地址
ping baidu.com
如都能ping通，那么继续下一步，否则，请仔细检查确认之前的操作步骤。

7. 执行以下命令：
/usr/local/hsbuilder/hsbuilder_setup4openwrt.sh setup
然后，按照提示输入HotSpot ID和你的Wiwiz用户名，其他的项目都按回车即可。
如果你还没有Wiwiz用户名或HotSpot ID，那么请访问Wiwiz Web面板（http://cp.wiwiz.com）注册一个账户，登陆并创建一个热点即可得到HotSpot ID。

之后，等待片刻，如果没有报错信息并看到“HSBuilder Setup Completed!”的提示文字，那么安装就完成了。

最后，你可以使用一个WiFi终端设备(如带WLAN适配器的PC或者支持Wi-Fi的移动电话)测试一下你的热点：

• 搜索并连接到你的热点。
• 打开Web浏览器，输入任何一个HTTP开头的网址。如果你的热点的认证页面能够显示出来，就说明你的热点已经正常运转了。

常见问题：
1. 安装设置后，在WiFi终端设备里可以正常打开各网站页面，但是并不能显示认证页面。
解决方法：关闭路由器的DHCP服务，确保网络中没有其他的DHCP服务运行。然后，重启虚拟机。

2. 出现“Error Code: 4”的报错信息。
解决方法：确保在虚拟机内可以访问（ping通）路由器和外网地址。建议关闭宿主机的防火墙，并确保使用官方版本的VirtualBox程序，且安装正常。

3. VirtualBox的虚拟机的网络设置中，网卡1的“界面名称”项目里找不到需要桥接的有线网卡。
解决方法：确保宿主机的有线网卡的属性里已勾选了“VirtualBox Bridged Networking Driver”项。如下图：

本文章由 http://www.wifidog.pro/2015/03/18/wifidog%E5%AE%89%E8%A3%85%E6%8C%87%E5%8D%97.html整理编辑，转载请注明出处

wifidog.conf:

#网关ID
GatewayID default
#外部网卡
ExternalInterface eth0
#无线网卡
GatewayInterface eth0
#无线IP
GatewayAddress 192.168.1.1
#路由状态HTML
HtmlMessageFile wifidog-msg.html 
#验证服务器
#AuthServer {
#    Hostname                 (Mandatory; Default: NONE)
#    SSLAvailable             (Optional; Default: no; Possible values: yes, no)
#    SSLPort                  (Optional; Default: 443)
#    HTTPPort                 (Optional; Default: 80)
#    Path                     (Optional; Default: /wifidog/ Note:  The path must be both prefixed and suffixed by /.  Use a single / for server root.)
#   LoginScriptPathFragment  (Optional; Default: login/? Note:  未用户登录重定向地址.)
#   PortalScriptPathFragment (Optional; Default: portal/? Note:  登录成功后重定向地址.)
#   MsgScriptPathFragment    (Optional; Default: gw_message.php? Note:  退出登录后重定向地址.)
#   PingScriptPathFragment    (Optional; Default: ping/? Note:  路由状态心跳地址.)
#   AuthScriptPathFragment    (Optional; Default: auth/? Note:  路由请求服务器验证地址 and 验证心跳地址(stage=counters).)
#}

AuthServer {
    Hostname auth.com
    #SSLAvailable yes
    Path /
}

# 是否后台进程
# Daemon 1
#默认网关端口
# Default: 2060
GatewayPort 80

# HTTP进程名
# HTTPDName WiFiDog

# HTTP最大连接数
# Default: 10
# HTTPDMaxConn 10

# WEB页面加密码后显示名
# Default: WiFiDog
# HTTPDRealm WiFiDog

# WEB加验证
# HTTPDUserName admin
# HTTPDPassword secret

# 心跳间隔时间
# Default: 60
CheckInterval 60

# 心跳间隔次数 验证超时数等于 CheckInterval*ClientTimeout 
ClientTimeout 2

# 信任的MAC地址,加入信任列表将不用登录可访问
#TrustedMACList 00:00:DE:AD:BE:AF,00:00:C0:1D:F0:0D

#其他防火墙设置

#全局
FirewallRuleSet global {
    ## To block SMTP out, as it's a tech support nightmare, and a legal liability
    #FirewallRule block tcp port 25

    ## Use the following if you don't want clients to be able to access machines on 
    ## the private LAN that gives internet access to wifidog.  Note that this is not
    ## client isolation;  The laptops will still be able to talk to one another, as
    ## well as to any machine bridged to the wifi of the router.
    # FirewallRule block to 192.168.0.0/16
    # FirewallRule block to 172.16.0.0/12
    # FirewallRule block to 10.0.0.0/8

    ## This is an example ruleset for the Teliphone service.
    #FirewallRule allow udp to 69.90.89.192/27
    #FirewallRule allow udp to 69.90.85.0/27
    #FirewallRule allow tcp port 80 to 69.90.89.205
}

# 新验证用户
FirewallRuleSet validating-users {
    FirewallRule allow to 0.0.0.0/0
}

#正常用户
FirewallRuleSet known-users {
    FirewallRule allow to 0.0.0.0/0
}

#未知用户
FirewallRuleSet unknown-users {

#域名已修改源码实现,直接下载的不行的...
    FirewallRule allow to baidu.com
    FirewallRule allow udp port 53
    FirewallRule allow tcp port 53
    FirewallRule allow udp port 67
    FirewallRule allow tcp port 67
}

#锁住用户
FirewallRuleSet locked-users {
    FirewallRule block to 0.0.0.0/0
}

域名过滤支持:
fw_iptables.c
iptables_compile 修改:

    if (rule->mask != NULL) {
        char *mask=rule->mask;
        int mask_len=strlen(mask);
        int is_domain=0,
            i=0;
        for(;i<mask_len;i++){
            if((mask[i]>=46&&mask[i]<=57)||mask[i]==32){
                continue;
            }else{
                is_domain=1;
                break;
            }
        }
        char * ip =NULL;
        if(is_domain){
            struct in_addr * h_addr =wd_gethostbyname(mask);
            if(h_addr){
                ip= safe_strdup(inet_ntoa(*h_addr));
                free(h_addr);
            }
            if(ip){
                mask=ip;
            }else{
                debug(LOG_ERR, "doamin %s not find ip try again!",mask);
                mask="0.0.0.0";
            }
        }
        snprintf((command + strlen(command)), (sizeof(command) -
                    strlen(command)), "-d %s ", mask);
        if(ip){
            free(ip);
        }
    }

conf.c
_parse_firewall_rule 修改:

    for (i = 0; *(mask + i) != '\0'; i++)
            if (!isdigit((unsigned char)*(mask + i))
                    &&!isalpha((unsigned char)*(mask + i))
                    && (*(mask + i) != '-')
                    && (*(mask + i) != '.')
                    && (*(mask + i) != '/'))
                all_nums = 0; /*< No longer only digits */

本文章由 http://www.wifidog.pro/2015/03/18/wifidog-%E9%85%8D%E7%BD%AE%E4%B8%AD%E6%96%87%E8%AF%B4%E6%98%8E.html整理编辑，转载请注明出处

一 认证流程描述
　　i. Wifidog 运行之后建立一系列的防火墙规则，主要规则起到如下作用：

　　　　1.阻断所有内网到外网的访问。

　　　　2.开通内网到外网的 dns 访问。

　　　　3.开通内网到认证服务器以及域名白名单的访问。

　　　　4.对内网到外网 80 端口的访问转向到 wifidog 自己的 http 服务（2060 端口）。

　　ii. 手机、pc 连接上来后，app 或者系统（安卓、ios 会自己连接到各自的服务器上来验证网络的连通性）会发起对外网的访问请求，dns 请求会被放过，然后对应的 80 端口的访问会被指向 2060 的 http 服务，其他的请求都会被拦截。
　　iii. Wifidog 的 http 接到 web 请求后，基本上都会被指向 404 页面，404 页面会给客户端一个重定向返回（302），要求客户端重定向访问认证服务器的 login 页面，附加参数 gw_id、gw_address、gw_port、url。
　　iv. 手机、pc 客户端加载、显示认证服务器的 login 页面，用户根据页面内容做相关的认证操作（qq 登录、微博登录、用户名密码登录、手机短信登录等多种登录方式） ，原则只有一个认证不成功就仍然让用户停留在认证服务器继续认证操作，认证成功给客户端一个 302 重定向返回，根据 login 接口提交上来的参数 gw_address、gw_port 跳转套 wifidog web 服务的/wifidog/auth 页面上，附带 token 和 url 参数。
　　v. Wifidog 的 web 服务收到手机、pc 客户端的/wifidog/auth 请求后，会主动对认证服务器的 auth 接口发起一个验证请求， 附带参数 ip、 mac、 token、 stage=loginvi. 认证服务器的 auth 接口收到 wifidog 的请求， 要根据内部逻辑返回是否允许通过的应答 ：

　　　　Auth: 0 拒绝

　　　　Auth: 1 允许

　　vii. Wifidog 接收到验证结果后，如果拒绝访问，就会返回 302 给客户端，重定向到认证服务器的 gw_message 接口，附带 message=denied 参数，客户端的上网访问仍然会回到第二步骤；如果允许访问，则改动防火墙规则，开通改客户端的上网（至此客户端已经能够正常上网） ，然后返回 302 重点向给客户端，重定向到认证服务器的 portal 接口，附带参数 gw_id。

　　viii. 认证服务器的的 portal 接口根据业务流成显示广告业或者做其他的跳转ix. 整个认证流程完成。

二 ping 心跳流程描述
　　i. ping 接口 wifidog 检测认证服务器访问是否正常、并向认证服务器提交 wifidog的运行状态。
　　ii. 定时 ping 认证服务器。
　　iii. 提交的参数 gw_id、sys_uptime、sys_memfree、wifidog_uptime。

三 auth 心跳流程描述
　　i. 和 ping 一样的频率定期请求认证服务器，并且有多少已认证客户端就发多少请求。
　　ii. 用来向认证服务器提交客户端的状态以及执行认证服务的验证结果。
　　iii. 提交的参数有：ip、mac、token、incoming、outgoing 、stage=counters。
　　iv. 如果服务器返回拒绝，则 wifidog 改动防火墙规则，关闭该客户端的上网。

本文章由 http://www.wifidog.pro/2015/03/18/wifidog%E6%A0%87%E5%87%86%E6%B5%81%E7%A8%8B%E6%8F%8F%E8%BF%B0.html 整理编辑，转载请注明出处

wifidog是一个用于配合认证服务器实现无线网页认证功能的程序，常见的情景就是使用于公共场合的无线wifi接入点，首先移动设备会连接公共wifi接入点，之后会弹出网页要求输入用户名密码，认证过后才能够连入外网。其主页是http://dev.wifidog.org/

实现原理

　　其实wifidog原理很简单，主要是通过管控iptables，配合认证服务器进行客户端的放行操作。wifidog在启动后都会自动启动三个线程，分别为客户端检测线程、wdctrl交互线程、认证服务器心跳检测线程。每当新用户连接无线AP并浏览网页时，wifidog会获取新用户的此次操作，并返回一个重定向到认证服务器的http于用户，此后用户通过认证服务器认证后，再继续浏览网页时，wifidog会询问认证服务器此用户权限，若放行则修改iptables放行此用户IP。

主要流程如下

• 添加关键路径对应的回调函数
• 删除所有iptables路由表
• 建立新的iptables路由表
• 开启客户端检测线程（用于判断客户端是否在线，是否登出）
• 开启wdctrl交互线程
• 开启认证服务器心跳检测线程
• 循环等待客户端连接（使用socket绑定2060端口并监听，实际上在建立新的iptables路由表规则时会将网关的80端口重定向到2060端口）

回调函数
　　回调函数主要用于根据用户http报文执行不同的操作，其原理就是分析http报文请求中有没有关键路径，若有，则执行关键路径对应的回调函数，若没有，则返回一个重定向到认证服务器的包给用户。一次典型的流程为

• 用户连接无线AP，访问某网站（比如http://www.baidu.com）
• wifidog获取到此http报文，检查是否包含关键路径，没有则返回重定向包给用户，将其重定向到认证服务器
• 用户认证成功，认证服务器将用户重定向到无线AP网关，并包含关键路径"/wifidog/auth"和token
• wifidog接收到用户重定向后访问的报文，检测到关键路径"/wifidog/auth"，然后访问认证服务器进行token认证
• 认证成功，wifidog修改iptables放行此用户（根据mac和ip进行放行）

wifidog的iptables规则
　　这一部分我没有仔细认真看源码，但可以推论出wifidog是怎么修改iptables的规则的，了解iptables基本原理的同学都清楚iptables实际上有两条路进行数据包处理，一条路会通过应用程序，一条路不同过应用程序，直接到POSTOUTPUT，而我认为wifidog建立的规则是

• 只要是访问认证服务器的http请求都直接不通过wifidog发送出去
• 只要是通过认证的客户端wifidog都会修改iptables让其数据直接从FORWARD到POSTOUTPUT，而不经过wifidog
• 其他行为都必须进过wifidog处理

客户端检测线程
　　此线程每隔60s会遍历一次客户端列表，对每一个客户端列表统计流量，如果客户端在60s间隔内没有新产生的流量则不更新客户端的最新更新时间，当当前时间减去最新更新时间大于断线要求时间时，则会将此客户端从客户端列表删除，并修改iptables规则禁止其访问外部网络，然后发送此客户端登出包于认证服务器，认证服务器根据此登出包将此客户端做登出处理。如若没有超出断线要求时间，此线程还会发送客户端状态获取包于认证服务器，认证服务器返回此客户端在认证服务器上的信息，如若信息表示此客户端已在认证服务器上登出，wifidog则会执行此客户端下线操作。

wdctrl交互线程
　　其原理是使用unix socket进行进程间通信，具体实现在之后文章中体现

认证服务器心跳检测线程
　　原理也很简单，就是每隔60s将路由的一些系统信息发送给认证服务器，认证服务器接收到会返回一个回执

　　循环等待客户端连接
　　这里主要会接收到两种类型的客户端连接

未认证的客户端打开网页操作，wifidog会接收到此http请求，并返回一个重定向到认证服务器的包于客户端
经过认证服务器认证成功后，认证服务器自动将客户端重定向到无线AP的操作，wifidog接收到此类http请求后会检测关键路径"/tmp/wifidog"，并把http请求中携带的token与认证服务器进行认证，认证成功后则修改iptables放行客户端。

具体代码实现见之后章节

本文章由 http://www.wifidog.pro/2015/03/17/wifidog%E6%BA%90%E7%A0%81%E5%88%86%E6%9E%90-wifidog%E5%8E%9F%E7%90%86.html 整理编辑，转载请注明出处