ขอบคุณครับ ขอบคุณอย่างสูง สำหรับคำแนะนำครับ

ส่วนเรื่อง PCI Wifi... ต้องถามว่า EnGenius รุ่นนี้ ใช้ Chip อะไรครับ.??

ส่วนตัวผมยังรู้สึกเสียวๆกับการ์ด Wifi ครับ ถ้าเราจะเล่นการ์ดwifi ก็ต้องมีเสียงมีลุ่นกันหน่อย... บางตัวที่ใช้กับ Linux ได้ แต่อาจใช้กับ FreeBSD ไม่ได้... ก่อนซื้อต้องเช็คกันดีๆครับ(แล้วเผื่อใจข้ำๆไว้ด้วยครับ) แต่ EnGenius ตัวนี้เดี๊ยวต้องขุดดูว่ามันใช้ Chip อะไร

สินค้าจีนเนี่ย พอจะเจอของดีมันก็ดี(ได้เป็นOEMแบบ100%) ถ้าจะเจอไม่ดีก็ไม่ดีอย่างเลวไปเลย(ย้อมแมวทุกอย่าง)... 555+

อ้อ ท่าน ดอกไม้ คือ มีวิธีป้องกัน bot gen pass root ไหมครับ
ไม่ทราบว่า สามารถติดตั้ง fail2ban ได้ไหม คือ ถ้าใส่รหัสผ่านผิดเกิน xx ครั้ง ให้ ban ip เหมือนที่ผมเคยทำบน centos , clearOS, ubuntu พอดีกำลังหัดเล่นบน vmware ก็เลยขออนุญาตถามครับ

ถ้าที่ติดตัวมากับ pfSense 2.0 ไม่มีครับ...

แต่ pfSense 2.0 ให้เราใช้ PHP สร้างหน้ารับ Login เองได้ครับ...(แต่ผมก็ไม่เคยทำนะ.. ย่ำว่าผมไม่เคยทำนะ แต่มีฝรั่งทำ)

แนวทางคือ
- ให้สร้าง "หน้าLogin" และ "หน้าAuthentication error page(ล็อกอินผิด)" ของเราเองด้วย PHP
- ที่หน้า"ล็อกอินผิด" ให้เขียนPHPของเราสั่งให้เก็บ session เพื่อนับจำนวณครั้งที่ Login fail ต่อ IP Address นั้นๆ (เห็นฝรั่งบอกว่า PHP ใน pfSense สร้าง session ได้นะ)
- ที่หน้า"login"ปกติ เขียนให้ PHP ทำงานต่อเมื่อมี session ที่ถูกต้อง

ก็จะสกัด bot แบบพื้นๆได้แล้ว
แต่ถ้าเจอ bot แบบยิงตรงเข้า Post เลย... ต้องทำหน้า PHP(โชว์แต่Form) ซ้อน PHP(โยนไปเข้าAuthของpfSense)

ฝรั่งเขามีทำกันนะครับ... พวกที่เล่นทดลองในแวดวงHackerพวกนั้น

ในความเป็นจริง ถ้าเราโดนอย่างนี้ ถ้า"มัน"พยายามสักอย่าง เราก็ไม่เหลือครับ... แต่เราจะจับผิดสังเกตุได้บ่างล่ะ แล้วต้องล้อมวงตีหัวเอาเองครับ
(ถ้าจะใช้ไม้หน้าสามไปตีหัวคนแฮก ก็แนะนำให้เอาปากกาเมจิ เขียนที่ข้างไม้ด้วยว่า "พรบ.50" หุหุหุ.ๆๆๆ)



หุหุหุ...ถ้าคุณโดน Bot แบบนี้ ก็บอกผมด้วยนะ... ผมอยากรู้สถิติการโดนแฮกของระบบเหมือนกัน ครับ

อ่า จากเซิร์ฟเวอร์ authen โดย ubuntu amd 64 server + mini hotspot
เจอทุกวัน
ในเครื่องได้ลงตัวป้องกัน การบอตเจนผ่านพอต 22 หรือ พอต ssh โดยสาเหตุทีเปิดเอาไว้เพราะจะได้รีโมทมาจัดการจากภายนอกได้

พวกนี้หากมันเจนพาส ผิดเกิน 5 ครั้งก็จะแบนไป 6 ชั่วโมง...หรือมากกว่านั้นแล้วแต่เราจะตั้ง

ก็เลยอยากปรึกษาว่า หากเราเบิด ssh บน pfSense แล้ว เข้าผ่าน net หากโดนเจน แบบนี้ ...

^
^
ดูจาก Log ของคุณ เห็นว่าServerคุณโดนยิงมาจากนอกเน็ตซะด้วย...

ผมไม่รู้ว่าผมเคยโดนแบบนี้หรือเปล่านะครับ อิๆ



สำหรับ SSH กับ pfSense 2.0 ผมมีสองระดับครับ

- ระดับแรก ผมจะตั้ง Port Number ของ SSH ไปเป็นเลขอื่น(เลขประหลาดๆ)ครับ เช่น 51687 หรือ 64928 (scan portตรูให้เจอก่อนล่ะกัน)

- ระดับสอง เปลี่ยน Port เป็นเลขประหลาด แล้วใช้ Authorized keys แทน Password ครับ... เจอแบบนี้ก็มักถอดใจ แล้วเลิกพยายามจะHackเรา (จัดให้ยาวๆ เดากันไหวก็สู้กัน)


ปกติผมจะใช้ ระดับ 2 เสมอครับ (จริงๆเพราะผมขี้เกียจจำพาสเวิร์ดครับ ผมก็Add Authorized keys ไว้ใน PuTTY เลย... จบกัน สมองไม่จดไม่จำอะไรแล้วป๋ม )

จด ๆ ความรู้ล้วน ๆ ^^

NAT
(ไพบูลย์ ดอกไม้ - 15/12/2554)

สำรองบทความไว้ที่ (ดูรูปขนาดใหญ่) http://forum.internetsup.com/index.php/topic,60.0.html



เรื่องของ NAT ผมขออธิบาย(แบบนอกคอก)เฉพาะในเรื่องที่เกี่ยวกับชีวิตประจำวันนะครับ(จะไม่อธิบายแบบลงลึก ซึ่งจะต้องจำกันเปลืองสมอง แต่เรามักเอามาใช้จริงแค่นิดเดียว)...

NAT(Network Address Translation) นั้น ตัวผมเอง ขอพูดอย่างเข้าใจง่ายๆคือ "ระบบแยกหรือเพิ่มจำนวน IP Address" ซึ่งจะให้คำจำกัดความในการใช้งานจริงของ NAT ที่ตรงกว่า แต่ถ้าจะพูดแลดูเป็นวิชาการหน่อย ก็จะได้ว่า. NAT คือ "ระบบแปลผลเลขหมายIP ของเน็ตเวิร์คภายใน กับ เลขหมายIPภายนอก"

เราต้องนึกภาพว่า ระบบเน็ตเวิร์คคอมพิวเตอร์ที่เราใช้กันอยู่ ตามบ้าน, หอพัก, มหาวิทยาลัย, องค์กร นั้น จะมีลักษณะเป็น เน็ตเวิร์คหลายๆวงซ้อนๆกันอยู่(เน็ตภายในซ้อนเน็ตภายนอก เน็ตภายในก็อาจซ้อนๆกันไปอีกหลายวง) ซึ่งแต่ละวงก็จะมีระบบโครงสร้างเลข IP เป็นของตัวเอง(เพื่อสือสารกันภายใน Subnet) แต่เนื่องด้วย IP Address นั้นมีอยู่อย่างจำกัด... ซึ่งโดยทั่วไป เราเตอร์ของเน็ตเวิร์คแต่ล่ะวงก็จะได้ IP เพียง1เลขหมาย..ทำนองนี้ แต่ลูกข่ายภายในวงของตัวเองนั้นมีมากกว่า1เครื่อง ดังนั้นเมื่่อเรามองเข้ามาจากภายนอกเน็ตเวิร์ค เลขIPเพียง1เลขหมายของที่เราเตอร์มีอยู่นั้น จึงเสมือนใช้แทนตัวลูกข่ายทั้งหมดของวงเน็ตเวิร์คนั้นไปด้วย... และเพื่อให้ระบบเน็ตเวิร์คสามารถทำงานได้ จึงต้องมีระบบอย่างนึงขึ้นมา เพื่อทำหน้าที่จัดการ/แจกแจง/ชี้เป้าหมาย เพื่อให้ข้อมูลวิ่งเข้าวิ่งออกเน็ตเวิร์ค ทั้งภายในและภายนอกเน็ตเวิร์คนั้น ให้สามารถไปถึงที่หมายปลายทางได้อย่างถูกต้อง... ระบบนั้นก็คือ NAT นั้นเอง

แล้วถ้าถามว่า แล้ว NAT จะชี้หรือนำส่งข้อมูลอย่างไร ให้ไปถึงลูกข่ายเครื่องนั้นๆล่ะ เพราะข้อมูลที่วิ่งเข้าเน็ตเวิร์ค มันก็วิงมาที่ IP ของเราเตอร์ แล้วเราเตอร์จะรู้ได้อย่างไงว่า ข้อมูลก้อนนี้ต้องส่งไปให้ลูกข่ายตัวไหน... คำตอบก็คือ 2อย่าง การจับคู่เลขIP หรือ ใช้การทำ Port Number ไงครับ... ด้วยเหตุนี้เราจึงมักเจอ NAT คู่กับการทำ Port Forward อยู่ทุกครั้งไปนั้นเองครับ

คราวนี้เรื่องทางเทคนิคของ NAT ก็มีการแยกประเภทตามรูปแบบการทำงาน ไปอีกหลายแบบ เช่น

- Static NAT คือ การจับคู่1ต่อ1 ของเลขIPภายนอก กับ เลขIPภายใน แบบคงที่... กรณีแบบนี้มักใช้บ่อย เมื่อมีการตั้งเครื่องServerอยู่ภายในวงเน็ตเวิร์คนั้นๆ เช่น ตั้งWeb Server หรือ Mail Server อยู่ภายในองค์กร แล้วองค์กรณ์ของเราได้เลขหมายIPหลายเลข(หนึ่งเราเตอร์ได้IPหลายเลข) เราก็สามารถจับคู่ 1:1 ระหว่าง IP ภายนอก:ภายใน กันซะ.. เมื่อมีข้อมูลวิงเข้ามาที่เลข IP นี้ ก็จะสับรางแล้ววิ่งตรงเข้าServer ที่จับคุณIPกันไว้แล้ว โดยตรงไปเลย

- Dynamic NAT ก็คล้ายๆ Static ครับ แต่จะเปลี่ยนไป-เปลี่ยนมาได้ ไม่ไช่1ต่อ1... เช่น เราเตอร์ได้รับ IP จำนวน 5เลข ก็จะสลับหมุนเวียนเลขIPนี้ จับคู่กับเครื่องลูกข่ายภายใน หมุนเวียนไป (คล้ายๆกับที่เราได้ Dynamic IP กับ ADSL Modem นั้นล่ะครับ) หรือเครื่องลูกข่ายจะไม่มีเลข IP ภายนอกประจำตัว(เหมือนแบบ Static)นั้นเอง... การทำแบบนี้มีข้อดีตรงที่ คนภายนอกยากจะเข้าใจเส้นทางเน็ตเวิร์คภายในของเรา ระบบภายในจะปลอดภัยมากขึ้น...

- PAT(Port Address Translation) บางคนเรียกว่า Overloading NAT มันก็คือระบบNATแบบที่เราพบอยู่ในชีวิตประจำวันนี้ล่ะครับ เราเตอร์ADSLตามบ้านก็คือแบบนี้ทั้งนั้น มีลักษณะเป็น many-to-one หรือพูดง่ายๆก็คือ แปลงเลขIPของลูกข่ายภายในวง เป็นPort NumberของเลขIPภายนอกนั้นเอง (เลขPortก็จะหมุนเวียนไป ลูกข่ายแต่ล่ะเครื่องไม่มีเลขPortประจำ... แล้วลูกข่าย1ตัว อาจใช้งานเลขPortพร้อมกันได้หลาย)

- Static PAT ก็คือการจองเลข Port ประจำไว้ให้IPลูกข่ายตัวนั้นๆคงที่ ซึ่งไม่ไช่อื่นไกลครับ มันคือ Port Forward(ที่เราทำตอนโหลดบิตกัน)นั้นเอง

บ่างท่านอาจเห็นที่ผมอธิบายแล้วรู้สึกขัดๆตา ก็อย่าได้ซีเรียสไปกับมันครับ เพราะผมอธิบายในแบบของผม ที่อยากให้คนธรรมดาเข้าใจภาพรวมครับ...
ส่วนพวกเราก็สบายๆครับ ไม่ต้องไปใส่ใจกับมันมากครับ(มันเป็นเรื่องที่ยิ่งลงลึก-ยิ่งหนักสมอง) พอใช้งานไปเรื่อยเดี๊ยวจะเข้าใจเองครับ(ยกเว้นท่านที่เอา pfSense ไปทำFirewallจริงๆจัง..แบบนั้นท่านต้องเข้าใจก่อนทำงานครับ)

โดยทั่วไปแล้ว เราๆก็แค่ Forward Port กันเท่านั้นล่ะครับ ซึ่งพวกเราก็คงทำเป็นกันแล้ว ที่เราทำไปนั้นล่ะครับ เราใช้ใช้งาน NAT ไปแล้วดดยไม่รู้ตัว..ซึ่งมันก็เรียบง่าย ไม่ได้ยากอะไรครับ


เราเข้าหน้าจัดการ NAT ได้ที่เมนู Firewall --> NAT



หน้าแท็บแรกก็คือ Port Forward (ซึ่งเราๆรู้จักมันกันแล้วนะ)



หน้าแท็บที่สอง คือ 1:1 (ก็คือการทำ Static NAT นั้นล่ะครับ)




หน้าแท็บ Outbound
หน้านี้เรียกได้ว่าเป็น NAT ส่วนหลักที่ทำให้ pfSense ต่ออินเตอร์เน็ตเน็ตกับวงเน็ตเวิร์คของมันได้เลยครับ
จะมีด้วยกันสองตัวเลือก คือ Auto กับ Manual
- Auto คือ ให้ pfSense สร้าง Outbound ให้เองอัตโนมัติ(เมื่อเราคอนฟิกอินเตอร์เฟส)
- Manual คือ เราต้องการจะตั้งค่าเองครับ
โดยทั่วไปเช่น เน็ตหอพัก เน็ตสำนักงาน เราก็เลือก Auto ไว้ก่อนครับ... สำหรับกรณีเจาะจงจริงๆเราถึงจะต้องมาประแต่งด้วยมือครับ เช่น ต้องการทำจัดการInterfaceหลายตัวเอง

ในรูปนี้ ผมกดเลือก Manual ให้ดูครับ ซึ่งเมื่อกดแล้ว pfSense จะแสดงค่าที่ตั้งไว้ก่อนแล้วจาก Auto ให้เราดูครับ... ดูแล้วก็พอเข้าใจความหมายของแต่ล่ะกฎได้ไม่ยากนะครับ

Rule
(ไพบูลย์ ดอกไม้ - 15/12/2554)

สำรองบทความไว้ที่ (ดูรูปขนาดใหญ่) http://forum.internetsup.com/index.php/topic,61.0.html



ตรงนี้ล่ะครับหัวใจของ pfSense เลย...
ถ้าเราลองมองโดยรวมแล้ว ไม่ว่าจะเป็นอื่นๆ อย่าง Aliases, NAT เราจะเห็นว่าลักษณะของมันก็คล้ายๆกับว่าเป็น"กฏ"ไปเสียหมด(ถ้าเราจะเรียกตรงอื่นว่าเป็นกฎด้วยก็คงไม่ผิดอะไรหรอกครับ) แต่กฎในหน้า Rule นี้จะเป็นหัวใจของกฎที่อื่นๆทั้งหมด เพราะตรงนี้เป็นจุดหลักที่Ruleจะกระทำกับ Interface โดยตรง

การกำหนด Rule ของ pfSense 2.0 ถือว่าเรียบง่ายมากๆ หากเทียบกับเราเตอร์ตัวอื่นๆ (ง่ายกว่า Linksys RV, ง่ายกว่า Mikrotik ทั้งป่วง) แต่Ruleของ pfSense 2.0 มีประสิทธิภาพเป็นอย่างมาก... โดยตัวRuleเอง จะมีลักษณะเป็น "อะไร" "จากไหน" "ไปไหน" "พอร์ทอะไร/โปรโตคอลอะไร" และ "จะให้ผ่านหรือบล็อก" หลักๆมันมีโครงสร้างของตัวมันแค่นี้เองครับ แล้วจะมีออฟชันข้างเคียง ให้เราได้เลือกปรุงแต่งเพิ่มเข้าไปครับ...


การเข้าหน้า Rule ได้โดยเมนู Firewall --> Rules



เมื่อเข้าหน้า Rule แล้ว...
จะมีแท็บให้เลือกตามแต่ละ Interface ที่เรามี (ให้สังเกตุที่หัวข้อแท็บ)


เราสามารถกำหนด Rule ให้ Interface นั้นๆ ได้ด้วยการไปเพิ่ม Rule ในหน้าแท็บของ Interface นั้น...
แต่คุณจะเห็นว่ามี แท็บหนึ่งที่ไม่ได้เป็น Interface คือ แท็บFloating

แท็บ Floating มีความพิเศษตรงที่มันลอยอยู่บนทุกอินเตอร์เฟส... Floating มีประโยชน์อย่างมากเมื่อเราต้องการ กำหนดRuleแบบบังคับหลายๆInterfaceพร้อมกัน เราสามารถมากำหนดที่Floatingได้เลย(ไม่ต้องไปสร้างRuleแยกทุกแท็บ) โดยRuleที่สร้างในFloatingเราสามารถเลือกได้ว่า จะให้มีผลกับInterfaceไหนบ่าง หรือจะเลือกให้matchกับRuleเดิมที่มีอยู่ใน Interface นั้นๆก็ได้...

การใช้ประโยชน์ จากแท็บ Floating อีกอย่างนึง คือ เมื่อเราต้องการจะทดลองกำหนดRuleใหม่(อยากตั้งกฎทดลองผลดูก่อน) กรณีแบบนี้เราก็สามารถมาสร้างชั่วคราวใน Floating ได้ครับ... แล้วถ้าทดลองRuleจนได้ผลน่าพอใจแล้ว เราจะไปสร้างใหม่ในInterfaceนั้นๆ..ก็ว่าไป...

อย่าเข้าใจผิดว่า Rule ทำงานแบบมีเงื่อนไข นะครับ...
ในการกำหนด Rule นั้น จะเกิดเป็นRuleในแต่ละบันทัด เราอย่าเข้าใจผิดว่า Rule มันทำงานที่ล่ะตัวนะครับ ซึ่งจริงๆแล้วRuleทุกตัวที่เรากำหนด พวกมันทำงานด้วยกันทุกตัวครับ เพียงแต่Ruleตัวไหนเกิดผลมากน้อยแต่ต่างกันไป อย่างเช่น Rule ที่เราทำ Multiwan 2สาย ที่มี 3ตัว Loadbalance 1อัน กับ Failoverอีก2อัน เราอาจคิดว่าพวกมันทำงานทีล่ะตัว แต่จริงๆแล้วมันทำงานทุกตัวครับ เพียงแต่เกิดผลที่Ruleตัวไหนเท่านั้น โดยมีหลักอยู่ว่า Ruleที่อยู่ตำแหน่งด้านบน..จะทำก่อน/เกิดผลก่อน/มีความสำคัญสูงกว่า..Ruleตัวที่อยู่ด้านล่าง ฉะนั้นในการสร้างRuleใหม่ เราต้องคำนึงเรื่องลำดับงานก่อนหลังให้ดีๆด้วยนะครับ ไม่เช่นนั้นอาจไม่เกิดผลอันใดเลย...

ส่วนเรื่องการสลับตำแหน่งRuleนั้น เราสามารถสลับตำแหน่ง(เลื่อนขึ้น/เลื่อนลง)ได้ครับ
โดยให่เรา "ติ๊กถูก" ที่ด้านหน้า Rule ตัวที่เราต้องการจะเลื่อน... แล้วไปกดที่ไอคอนรูปลูกศร ตรงบันทัดที่ต้องการเอาไปแทรก

ในรูปนี้แสดงวิธีการสลับต่ำแหน่งRule โดยผมจะยกRuleอันบันทัดล่างสุดขึ้นไปแทรกด้านบน (เมื่อเราเอาเมาท์ไปวางบน"ไอคอนลูกศร"จะปรากฎเส้นสีแดงแว๊บขึ้น...แสดงตำแหน่งที่เราจะเอาไปแทรก ถ้าถูกต้องแล้วก็ให้กดปุ่มไอคอนลูกศรตรงนั้นครับ)

Schedules (ตั้งเวลาให้กฎ)
(ไพบูลย์ ดอกไม้ - 15/12/2554)

สำรองบทความไว้ที่ (ดูรูปขนาดใหญ่) http://forum.internetsup.com/index.php/topic,62.0.html


Schedules เป็นหน้าสำหรับสร้างขอบเขตเวลา โดยสิ่งที่อยู่ในหน้านี้มันไม่ไช่"กฎ"นะครับ แต่เป็นสร้าง"ตัวกำกับขอบเขตเวลา"เฉยๆ โดยมันจะถูกใช้ร่วมกับRuleตัวต่างๆ(ที่อยู่ในหน้า Rule)เพื่อกำหนดให้Ruleตัวนั้น ทำงาน(Active)เฉพาะในช่วงเวลานี้-ถึงนี้...


เข้าหน้า Schedules โดยเมนู Firewall-->Schedules


หน้า Schedules... ซึ่งก็ดูไม่ต่างจากหน้าอื่นๆของ pfSense 2.0 (เป็นตารางเรียบๆ ที่บางคนบอกว่าน่ากลัว >_<")




ผมจะสอนให้คุณสร้าง Time Schedules ขึ้นเอาไว้ใช้ 1 ตัวนะครับ (คุณต้องทำตามให้ได้นะครับ เพราะจะได้ใช้เยอะเลย ในบทความต่อๆไป ที่เกียวกับการบล็อกต่างๆ)

สมมุติว่า ผมจะสร้าง Time Schedules ที่เป็นช่วงของเวลาที่มีผู้ใช้งานหนาแน่น
- ผมจะให้ชื่อว่า "PrimeTime"
- มีช่วงเวลาตั้งแต่ 5โมงเย็น-ถึง-ตี2 หรือในที่นี้คือ 17:00น-1:59น นั้นเอง
- ให้มีผลกับทุกวัน จันทร์-อาทิตย์ (Mon-Sun)
เอาล่ะไปสร้างกันเลย

กดปุ่ม "+" ที่ท้ายตารางครับ



เมื่อเข้าสู่หน้าสร้าง Schedules... ขั้นตอนอาจดูยุ่งเหยิงสักนิดนะครับ

ไปที่ละขั้นนะครับ
- Schedule Name = ให้กรอกชื่อของรายการนี้ ในที่นี้คือ "PrimeTime"

- Description = คำอธิบาย ก็กรอกสักหน่อยกันลืม (ผมก็กรอกว่า มีผู้ใช้เยอะในชัวโมงนี้ แต่ต้องเป็นภาษาอังกฤษนะ)

- Month = ตรงนี้จะยุ่งเหยิงหน่อยครับ เพราะ pfSense 2.0 เราสามารถกำหนดเลือกเจาะจงวันล่วงหน้าเป็นวันๆข้ามเดือนไหนก็ได้(ในอนาคต1ปี)... แต่ในที่นี้เราต้องการเลือกว่า ทุกวัน จันทร์-อาทิตย์... ให้คุณกดที่ชื่อวันบนหัวตารางครับ(กดทุกวันนะ)

- Time = ให้เราเลือกช่วงเวลา แล้วกด Add Time ครับ... แต่ในที่นี้ 17.00ถึง1.59นั้น มันเป็นช่วงเวลาที่ข้ามวันพอดี ฉะนั้นเราต้องแบ่งกำหนดเป็น2ช่วงครับ คือ 17.00-23.59 และ 0.00-1.59 ครับ... โดยครั้งแรกให้เราเลือก 17.00-23.59 แล้วกด Add Time ครั้งที่หนึง (อย่าเพิ่งกดSaveนะ)


จากนั้นให้ทำเหมือนเดิม(กดแก้ค่าที่ช่อง Time ต่อไปเลย) คราวนี้เลือกช่วงเวลาเป็น 0.00-1.59 แล้วกดปุ่ม Add Time อีกครั้ง


เมื่อเลือกช่วงเวลาครบแล้ว

คราวนี้ให้กดปุ่ม Save ครับ


เมื่อกลับสูงหน้า Schedules คุณจะเห็นรายการช่วงเวลาใหม่ที่คุณได้สร้างขึ้น

ให้คุณตรวจเช็ตในกรอบตางรางสีแดง(ในรูป)นะครับ ว่าช่วงเวลาถูกต้องแล้ว... หากผิดพลาด ให้กดปุ่ม "e" edit ที่ท้ายตารางเพื่อแก้ไขค่าใหม่ครับ


จำไว้ว่า การตั้งค่า Time Schedules ในหน้านี้จะยังไม่มีผลอะไรเกิดขึ้นนะครับ โดยมันจะทำงานเมื่อนำไปกำหนดในออฟชันSchedulesของRuleครับ (ถ้าพูดเล่นๆ มันก็คือ AliasesในแบบของTimeนั้นเอง)

ฮ่าาาาาาาาาาาาาาาา... คืนนี้พอแค่นี้ก่อนะครับ
เดีญวพรุ้งนี้จะพาไปดูวิธร บล็อกแบบต่างกัน

2.3. แยกสายเน็ต, แยกสายเกม Rule - MiniTutorial
2.3.1. Block ICMP (บล็อก Ping)
2.3.2. ปิดPortให้หมด แล้วเปิดเฉพาะ Port ที่จำเป็น (บล็อกบิต ขั้นต้น)
2.3.3. สร้าง Aliases จัด Port เป็นหมวดหมู่
2.3.4. Block Port Number (บล็อกเน็ต ให้ดูเว็บได้เท่านั้น)
2.3.5. Block IM (บล็อก MSN/Live/Yahoo/AOL/ICQ/IRC/Camfrog/ฯลฯ)
2.3.6. Block Game Online
2.3.7. แยกสายเน็ต-แยกสายเกม
2.3.8. แยกสายผู้ใช้ (แยกสายโดย IP ผู้ใช้)
2.3.9. ตั้งเวลา ห้ามเล่นเว็บ(Schedules)
2.3.10. ตั้งเวลา ห้ามเล่น IM/Messenger
2.3.11. ตั้งเวลา ห้ามเล่นเน็ตทั้งหมด แต่ยกเว้น Email (SMTP/POP3/IMAP)
2.3.12. สร้างผู้ใช้พิเศษ ที่ไม่โดนบล็อก/ใช้งานได้ตลอด

ซึ่งทั้งหมดนี้เป็นการบล็อกด้วย Port Number ซึ่งอาจดูไม่วิเศษวิโสอะไร แต่ pfSense 2.0 บอกว่าได้มรรคผล..

=================

ต่อไปก็ฟังเพลงกันนะ...

เนื่องจากผมโฟสแต่ MV เพลงเรียบร้อยๆ มาหลายวัน วันนี้ขอโฟสแบบจ๊ากๆมั่ง

แฟนๆPlayboy(เช็คอายุกันหน่อยนะ)ลืมๆเธอคนนี้ไปหรือยัง..!? เธอไม่ Pamela Anderson หรอกนะครับ
แต่หากคุณว่า Pamela Anderson ใหญ๋!!แล้ว... แต่เธอคนนี้ใหญ่!!!กว่าอีก ใหญ่กว่าขนาดไหนนั้นหรอ?
แบบว่าให้คุณนึกภาพว่า เอารถ Nissan March ไปจอดเทียบ Airbus A380 กันเลย

เธอคือ Sabrina Sabrok

ซึ่งผมติดตามผลงานเธอทั้ง เพลง และ ebook(อิๆ..)

เอาน่า..ผมไม่หา MV ลามกมาให้คุณดูหรอกครับ ผมยังให้คุณฟังเพลงครับ(แต่ถ้าคุณคิดไปเองก็อีกเรื่องนึงนะ)

เพลงนี้แปลกหูหน่อย เพราะเป็น เพลงพั๊ง อาเจนติน่า ร้องด้วยภาษาสเปน..(งง กันล่ะซิ)

วันนี้ล้างหูกันหน่อย ฟังเพลงว๊าก แบบผู้หญิง ฉบับภาษาสเปน กันหน่อย

Sabrina Sabrok Band เพลง Antisocial

แม่เจ้า..!!! สาวอีโมหน้าไหนที่ว่าแน่ ต้องเรียกแม่ เมื่อเจอเธอ.!!!
(แต่ดูแล้ว เธอคงไม่นับญาติกับพวกอีโมหรอกเนอะ)

หมายเหตุ.. มหัสจรรย์มาก ยัดเข้าไปได้อย่างไง... สั่งทำถุงซิลิโคนที่บริษัทไหนเนี่ย(คงไม่ไช่ถุงเบอร์มาตรฐานแน่นอน)

Rule - Mini Tutorial
(ไพบูลย์ ดอกไม้ - 16/12/2554)

สำรองบทความไว้ที่ http://forum.internetsup.com/index.php/topic,63.0.html


บทความนส่วน Rule - Mini Tutorial ค่อไปนี้ ผมเขียนขึ้นโดยมองจากภาพรวมของการใช้งาน pfSense 2.0 ทั่วไปของ หอพัก, สำนักงาน ซึ่งมักใช้ pfSense เพื่อแชร์เน็ตให้ลูกข่ายใช้งานเป็นหลัก ซึ่งเทคนิดที่ผมจะแนะนำนั้น มิได้เป็นแบบแผนมาตรฐานตายตัว(ว่าต้องทำตามนี้เท่านั้น) แต่ผมให้วิธีการเพื่อเป็นแนวทางให้ คุณผู้อ่านได้นำไปประยุกต์ให้เหมาะสมกับความต้องการของคุณเองอีกทีนะครับ

หากท่านผู้อ่นพบข้อผิดพลาด หรืออยากแนะนำให้เพิ่มเติมอย่างหนึ่งอย่างเพิ่ม โปรดกรุณาแนะนำเข้ามานะครับ(PMถึงDokmai หรือโฟสในบอร์ดหน้าปัญหา) ทางผมจะน้อมรับแล้วพิจารณาเพิ่มเติมหรือแก้ไขโดยเร็วที่สุดครับ

ไป!!... ไปบทความถัดไปเลยครับ (ผมอรัมภบทเสร็จแล้ว ^_^ อิๆ)

ปิดPortให้หมด แล้วเปิดเฉพาะ Port ที่จำเป็น
(ไพบูลย์ ดอกไม้ - 16/12/2554)

สำรองบทความไว้ที่ http://forum.internetsup.com/index.php/topic,64.0.html


ผมขอแนะนำหลักการณ์เชตอัพ Firewall ในแบบที่สามัญที่สุดและก็ได้ผลชัดเจน นั้นคือ การเปิดพอร์ท(Port Number)เฉพาะเท่าที่จำเป็น ส่วนพอร์ทอื่นที่ไม่ได้ใช่งานหรือไม่จำเป็นก็ให้ปิด(Block)ลงให้หมดครับ

ข้อดีของวิธีการนี้
- เป็นวิธีการ ที่เข้าใจง่าย หรือพูดแบบบ้านๆก็คือ เราเลือกเปิดเฉพาะประตูที่จำเป็น แล้วปิดประตูที่ไม่อยากให้ใช้งาน... Port ก็เหมือนประตูทางเข้า-ออกของเน็ตเวิร์ค โดยโปรแกรมแอพพลิเคชันต่างๆ ก็มักจะใช้งานในประจำPortเติมๆ(ตาม Port Number มาตรฐาน) ซึ่งจริงๆแล้วมีจำนวนพอร์ทที่ใช้งานแค่หยิบมือเดียวเองครับ... แต่อาจจะมีบางโปรแกรมที่ใช้Portที่นอกเหนือจากมาตรฐาน เช่น Bittorrent, P2P, เกม เป็นต้น ซึ่งเมื่อเราปิดPortส่วนใหญ่ที่ไม่จำเป็นลงซะ โปรแกรมพวกนี้ก็จะเจอทางตัน เราก็จะบล็อกโปรแกรมพวกนี้ได้นั้นเอง (ถึงอาจจะไม่100% แต่ก็ได้ผล 90-95%อัพล่ะครับ)

- เป็นการเพิ่มความปลอดภัยโดยตรง ให้กับทั้งระบบ... เพราะเมื่อมีจำนวนPortช่องทางน้อยลง การโจมตีผ่านPortก็จะลดลง เป็นอันว่าเราสามารถหลีกเลียงHackerสมัครเล่นที่ใช้โปรแกรมหรือBotพื้นๆ..ได้มากโขเชียวครับ


ข้อด้อยของวิธีการนี้
- มันไม่ไช้วิธีการที่มีประสิทธิภาพสูงสุด(ในเชิงสมถรรนะ)... เพราะวิธีการนี้ไม่มีการสมองใดๆเลย(ก็แค่ปิดหรือเปิดมันลูกเดียว) ซึ่งหากเรามีผู้ใช้ลูกข่ายหลายๆคน ซึ่งแต่ล่ะคนอาจมีความต้องการใช้โปรแกรมต่างๆกัน เช่น คนนึ่งจะใช้VoIPโทรหาแฟนที่อังกฤษ, คนนึงเล่นหุ้นต้องใช้โปรแกรมดูกระดานหุ้น, คนนึงเป็นโปรแกรมเมอร์ต้องการใช้VPN ฯลฯ... พวกเขาหล่าวนี้จะพบความไม่สะดวก แล้วต้องเดินมาบอกAdminว่า "เขาใช้งานไม่ได้..เปิดพอร์ทโน้น/พอร์ทนี้..เพิ่มได้ไหม" กรณีแบบนี้ล่ะครับ จะเป็นเรื่องจุกจิกให้คนดูแลระบบต้องมีงานช่วยเหลือผูใช้เพิ่มขึ้น

- มันไม่ไช่วิธีที่กินกำลังประมวล(CPU)ต่ำที่สุด... โดยเฉพาะกรณีหอพักนักศึกษา(พูดง่ายๆว่าเกรียงเยอะ) ผู้ใช้(เกรียงๆ)แต่ล่ะคนจะพยายามหาทางใช้โปรแกรมของตนให้ได้ บ่างก็ดันทุรังใช้(เช่น เปิดบิตค้างไว้เฉยๆ) หรือไม่งั่นก็อาจพาลยิ่งNetcutหรืออื่นๆจิปะถะ... ทำให้ตัวFirewallระบบต้องมาทำงานจุกจิกพวกนี้เกินเหตุ(ทั้งที่มันไม่ไช่เรื่องเลย) เราก็อาจจะเจออารมณ์เบื่อๆทำนองนี้ล่ะครับ

แต่โดยทั่วไปของงานหอพัก/สำนักงาน เรื่องการใช้งานอินเตอร์เน็ต เรา(เจ้าของหอ)สามารถออกเป็นนโยบายบริการได้ครับ ว่าใช้งานอะไรได้บ่าง ห้ามใช้งานอะไร แล้วถ้าทำผิดเงื่อนไขแล้วจะโดนอะไร... ซึ่งมักควบคุมคนภายในได้ไม่ยากครับ อาจมีจุกจิกในเดือนแรกนิดหน่อยครับ พอผ่านเดือนแรกไปแล้ว ทุกอย่างก็จะลงตัวเป็นธรรมชาติของมันไปเองครับ


Port Number คืออะไร.?
ขอพูดโดยสังเขปนะครับ...
ระบบ Port Number นั้นเป็นวิธีการกำหนดช่องทางให้ โปรแกรมแอพพลิเคชันต่างๆได้รับส่งข้อมูลผ่านทางพอร์ทที่มีเลขหมายประจำต่างๆ หรือในบางกรณีเลขพอร์ทก็เป็นตัวกำหนดลักษณะรูปแบบข้อมูลไปในตัว(เพราะPortนี้..จะใช้กับโปรแกรมประเภทนี้ๆ) เช่น Portเลข 80 สำหรับ HTTP, 23 สำหรับ Telnet, 20กับ21สำหรับFTP เป็นต้น...

แล้วถ้าถามว่าใครเป็นผู้ออกมากำหนดมาตรฐานเลข Port ล่ะ.. ผู้นั้นก็คือ องค์กร Internet Assigned Numbers Authority - IANA (ซึ่งเป็นเจ้าเดียวกับที่คุ่มมาตรฐานระบบเลข IPv4/v6 นั้นล่ะ) และด้วยเลขพอร์ทนั้นมีเยอะตั้งแต่เลข 0-65536 ซึ่งการใช้งานเลขPortนั้น ก็จะมีทั้งเลขPortแบบทางการ(ซึ่งเป็นจำนวนPortส่วนน้อย) และบางโปรแกรมอาจกำหนดเลขพอร์ทของตัวเองเพื่อใช้งาน(อย่างไม่เป็นทางการ)... ถ้าคุณอยากศึกษาว่าเลข Port Number มีเลขอะไรบ่าง ผมแนะนำให้ดูที่นี่ครับ http://en.wikipedia.org/wiki/Port_number


เลข Port หลักๆที่ควรรู้
เพื่อความสะดวกของผู้อ่าน ผมได้รวบรวมเลข Port ที่ควรรู้มาให้ส่วนหนึ่งครับ

พอร์ทหลักๆที่เกี่ยวกับการใช้งานอินเตอร์เน็ต (พอร์ทพวกนี้ เป็นพอร์ทหลักเลยที่เราจะพิจารณาเปิด/ปิด)
20 FTP (Data)
21 FTP (Command)
22 SSH
23 Telnet
25 SMTP
53 DNS
67 DHCP Server
68 DHCP Client
80 HTTP
115 SFTP
123 NTP
143 IMAP
194 IRC
220 IMAP(V3)
443 HTTPS
465 SMTP SSL
520 RIP
989 FTPS (Data)
990 FTPS (Command)
993 IMAPS
995 POP3S
1194 OpenVPN
1812 RADIUS-Auth
1813 RADIUS-Account
3128 Web caches
8080 Proxy


พอร์ทอื่นๆที่ควรรู้จัก(ในฐานะคนดูแลระบบ)
843 Adobe Flash
5228 Android Market (ถ้ามีคนใช้ Android)
2210 MikroTik Remote


พอร์ทที่เกียวกับ Webhosting - Control panel (คนทำเว็บอาจต้องใช้)
2082 cPanel
2083 cPanel-SSL
2095 cPanel-webmail
2096 cpanel-Webmail-SSL
2222 DirectAdmin
7777 Kloxo SSL
7778 Kloxo


พอร์ทพวกสังคมออนไลน์ (อาจไม่แน่ไม่นอน)
1863 aMSN / MSNเก่า / Windows Live IM และ .NET Messenger Service
4000 QQ
5050 Yahoo IM
5190 ICQ / AOL IM
6891-6901 Windows Live (Files & Voice)
8631 aMSN กล้อง
19294-19295 Google Talk Voice
19302 Google Talk Voice
23399 Skype ปกติ


ส่วนพอร์ทของ Bittorrent ล่ะ..หุหุหุ
โดยหลักการของมันแล้ว...
พอร์ทของมันคือ 6881-6999
แต่ด้วยโปรแกรม Bittorrent-Client ส่วนใหญ่จะใช้วิธีการ Random-Port (การกระจายPortเพื่อประสิทธิภาพของพวกมัน) ก็เลยกลายเป็น Bittorrent ไม่มีพอร์ทประจำของตัวเอง มันใช้งานได้แทบทุกพอร์ทครับ(จะมีเพียงพอร์ทเดียวที่ Bit ไม่ใช้กันคือ 80 ครับ เพราะต้องสงวนไว้ให้HTTP สำหรับให่Clientติดต่อTrackerได้)


ในบทความนี้ผมได้กล่าวเพียงส่วนย่อยมากๆของ Port Number นะครับ ซึ่งก็ครอบคลุมภาพร่วมที่เราควรรู้สำหรับงาน หอพัก/สำนักงานครับ... (หากท่านผู้อ่านสนใจเพิ่มเติม โปรดหาทางศึกษากันเองนะครับ อิๆ)

สร้าง Aliases จัด Port เป็นหมวดหมู่
(ไพบูลย์ ดอกไม้ - 16/12/2554)

สำรองบทความไว้ที่ (ดูรูปขนาดใหญ่) http://forum.internetsup.com/index.php/topic,65.0.html


เนื่องด้วย Port ที่ใช้งานหลักๆนั้นมีจำนวนหลายพอร์ท ซึ่งเราพอจะแยกเป็นประเภท ได้ เช่น พอร์ทที่ใช้ดูเว็บ, พอร์ทที่ใช้จัดการระบบ, พอร์ทที่เกี่ยวกับไฟล์และอีเมล์, พอร์ทของพวกโปรแกรมIM เป็นต้น... ฉะนั้นเพื่อความสะดวก เราสามารถใช้ Aliases มาช่วยจัดการพอร์ท แยกเป็นหมวกหมู่ได้ครับ

ตัวอย่างในบทความนี้ เราจะมาสร้าง Aliases เพื่อแยกกลุ่มหมวดหมู่ของ Port กันครับ...


พิจารณาแบ่งกลุ่ม Port
ในบทความนี้ผมแนะนำให้แยกกลุ่ม ดังนี้ครับ (ให้ดูเป็นแนวทางก่อนนะครับ)
- WebPort สำหรับ พอร์ทที่เกี่ยวกับการดูเว็บ
- RemotePort สำหรับ พอร์ทที่เกี่ยวกับจัดการระบบจากระยะไกล
- EmailFilePort สำหรับ พอร์ทที่เกี่ยวกับการรับส่าง Email และ ไฟล์
- IMPort สำหรับ พอร์ทที่เกียวกับโปรแกรมสนทนาต่างๆ
- WebmasterPort สำหรับ พอร์ทที่เกียวกับเว็บมาสเตอร์(ใช้ทำเว็บ)
- GamePort สำหรับ พอร์ทที่เกียวกับเกมออนไลน์


โดยเลขพอร์ทสำหรับแต่ล่ะกลุ่ม มีดังนี้ครับ

WebPort
มีดังนี้
53
67
68
80
123
443
3128
(8080 - กรณีที่จะอนุญาติให้ลูกข่ายใช้ Proxy ภายนอกได้... แต่โดยส่วนตัวผม ถ้าไม่มีใคร้องขอผมจะไม่อนุณาติ )


RemotePort
มีดังนี้
22
23
115


EmailFilePort
มีดังนี้
20
21
25
143
220
465
989
990
993
995


IMPort
มีดังนี้
1863
4000
5050
5190
6005
6891-6901
8631
19294
19295
19302
23399


WebmasterPort
มีดังนี้ (ก็เรามีลูกข่ายเป็นเว็บมาสเตอร์นะ ถ้าไม่มีก็ไม่ต้องสร้าง)
2082
2083
2095
2096
2222
7777
7778


GamePort
อันนี้ผมยังไม่ได้รวบรวมไว้ครับ เพราะมันเยอะเหลือเกิน แต่ขอยกตัวอย่าง เช่น
Ragnarok : 6900
Pangya : 10104
YULGANG : 16100
เกมอื่นๆหากันเองนะ หุหุหุ


เรื่องน่ารู้... จุดประสงค์ในการแบ่งแยก Portเกม เอาไว้นั้น ไม่ไช่เพื่อไว้บล็อกคนเล่นเกมอย่างเดียวนะครับ ซึ่งจริงๆแล้ว เกมออนไลน์บ้านเรา ทำแค่บล็อกหน้าเว็บเกม(ให้กดปุ่มเริ่มเกมไม่ได้)ก็จบแล้ว แต่เราทำเอาเพื่อใช้ในกรณีทำ "แยกสายเน็ต-แยกสายเกม" ด้วยครับ อันนี้คงเป็นเรื่องสำหรับร้านเกมครับ (ซึ่งร้านคุณมีเกมอะไรบ่าง คุณก็หาGoogleกันเองนะครับ)


มาสร้าง Aliases กันครับ...

เข้าเมนู Firewall --> Aliases



เมื่อเข้าสู่หน้า Aliases

ให้กดปุ่ม "+" ที่ท้ายตารางเพื่อสร้าง Aliases ตัวใหม่


เราสร้าง Aliases ของ WebPort กันครับ

ขั้นตอนเหมือนใน"บทความหัวข้อ Aliase"ที่ผ่านมาครับ
- กรอกชื่อว่า WebPort
- เลือก Type เป็น Ports แล้วกรอกเลข Port ลงไปครับ (กดปุ่ม "+" เพื่อเพิ่มตาราง)
เมื่อกรอกครบแล้ว ให้ปุ่ม Save ครับ


เมื่อกลับมาที่ Aliases จะเห็นราการใหม่ที่เราสร้างขึ้นครับ


ต่อไปก็ให้สร้าง Aliases ตัวที่เหลือให้ครบครับ

สร้าง Aliases RemotePort



สร้าง Aliases EmailFilePort



สร้าง Aliases IMPort



สร้าง Aliases WebmasterPort



สร้าง Aliases GamePort



เมื่อสร้างครบแล้ว... กลับมาที่หน้า Aliases จะแสดงรายการ Aliases ทั้งหมดที่เราสร้างครับ



จากตัวอย่างข้างบน ผมแสดงเป็นแนวทางนะครับ คุณอาจประยุกต์ เพิ่มเติมอะไรก็ว่าไป ให้เหมาะสมกับงานของคุณครับ...

บทความตอนต่อไป เราจะเริ่มทดลองสร้าง Rule ที่บล็อกโน้น-บล็อกนี่ต่อไปครับ...

Block ICMP (บล็อก Ping)
(ไพบูลย์ ดอกไม้ - 16/12/2554)

สำรองบทความไว้ที่ (ดูรูปขนาดใหญ่) http://forum.internetsup.com/index.php/topic,66.0.html


ก่อนที่เราจะเริ่มไปบล็อกอย่างอื่น... ผมของเสนอการบล็อกเพื่อปราม Netcut ครับ นั้นคือการ บล็อก Ping นั้นเอง (จะทำให้โปรแกรม Netcut หรือ โปรแกรม ScanNetwork ส่วนใหญ่ทำการScanเน็ตเวิร์คไม่ได้)... จริงๆแล้วการบล็อก ICMP ไม่ไช่การป้องกัน Netcut นะครับ (แต่เพราะเมื่อScanNetworkไม่ได้ ก็เลยไม่รู้จะไปยิงNetcutใส่ใครเขา) แต่เป็นการขัดขวางไม่ให้ใช้NetCutได้โดยสะดวก ซึ่งจะสามารถปรามผู้ใช้ระดับทั่วไป ไม่ให้ยิงNetcutกันได้(ง่ายๆ)ครับ และถือว่าเป็นการป้องกันการ ScanNetwork เราเพื่อความปลอดภัยของลูกข่ายทั้มหมด ได้ในขั้นต้นครับ


ให้เข้าที่เมนู Firewall -> Rules



แล้วให้กดที่ แท็บFloating ครับ

ที่เรามาสร้าง Rule ในหน้าแท็บ Floating ก็เพื่อความสะดวกในการดูแลกฎครับ จะได้ไม่ไปปนเปกับ Rule ของ Interface LAN ครับ


จากนั้นให้กดปุ่ม "+" ที่ท้ายตารางเพื่อสร้าง Rule ตัวใหม่ครับ



ที่หน้าสร้าง Rule ให้กรอกข้อมูลตามรูปภาพครับ

- Action = ให้เลือก Block ครับ (เพราะเราต้องสร้าง Rule มาเพื่อบล็อก)
- ติ๊กถูกที่ Apply the action immediately on match
- Interface = เลือก LAN ครับ (เพราะเราต้องการบล็อกลูกข่าย)
- Protocol = ให้เลือก ICMP ครับ (เพราะเป็นโปโตคอลของ Ping)
แล้วให้กดปุ่ม Save ครับ


เมื่อกลับมาที่หน้า Rule ก็จะเห็นรายการที่เราสร้างขึ้นครับ



คราวนี้ทดลอง Ping ดูซิ

สำเร็จแล้วครับ Ping ไม่ได้เลยทั้งข้างใน-ข้างนอก


ให้จำไว้ว่า นี่ไม่ไช่วิธีป้องกัน Netcut นะครับ แต่เป็นการทำให้ Scan Netwotk ผ่านทางโปรโตคอล ICMP ไม่ได้... ซึ่งเหล้าบรรดา"เกรียง"ธรรมดาๆก็จะยิง Netcut ไม่ได้ง่ายๆนั้นเอง


หมายเหตุ..
แต่ถ้าท่านผู่อ่านลองแล้ว อาจจะได้ผลหรือไม่ได้ผลอย่างไร ก็ PM มาเล่าสู่กันฟังกับผมด้วยนะครับ

Block Port Number (บล็อกเน็ต บล็อกบิท ให้ดูเว็บได้เท่านั้น)
(ไพบูลย์ ดอกไม้ - 16/12/2554)

สำรองบทความไว้ที่ (ดูรูปขนาดใหญ่) http://forum.internetsup.com/index.php/topic,68.0.html

* สำหรับท่านที่เพิ่งเข้ามาอ่านบทความ Tutorial ชุดนี้เป็นครั้งแรก... โปรดคลิกที่นี่..เพื่อไปเริ่มต้นอ่านบทความตั้งแต่ หัวข้อ 2.3. Rule - MiniTutorial เสียก่อนครับ ... ไม่งั่นท่านจะไม่เข้าใจครับ



สำหรับบทความนี้ จะเป็นประโยชน์สำหรับท่านที่ทำ ธุระกิจหอพัก หรือ สำนักงาน ที่ประสบปัญหาผู้ใช้ โหลดบิท หรือ เล่นCanforg กันกระจาย... จนอินเตอร์เน็ตแทบล้ม(ใช้ทำงานทำการไม่ได้)... เราจะมาจัดการกับปัญหานี้กันครับ

โดยเราจะใช้การตั้งกฎ Rule เพื่อปิดพอร์ทอื่นๆที่ไม่ได้ใช้งานครับ (เท่ากับว่าเป็นการปิดประตูของ Bit กับ Camfrog ไม่ให้ติดต่อกับโลกภายนอกได้)

ซึ่งแนวทางการสร้าง Rule มีดังนี้ครับ
- สร้างกฎที่อนุญาติให้ พอร์ท ที่เกี่ยวกับการดูเว็บผ่านได้
- สร้างกฎที่อนุญาติให้ พอร์ท ที่เกี่ยวกับการรับส่งEmailและFTPผ่านได้
- สร้างกฎที่บล็อกปิด พอร์ท เลขอื่นๆที่ไม่ได้ใช้งาน...
- โดยเราจะสร้างกฎเหล่านี้ใน แท็บ Rule:Floating

ลุยกันเลย...

เข้าเมนู Firewall --> Rules ครับ



แล้วให้กดที่แท็บ Floating ครับ



เมื่อเข้าสูงแท็บ Floating แล้ว... ให้กดที่ปุ่ม "+" ที่ท้ายตารางเพื่อสร้างRuleข้อใหม่ครับ



Ruleข้อแรกที่เราจะสร้างคือ "อนุญาติให้ พอร์ท ที่เกี่ยวกับการดูเว็บผ่านได้"

กรอกตามรูปเลยครับ... (วิธีการคล้ายๆกับบทความหัวข้อ "Block ICMP" ที่ผ่านมาครับ)
โดยตรงที่เลข Port ให้เราพิมพ์ซื่อ Aliases ที่เราได้สร้างไว้แล้วครับ ในที่นี้คือ WebPort นั้งเอง
เสร็จแล้วกด Save


เมื่อกลับมาที่หน้า Floating... ให้กดปุ่ม "+" เพื่อสร้างRuleข้อต่อไปครับ



Ruleต่อไปที่เราจะสร้างคือ "อนุญาติให้ พอร์ท ที่เกี่ยวกับการรับส่งEmailและFTPผ่านได้"
กรอกตามภาพเลยครับ

แต่คราวนี้ตรงเลข Port ให้เรากรอกชื่อ Aliases ซื่อ EmailFilePort ลงไป
จากนั้นกด Save


เมื่อกลับมาที่หน้า Floating... ให้กดปุ่ม "+" เพื่อสร้างRuleข้อสุดท้ายครับ



Ruleสุดท้ายที่เราจะสร้างคือ "บล็อก ปิดพอร์ท เลขอื่นๆที่ไม่ได้ใช้งาน"

กฎข้อนี้จะแตกต่างจากข้อก่อนหน้าครับ เพราะเป็นการ Block..
- Action ให้เลือก Block ครับ
- ตรงช่องกรอกเลขพอร์ท ให้เราคลิกเลือก Any ครับ (หมายถึง ทุกพอร์ท)
เสร็จแล้วกด Save ครับ


เมือกลับมาที่หน้าแท็บ Floating... จะแสดงรายการ Rule ที่เราสร้างขึ้นครับ

ให้จำไว้ว่า Rule ทุกข้อนั้น มันทำงานด้วยกันหมดนะครับ(ไม่ได้ทำทีล่ะข้อ) ฉะนั้นลำดับก่อนกลัง(บน-ล่าง)ของRuleจึงมีความสำคัญนะครับ ถ้าลำดับไม่ถูกต้อง ผลลัพธ์ อาจผิดพลาดครับ


เอาล่ะ...ลองเทสกันดูหน่อยซิ

สำเร็จครับ...
- ดูเว็บได้
- ใช้ FTP ได้
- Ping ไม่ได้
- และ Bittorrent เน่า... (ไชโย..เสร็จตรูแล้ว)
(*ในการบล็อกแบบนี้ มีผลกับ Canfrog ด้วยเช่นกันครับ เพราะCamfrog ก็ใช้การสุ่มPortคล้ายๆกับBittorrentเช่นกันครับ)



สำหรับเรื่องการบล็อก Bit นั้น วิธีการนี้ ไม่ได้ผล 100% นะครับ... แต่ก็เกิน 95-98% ครับ (ที่แน่ๆคนเล่นบิตจะเกิดอารมณ์เซ็งแน่นอน) นอกจากนี้เรายังสามารถใช้ SquidGuard บล็อก URI ของ passkey ได้ด้วยอีกแรงนึง... (แต่การบล็อกPortนั้น เราใช้งานได้โดยไม่ต้องลงSquidครับ)

เอาล่ะครับ ลองเอาไปเทสกันดูนะครับ ได้ผลหรือไม่ได้ผลอย่างไร ก็มาเล่าสู่กันฟังนะครับ