ดูสถานะ Gateway
(ไพบูลย์ ดอกไม้ - 6/12/2554)

สำรองบทความไว้ที่ (ดูรูปขนาดใหญ่) http://forum.internetsup.com/index.php/topic,37.0.html


นอกจากที่หน้า DashBoard แล้ว เราสามารถดู สถานะของ Gateway (ว่าต่อเน็ตติดไหม) ที่เมนู Status ได้ครับ

เลือกเมนู Status -> Gateways



ที่แท็บ Gateways จะแสดงสถานะของ Gateway

ในรูปนี้(ที่เครื่องpfSenseของผม) มีสองGatewayเพราะทำMult-WAN... เราจะเป็นว่ามีGatewayของOPT(WAN/เน็ตสาย2)offlineอยู่(เน็ตล่ม)


ที่แท็บ Gateway Groups

จะแสดงสถานะของ Gateway ในแต่ล่ะกรุ๊ปว่าเป็นอย่างไร ในกรณีมีเน็ตแค่สองสายคงไม่รู้สึกสำคัญอะไรนัก... แต่จะมีประโยชน์มาก สำหรับกรณีที่มีเน็ตหลายๆสาย 4สาย-6สาย เพราะจะต้องมีการตั้งกรุ๊ปหลายกรุ๊ป เพื่อใช้ในกรณี failover หลายๆกรณี... เราก็จะสามารถเช็คสถานะจากหน้านี้ได้สะดวก ดูว่าเมื่อเน็ตล่ม แล้วยังมีกรุ๊ปไหนพร้อมทำงานอยู่

ดูสถานะ Interface
(ไพบูลย์ ดอกไม้ - 6/12/2554)

สำรองบทความไว้ที่ (ดูรูปขนาดใหญ่) http://forum.internetsup.com/index.php/topic,38.0.html


เราสามารถเช็คสถานะและดูข้อมูลของแต่ล่ะ Interfaces ได้เช่นกันครับ

เข้าเมนู Status --> Interfaces



ที่หน้านี้จะโชว์ค่าทุกอย่างของแต่ล่ะอินเตอร์เฟส (ดูเลขIPต่างๆ เลขMACของอินเตอร์เฟสนั้น ได้หมดเลย)

ในภาพนี้ ที่ Interface WAN ผมได้ตั้งค่าให้เป็น Static-IP...
ส่วนใน Interfaces OPT(ซึ่งเป็นWANเน็ตสาย2) ผมตั้งค่าให้เป็น DHCP คุณจะเห็นว่ามีปุ่ม "Release" ปรากฎอยู่ (หากต้องการร้องขอเลขIPใหม่ จากWANข้างนอก ก็ให้กดปุ่มนี้ครับ)

ตามธรรมเนียมของผม อัพเสร็จชุดนึง ผมก็จะหาเพลงมาให้ฟังกัน

เมื่อวานนี้ ผมได้ไปจุดเทียนถวายพระพรในหลวงที่สนามหลวงมาครับ ได้มีโอกาสครั้งแรงในชีวิตสองอย่าง
อย่างแรก.. เป็นครั้แรกที่ได้เข้าวัดพระแก้ว
อย่างที่สองคือ.. เป็นครั้งแรกที่ได้เข้าวัดพระแก้วตอนกลางคืน
ถือว่าเป็นโอกาสของวันนึงในชีวิตที่ดีที่สุดของผมวันนึง

พอกลับบ้านนอนหลับ1คืนผ่านมา ก็ทำให้นึกถึงเรื่องเมื่อคืนที่ผ่านมา ผมเห็นเห็นฝรั่งให้ความสนใจในวัดพระแก้ว... นั้นหมายถึงด้านดี ด้านสวยงาม ด้านสะอาดของกรุงเทพ ที่ฝรั่งเห็น... แล้วด้านไม่ดี ด้านสกปกของกรุงเทพล่ะ ฝรั่งพวกนี้เมื่อเดินออกจากประตูวัดพระแก้วแล้ว เข้าจะไปเห็นอะไรบ่างหนอ..

ก็เลยทำให้นึกถึงเพลงเก่าที่ถูกแบนในยุค 80-90 โน้นเลย "One night in bangkok" ในยุคนั้นเปิดออกอากาศทางวิทยุ/TV/โรงภาพยนต์ไม่ได้นะครับ... แต่เพิ่งผ่านมาไม่นานผมได้ยินเพลงนี้ใน หนังHangover IIนะ(กองเซ็นเซอร์เราหัวสมัยใหม่ขึ้น หรือว่าเขาเลิกแบนหว่า)


ผมเลือกคลิบนี้เพราะ เกี่ยวกับระคร Chess และมีวง Abba มาประสานเสียงด้วย (ฉะนั้นเพลงนี้ดังมากของฝรั่งเลย..ในอดีต)

สำเหตุที่ต้องแบนเพลงนี้ เพราะมีเนื้อหากล้าวถึงกรุงเทพ กึ่งอุบมากึ่งตรงๆ ว่าเป็นแหล่ง"โสมม"(ที่สุดของโลก เลยก็ไม่ปาน) "ถ้าเมิงคิดว่าแน่ เมิงมาอยู่กรุงเทพสักคืนนึงซิ..แล้วเมิงจรู้..จุดจุดจุด"
แต่นั้นมันเป็นเรื่องในยุคสงครามเวียดนามนะครับ ยุคนั้นฝรั่งเมกายังแยกไม่ออกเลยว่าไทยกับเวียดนามเป็นก้อนอยู่ตรงไหนของลูกโลก (ถ้าดูMVเพลงนี้เก่าๆ จะเห็นคนเวียดนามเฉยเลย)..

โอเซ มุมนึงคือฝรั่งโง่ครับ โง่ที่รวมก้อนเอเชียตะวันออกเฉียงใต้เป็นก้อนBangkokก้อนเดียวกัน เลยมองว่าถ้าเลวร้ายสุดก็Bangkokนี่ล่ะ ถ้าเลวร้ายกว่านี้อีกก็เอธิโอเปีย-ยูกานด้าโน้นเลย... นึกแล้วเราก็ขำนะ จะซีเรียสดีหรือไม่ซีเรียสดีหว่า ทั้งๆที่ฝรั่งในยุคโน้นก็แค่พูดเฉยๆไม่ได้ซีเรียสอะไร (แล้วเพลงนี่ล่ะที่ทำให้ฝรั่งอยากมาเทียวไทย)

จริงๆเพลง "One night in bangkok" เป็นตอนๆนึงใน ระครเพลงเรื่อง Chess เรื่องของนักหมากรุกเมกากับรัชเชีย ที่มาแข่งกันที่กรุงเทพ ทำนองว่าเป็นบทสนทนาในใจ ระหว่างที่แข่งขันกันอยู่(ถ้าผมเข้าใจไม่ผิดนะ)... เวทีหมากรุก หาได้สู้โลกความเป็นจริงได้เลย "เมิงไม่เชื่อ..ก็เที่ยวกรุงเทพสักคืนซิ"... เพลงนี้มีกล่าวมาถึงโรงแรมโอเลียเต็นบ้านเราด้วยนะครับ (เรื่องของนักเขียนคนนึง ที่แทบจะมาตายด้วยโรคมาลาเลียที่โรงแรมโอเลียเต็น จนสุดท้ายชื่อของเขากลายมาเป็นชื่อห้องๆนึงของโรงแรมโอเลียเต็น)

เป็นดร้ามาน่าสนใจนะครับ ใครที่ชอบเรื่องเชิงสังคม เพื่อสะท้อนดูยุคสมัย... ผมมาดร้าม่า "One night in bangkok" น่าสนใจมากนะครับ
เราก็อย่าลืม อย่าหลงว่าบ้านเมืองเราวิไล จนฝรั่งชื่นชมเลยครับ ยังมีอีกหลายมุมที่เราไม่มองตัวเอง แล้วปล่อยเลยตามเลย(จนฝรั่งรู้ดีกว่าเรา)อีกเยอะ

การทำ Port Forwarding
(ไพบูลย์ ดอกไม้ - 7/12/2554)

สำรองบทความไว้ที่(ดูรูปขนาดใหญ่) http://forum.internetsup.com/index.php/topic,40.0.html


Port Forwarding คืออะไร
ถ้าพูดแบบตรงตัวง่ายๆ ก็คือการนำส่งข้อมูลตามหมายเลขPort เข้าสู่เครื่องลูกข่ายที่ต้องการ... ทั้งนี้เพราะเครื่องลูกข่ายในวงแลนของเรานั้น ต่อเชื่อมสู่โลกอินเตอร์ผ่านทางWAN(สายเน็ต)ที่มีเลข IP ตัวเดียวกัน... ฉะนั้นถ้าเรามองกลับเข้ามาจากอินเตอร์เน็ต เราก็จะเห็นลูกข่ายของpfSenseทุกเครื่องมีIPเลขเดียวกันหมด(คือเลขIPของWAN)... ดังนั้นหากต้องการจะส่งข้อมูลที่เจาะจงเป้าหมายสู่เครื่องลูกข่ายนั้นๆ ก็ต้องใช้หมายเลขPortเป็นตัวช่วยนั้นเอง ตัวอย่างโปรแกรมที่เราพูดถึง Port Forward บ่อยที่สุดเลย ก็คือ Bittorrent Client ครับ


ในตัวอย่างต่อไปนี้ ผมจะสมมุติว่า
ผมใช้โปรแกรม Bittorrent แล้วต้องการ Forward Port หมายเลข 9900
ให้ส่งไปที่ลูกข่ายที่มีเลข IP 192.168.100.101 และรับเข้าPort 9900 เหมือนกัน


เข้าเมนู Firewall --> NAT



ที่แท็บ Port Forward ให้กดปุ่ม "+" ที่ท้ายตาราง... เพื่อเพิ่มรายการ Forward ใหม่



จากนั้นให้กรอกตามรูปครับ

แล้วกด Save ครับ


อธิบายรูปข้างบน
- Disabled = ติ๊กถูก เพื่อระงับการใช้งาน Forward Port รายการนี้ (ระงับไม่ใช้เฉยๆ โดยที่ยังไม่ลบออกไป)

- Interface = ให้เลื่อกอินเตอร์เฟสที่เป้นประตูนอกสุด ที่จะต้องรับการเข้ามาของ Port (ในที่นี้คือ WAN)

- Protocol = เลือกโปรโตคอลของข้อมูลครับ (ในที่นี้คือกรณี bittorrent ให้เลือก TCP/UPD ครับ)

- Source = แหลงที่มา ไม่ต้องทำอะไรครับ เพราะเรารับจากนอก WAN ทั้งหมด (ไม่ได้ต้องการเจาะจงที่มา)

- Destination = ปลายทาง ที่ข้อมูลจะวิ่งเข้ามา (ในกรณีนี้ให้เลือก WAN ครับ)

- Destination port range = ช่วงหมายเลขPortที่ต้องรับ (ในกรณีนี้ให้กรอก 9900 ทั้งสองช่องครับ)

- Redirect target IP = เลช IP ของเครื่องลูกข่ายที่จะ Forward ไปถึง

- Redirect target port = เลช Port ที่ส่งไปให้ลูกข่ายรับ (หมายถึงที่ลูกข่าย กำลังรอรับเลขPortนี้อยู่)



สำหรับ pfSense แล้ว การทำ Port Forward ก็ถือว่าเป็นกฎข้อหนึ่งของ Firewall ครับ... ซึ่งเมื่อเราสร้าง Forward จากในNATเสร็จ... pfSense 2.0 จะสร้าง Rule ใหม่ขึ้นมารองรับ NAT Forward ตัวนั้น โดยอัตโนมัติ

รูปหน้า Rule แสดงให้เห็น กฎข้อใหม่ที่ถูกสร้างในอินเตอร์เฟส WAN (มันสร้างของมันเองอัตโนมัตินะครับ... ผมแค่capรูปมาให้ดูเฉยๆ ซึ่งเราไม่ต้องทำอะไรที่หน้า Rule เพื่มเคิมครับ)

เพียงเท่านี้ก็เสร็จสิ้นแล้วครับ Bittorrent Client ในกรณีตัวอย่างลองผม ก็สามารถติดต่อภายนอกผ่าน Port 9900 ได้แล้ว...

ขอบคุณครับบบ เป็นกำลังใจให้เช่นเคยครับ

ขอบคุณมากๆๆๆๆๆๆครับ

ขอบคุณพี่ดอกไม้มากครับ

ปรับแต่งหน้า Dashboard
(ไพบูลย์ ดอกไม้ - 8/12/2554)

สำรองเอกสารไว้ที่ (ดูรูปขนาดใหญ่) http://forum.internetsup.com/index.php/topic,41.0.html


ที่หน้า Dashboard นั้นเราสามารถ ปรับแต่งหน้าตา และเลือกตารางแลดงข้อมูลที่ต้องการได้ครับ เรียกได้ว่าเป็นของเล่นแก้เบื่อของคนเป็นAdmin..ได้ไม่มากก็น้อยครับ


ที่หน้า Dashboard ให้กดที่ปุ่ม "+" แล้วจะปรากฎหน้าต่าง Popup ให้เราเลือกตารางแสดงผลที่ต้องการ
(เราก็ลองกดเล่นๆดูหน้าดูตาของพวกมันกันครับ)



คุณสามารถใช้เมาท์จับลากแล้ววาง ในตำแหน่งหน้าจอที่ต้องการได้ด้วยนะ
(ต้องเปิดหน้าWeb Configurator ด้วย Firefox/Chrome/Safari นะครับ... IEทำไม่ได้)



เมื่อเลือกได้ถูกใจแล้ว ก็ให้กดปุ่ม Save ที่มุมบนซ้ายครับ



แล้วนี่ก็เป็นตัวอย่างหน้าตา Dashboard ที่ปรับแต่ง(อยาสงที่ผมชอบ อิๆ)



ถือว่านี่เป็นเรื่องสนุกเรื่องเดียว ที่ pfSense 2.0 มีให้คนเป็น Admin ครับ T_T"

การตั้งค่า pfSense - General Setup
(ไพบูลย์ ดอกไม้ - 8/12/2554)

สำรองเอกสารไว้ที่ (ดูรูปขนาดใหญ่) http://forum.internetsup.com/index.php/topic,42.0.html


หลังจากที่เราได้ทดลองเซตโน้นเซตนี่กับ pfSense 2.0 มาหลายอย่างแล้ว คราวนี้เรากลับมาตั้งค่าเบื้องต้นของระบบ pfSense กันบ่างนะครับ...


เข้าเมนู System --> General Setup



เมื่อเข้าสู่หน้า General Setup ให้เรากรอกค่าต่างๆให้ถูกต้องครับ

กรอกเสร็จ ก็อย่าลืมกดปุ่ม Save นะครับ

อธิบายรูปข้างบน
Hostname = คือชื่อประจำของเครื่องServer pfSense เครื่องนี้ (Computer Name)

Domain = ถ้าในวงเน็ตเวิร์คของเรามีการใช้งานระบบโดเมนเนม(จดโดเมนเนม) ก็ให้กรอกลงไปครับ... แต่ถ้าไม่ไช่ระบบโดเมนเนม เราจะกรอกอะไรไปก็ได้ครับ แต่ห้ามกรอก "local" เพราะอาจทำให้Serviceบางตัวสับสนได้

DNS servers = สำหรับตั้งค่า DNS เบื้องต้น ให้กับ Interface ต่างๆ

Allow DNS server list to be overridden by DHCP/PPP on WAN = ให้ pfSense ใช้ค่าเลข DNS ที่อินเตอร์เฟส WANwfh รับมาจาก DHCP/PPP แทนค่าที่เรากรอกนี้ (ร่วมทั้ง ทุกInterfaceที่ทำหน้าที่เป็นWANด้วย เช่น OPT ที่เป็น WAN)

Do not use the DNS Forwarder as a DNS server for the firewall = ไม่ให้เครื่องpfSense ทำหน้าที่ Forward หรือรับส่งต่อ DNS ให้กับลูกข่าย (เราจะใช้IPของเครื่องServer pfSense เป็นเลขDNSให้ลูกข่ายไม่ได้ นั้นเอง) ซึ่งข้อนี้ต้องระวัง เพราะเราต้องไม่ลืมตั้งค่าใน DHCP Server ให้แจกเลข DNS ที่ถูกต้อง(ใช้งานได้)ให้กับลูกข่ายของเราด้วย(ไม่งั่นลูกข่ายจะไม่รู้ DNS)

Time zone = เขตเวลาครับ (ประเทศไทย ก็ให้เราเลือก Asia/Bangkok ครับ)

NTP time server = Server บริการสำหรับเทียบเวลา เช่น ถ้าจะใช้ของไทยเรา ก็จะมี เช่น time1.nimt.or.th, time.navy.mi.th การเทียบเวลานี้สำคัญมาก lesiy[การเก็บLogครับ ไม่เช่นนั้น Log ของเราอาจบันทึกเวลาไม่ตรงกับ Log ของ ISP (ซึ่งอาจจะยุ่งยาก หากมีเรื่องดร้าม่า ให้เราต้องเปิดLogให้ตำรวจดู)

Theme = ก็คือ ธีม หรือ Skin สำหรับหน้าตา Web Configurator ของ pfSense ครับ

การตั้งค่า pfSense - Advanced
(ไพบูลย์ ดอกไม้ - 8/12/2554)

สำรองเอกสารไว้ที่ (ดูรูปขนาดใหญ่) http://forum.internetsup.com/index.php/topic,43.0.html


บทความหัวข้อนี้ อธิบายให้อ่านกันยาวเลยครับ ขอให้ทนอ่านศึกษาจดจำไว้สักหน่อยนะครับ เพราะถ้าต้องรับหน้าที่เป็น Admin จริงๆจังๆ รับรองว่าได้ใช้งานหน้า Advanced แน่นอนครับ... โดยผมจะอธิบายความหมายของตัวเลือกต่างๆนะครับ (ถ้าอันไหนผม ไม่รู้ ก็คือ ผมไม่รู้จริงๆนะครับ กำลังรอคนมาสอนผมเหมือนกัน อิๆ :-p)

* การปรับแต่งในหน้า Advanced นี้สำหรับผู้ใช้ระดับสูงนะครับ โดยทั่วไปเราแทบไม่ต้องมันปรับแต่งอะไรในหน้านี้เลย

ให้เข้าที่เมนู System --> Advanced



ที่แท็บแรก Admin Access


อธิบายแท็บ Admin Access
Protocol = ให้เลือกโปโตคอลสำหรับเปิดหน้า Web Configurator ครับ.. เลือกเอาระหว่าง HTTP กับ HTTPS(SSL นั้นเอง)

TCP port = กำหนดเลข Port สำหรับเปิดหน้า Web Configurator... ถ้าเราไม่กำหนด pfSense จะใช้ค่าเบื้อต้น คือ "80 สำหรับ HTTP" และ "443 สำหรับ HTTPS"... การกำหนดเลขPortอันนี้ มีประโยชน์หลายอย่างนะครับ ตัวอย่าง ตั้งเลขPortเป็นเลขอื่น เพื่อไม่ให้คนอื่นรู้ แล้วเข้าWeb Configuratorได้(เช่นตั้งเป็น http://192.168.100.1:28856 แบบนี้คนอื่นก็ยากที่จะรู้เลขPortสำหรับเข้าหน้าAdminครับ), หรือใช้ในกรณีที่เครื่อง Server pfSense ของเรา ได้ลงโปรแกรมเซอร์เวอร์อื่นๆลงไปด้วย เช่น ลงWebServer+ Syslog-NG ไว้ในเครื่องเดียวกันกับpfSenseแบบนี้ เราจะต้องตั้งเลขPortแยกกัน ว่าอันไหนเป็นพอร์ทHTTPสำหรับเข้าหน้าAdmin แล้วอันไหนเป็นพอร์ทHTTPสำหรับเข้าWebServer เป็นต้น... ส่วน SSL นั้นสำหรับกรณีที่เราต้องการความปลอดภัย(เช่น ป้องกันคนดักจับข้อมูลกลางอากาศ ในขณะที่Adminกำลังตั้งต่าระบบ)

WebGUI redirect = สั่งยกเลิก Rule สำหรับพาเข้าหน้า Web Comfigurator เช่น ไม่ให้เข้าหน้าWeb Comfiguratorได้จากภายนอก(เช่น รีโมตเข้ามาทางWAN)... แต่ถ้าไม่จำเป็นอย่าก็ติ๊กตัวเลือกนี้ครับ เพราะถ้าผิดพลาดเรื่องกฎขึ้นมา แล้วเราอาจเข้าหน้า Web Configurator จาก LAN ไม่ได้ไปด้วย..ล่ะซวยเลย(ต้องไปสั้ง Reset to Factory กันให้วุ่นวาย)

WebGUI Login Autocomplete = ไม่ให้เว็บเบราเซอร์จำ Username และ Password ที่หน้าล็อกอิน... ตัวเลือกนี้มีประโยชน์ โดยเฉพาะกรณีที่เราต้องล็อกอินเข้า Web Comfigurator จากเครื่องลูกข่ายเครื่องอื่นๆ(หรือแบบว่าไม่มีเครื่องAdminประจำ) โปรแกรมเว็บเบราเซอร์จะได้ไม่จดจำยูสเซอร์ล็อกอินอัตโนมัติ..นั้นเอง (ป้องกันคนอื่นสวมรอย)

WebGUI login messages = สั่งไม่ให้เก็บข้อความแจ้งการล็อกอินเข้าหน้า Web Comfigurator ใน SystemLog ครับ

Anti-lockout = (อันนี้ผมไม่รู้)

DNS Rebind Check = ป้องกันการโจมตีแบบ DNS rebinding attack (ถ้าติ๊กถูกก็จะ Disable เลิกป้องกันนั้นเอง)

Alternate Hostnames = ให้กรอก Hostnames อื่นๆสำหรับ เครื่องpfSenseเครื่องนี้... มักใช้ในกรณีใช้งาน Dynamic DNSครับ เช่นถ้าคุณทำ mypfsense.no-ip.org แบบนี้ ก็ให้เอามากรอกในช่องนี้ครับ เพื่อpfSenseจะได้เช็คHostnamesแล้วยอมรับการรีโมตเข้ามาจากอินเตอร์เน็ต

Browser HTTP_REFERER enforcement = พูดง่ายๆก็คือไม่ต้องเช็ค Hostnames นั้นเอง ใช้ในกรณีที่เราสมัคร Dynamic DNS ชีมาที่เครื่องpfSenseหลายๆอัน (ที่บางคนต้องสมัครหลายอัน ก็เพื่อความชัวร์ ว่าต้องมีDynamic DNSสักอันล่ะที่จะเข้าถึงเครื่องpfSenseของเราได้... เพราะบางครั้ง Dynamic DNS อาจล่มหรือไม่ได้อัพเดตIPล่าสุด )

Secure Shell Server = หากต้องการใช้งาน SSH (ต้องการใช้ PuTTY มาจัดการ Console ของ pfSenseนั้นเอง)

Authentication Method = สำหรับการใช้ authorized keys แทนการ Login

SSH port = เลขพอร์ทของ SSH ครับ (ค่าปกติคือ 22) แต่ถ้าเราต้องการตั้งเป็นเลขอื่น(เพื่อป้องกันคนอื่นรู้)เราก็กรอกเลขPortที่ต้องการลงไปครับ(ระวังอย่าใช้เลขที่ซ่ำกับ TCP มาตรฐานนะ เช่น 80 8080 3218 21 23 ...)

Serial Terminal = สำหรับกรณีเชื่อมต่อผ่านพอร์ท Serial

Console menu : Password protect the console menu = ตั้งให้ต้องกรอก Login ทุกครั้งเมื่อเข้าหน้า Console ... สำหรับป้องการผู้ไม่หวังดีเข้าถึงหน้าเครื่องpfSenseครับ (ให้รหัสล็อกอินเดียวกับที่เรากรอกล็อกอินเข้า Web Comfigurator ครับ)



ที่แท็บ Firewall and NAT (เวลาใช้งานจริง หน้านี้ไม่ต้องปรับแต่งอะไรครับ pfSense เดิมมาอย่างไง ก็ใช้ไปอย่างงั่นเลยครับ)

IP Do-Not-Fragment compatibility = (ผมไม่รู้)

IP Random id generation = (ผมก็ไม่รู้..อีกแล้ว)

Firewall Optimization Options = เลือกประสิทธิภาพการทำงานของ Firewall

Disable Firewall = ปิดการทำงานของ Firewall (ไม่ทำ NAT, ไม่ทำ Rule)... pfSense ก็จะกลายเป็น Router Gateway แบบWANสายเดียวธรรมดาๆ... ตัวเลือกนี้มักใช้ในกรณีเมื่อเกิดปัญหากับRule(กฎที่สร้างไว้เกิดทำงานผิดพลาด) เช่น เพื่อรักษาไม่ให้ระบบล่มทั้งหมด ก็เลย Disable Firewal แก้ขัดไปก่อน(เพื่อให้ลูกข่ายยังใช้งานเน็ตเวิร์คได้)

Disable Firewall Scrub = ไม่ต้อง Scrubbing สำหรับ Interface ที่เชื่อมต่อไป NFS หรือ PPTP(VPN)

Firewall Maximum States = จำนวน States สูงสุดของ Firewall

Firewall Maximum Table Entries = จำนวนรายการสูงสุดในตาราง Firewall

Static route filtering = ไม่ต้องทำ Rule ถ้าเป็นการสือสารภายใน Interface เดียวกัน

Disable Auto-added VPN rules = ไม่ต้องสร้าง Rule อัตโนมัติ เมื่อเราสร้างอะไรที่เกี่ยวกับ VPN

Disable reply-to = (ไม่รู้อีกเช่นเคย)

Disable NAT Reflection for port forwards = (ถ้าติ๊กถูก)ไม่ต้องทำ Port Forwards ย้อนทางกลับไป

Reflection Timeout = ตั้งเวลา ในกรณีทำ Reflection for port forwards (ถ้าหัวข้อที่แล้ว ไม่ติ๊กถูก)

Disable NAT Reflection for 1:1 NAT = (ไม่รู้..ไม่รู้บ่อยจังเลยเรา)

TFTP Proxy = ให้เลือก Interface ที่ต้องการใช้ TFTP Proxy (ถ้าไม่เลือกอินเตอร์เฟสไหนเลย ก็คือเราไม่ใช้ TFTP Proxy ครับ)


ที่แท็บ Networking (pfSense เดิมมาอย่างไง ก็ใช้ไปอย่างงั่นเลยครับ)


Allow IPv6 = ยอมให้ IPv6 ผ่านได้ ถ้าไม่ติ๊กช่องนี้ อะไรที่เป็นIPv6 จะถูกบล็อกทั้งหมด...(ถ้าไม่คิดมาก ให้ติ๊กถูกไว้ครับ)

*ข้อควรรู้ โดยพื้นฐานแล้ว pfSense 2.0 ยังไม่รองรับ IPv6 สำหรับเน็ตเวิร์คภายในนะครับ... แต่ติดต่อกับ IPv6 ภายนอกได้

IPv6 over IPv4 Tunneling = ยอมให้Package ของ IPv6 วิ่งบนทางของ IPv4 ได้

Device polling = เป็นคุณสมบัติหนึ่งครับ ให้การ์ดเน็ตเวิร์คสามารถจัดระดับความสนใจกันเองได้ แต่ต้องใช้กับการ์ดเน็ตเวิร์คที่รองรับคุณสมบัตินี้นะครับ (ปกติไม่ต้องติ๊กถูกครับ)

Hardware Checksum Offloading = เป็นคุณสมบัตินึงของการ์ดเน็ตเวิร์คเช่นกันครับ ถ้าพบว่าการ์ดเน็ตเวิร์ตของเราไม่รองรับคุณสมบัตินี้ ก็ให้Disableครับ

Hardware TCP Segmentation Offloading = (ไม่รู้...รู้นิดหน่อย แต่ไม่มากพอจะกล้าอธิบายได้)

Hardware Large Receive Offloading = (ไม่รู้...รู้นิดหน่อย แต่ไม่มากพอจะกล้าอธิบายได้)

ARP Handling = (อันนี้ ไม่รู้เลย)



ที่แท็บ Miscellaneous

หน้านี้ผมอธิบายง่ายครับ เพราะรู้อย่างเดียวคือ proxy (นอกนั้นไม่รู้เลย)
ที่ช่อง Proxy นั้น สำหรับกรณีที่ pfSense ต้องต่อ WAN ผ่าน Proxy Server ข้างนอกครับ (โดยทั่วไปเราไม่กรอกครับ)


ที่แท็บ System Tunables

หน้านี้สำหรับปรั่งแต่งค่าจิปาถะด้วยมือครับ (เราก็อย่าไปยุ่งกับมันเลย ดูแล้วเสียวๆ อันตราย.!!)


ที่แท็บ Notifications

สำหรับการตั้งค่า การแจ้งเตือนถึง Admin ครับ
- Growl เป็น Software ประเภทแจ้งเตือน เดิมทีเป็นโปรแกรมของ Mac OSX ครับ ต่อมาก็มีของวินโดว์ (ปัจจุบันก็นิยมใช้กันกับเครื่อง Mac เป็นหลัก)

- SMTP E-Mail ตั้งค่าให้ pfSense ส่ง Email มาแจ้งเตือนเราครับ (เราควรเปิด Email Address ไว้เฉพาะตู้นึงเลย สำหรับรับการแจ้งเตือน)



* เวลาต้องพิมพ์บอกว่า "ผู้ก็ไม่รู้"... ... ผมล่ะ อ๊าย อาย มากเลย >_<"
แต่นี้ล่ะครับคือขอดีของการเขียน Tutorial เพราะถ้าผมเขียนหนังสือ ผมจะพิมพ์คำว่า"ผมไม่รู้"ไม่ได้ ในการเขียนหนังสือถ้าเราไม่รู้ ก็คือให้ข้ามเนื้อหาส่วนที่เราไม่รู้ไปเลย... ซึ่งผมก็ไม่อยากให้ข้าม หรือเขียนแบบกั๊ก(ต้องอมถูมิหลอกคนอ่านไว้ว่า"ตรู่รู้นะ")... ผมคิดว่า ถ้าผมได้เขียนแบบไม่กั๊ก รู้ก็อธิบาย ถ้าไม่รู้ก็ยอมรับว่าไม่รู้..จะดีกว่าครับ เพราะอะไรที่ผมไม่รู้ ผมก็รอให้ท่านอื่นที่รู้ได้มาสอนผมครับ

ถ้าท่านใดรู้ หรือพบว่าผมเขียนผืด... ขอความกรุณาแนะนำผมด้วยนะครับ (โพสแนะนำให้หน้า Support หรือ PM ถึง Dokmai ครับ)

เฮ.!! ไชโย... เขียนบทความในส่วน เบื่องต้นเสร็จแล้ว

ต่อไปจะได้เขียนจนไปถึง Captive Portal สักที...หุหุหุ

================================


วันนี้ตามเคยครับ ต้องแถมเพลงให้ฟัง

ก็ยังอยู่ในอารมณ์เพลงที่เกี่ยวถึงเมืองไทย อีกเพลงนึงครับ... แต่เพลงนี้เกี่ยวถึงเมืองไทย เพราะถ่าย MV ในไทยครับ

เพลงนี่ใหม่สด เพิ่งอัพเมื่อ 7/12/2011 นี่เอง.. จากคลับแดนซ์ Kontor ประเทศเยอร์มัน เชียวนะ (เพลงตึ๊บๆ หลายเพลงที่คนไทยแถวทองหล่อคุ่นหู หลายเพลงก็มาจากค่ายนี้ครับ)
ชื่อเพลง Anywhere You Go
ผลงานของ Mad Mark feat. Alexander


ถ่ายสวยนะ ด้วย Canon EOS5D mkII(เห็นฝรั่งเขาเม้นต์กัน)... ดูเนียนจนคิดว่า ไช่เมืองไทย(ภูเก็ต)จริงหรือหว่านี่...


มีเรื่องเล่าให้ฟังนิดหน่อย เพราะเพลงนี้สะดุดตาผมมาก เพราะผมเป้นคนที่ชอบตาม MV ฝรั่งที่มาถ่ายในไทย เรื่องมีอยู่ว่า
- ผมคุ่ยกับฝรั่งยุโรป หลายคนที่ดู MV เพลงนี้... พวกเขาจะรู้เลยว่า นี่คือเมืองไทย

- แต่ผมผมคุยกับฝรั่งอเมกา แล้วเอาMVเพลงนี้ให้ดู... ฝรั่งเมกาไม่รู้ว่านี่คือเมืองไทย แล้วคิดกันไปว่า ต้องเป็นบาหลี่ หรือพวกเกาะแปซิฟิก ทำนองนั้นไปเลย...(โธ เมิ่ง...)

ผมว่ามันสะท่อนนะครับ ว่าฝรั่งยุโรป/รัชเชีย/สเกนดิเนเวีย เขาเหล่านี้มีภาพ"เมืองไทย"อยู่ในหัว แล้วมีอัลกอลิทึมในสมอง ที่นึกถึงเมืองไทยเป็นประเทศแรกๆของเอเชีย...
แต่ฝรั่งเมกาส่วนใหญ่..คงยังไม่มีภาพเมืองไทยอยู่ในหัว แล้วคงไม่นึกถึงเมืองไทยเป็นประเทศแรกๆในเอเชียด้วย...

คราวหน้าถ้ามีฝรั่งสองคนเดินมา คนนึงเป็นEU อีกคนนึงเป็นUSA... ผมแนะนำให้คุณเลือกทักคนที่เป็น EU ก่อนครับ 555+


ปล. ใครรู้เบอร์ หรือ BB นางเอก MV โปรด pm มาบอกผมด้วยนะ... (โดยเฉพาะคนใส่บีกินี่สเกาะอกสีฟ้า *_*)

ขอบคุณ คุณ Dokmai มากครับ สำหรับบทความนี้ มีประโยชน์มากครับ

ถ้าผมจะรบกวนถามอะไรสักนิดนะครับ

คือถ้าผมจะทำ Load Balance แต่เป็น incoming load balance

กล่าวคือ แทนที่จะต่อออกค่า Wan 2 ขาอย่างที่คุณ Dokmai ต่อออกข้างนอกตามตัวอย่าง

แต่กลับเป็น จะมี pool 1 ชุด ที่ประกอบไปด้วย ip ของ server ทั้งหมดสามชุด

และ Virtual Servers 1 ชุด ที่มี pool ตามข้างบน ต

ขณะนี้ผมมี Pool แล้ว และ ip ใน pool ของผมก็ ping เจอหมดทุกตัว แต่ปัญหาคือ ผมไม่รู้ว่าจะ map Virtual Servers อย่างไร

คือ ผมไม่สามารถเทสตัว Load Balance ตัวนี้ได้เลยครับ

ขอรบกวนด้วยนะครับ ขอบคุณมากครับ

พูดตรงๆ งง...

พอวาดรูปเป็นผังอย่างที่คุณจิตนาการให้ผมดูได้ไหม

ครับ ตามภาพครับ


Thanks: ฝากรูป

คือผมมี pool ตามภาพนะครับ

ผมจะใช้ ip ขา Wan ให้วิ่งเข้ามาแล้ว Farward ไปที่ ip 10.60.0.32 เลยน่ะครับ

ถ้าดูตาม Flow จะได้เป็นดังนี้ครับ


Thanks: ฝากรูป

^
^
อย่างงี่มันไม่ไช่ Loadbalance อะไรเลยนะครับ

และผมก็ยัง งง อยู่ดีว่า "มันเป็น Network ไว้ทำอะไร"

- Virtual Server 10.60.0.32 มันไว้ทำอะไร

- คุณแยก จาก 10.60.0.32 ไป 15 16 35 อย่างไง

- หรือทำนองเราเตอร์ซ้อนกัน2ตัว? หรือ แบบ Ubuntuซ้อนกับpfSenseแบบนี้?

- หรือคุณต้องการ Balance Local ของ 32, 15, 16, 35 (แต่ 15 16 35 ต่อแยกจาก 32 แบบนี้ pfSense เข้าไปBalanceไม่ได้หรอก.. ควรเป็นทุกตัวต่อแยกมาจาก pfsense ล่ะได้)


ว่าแต่คุณทำแบบนี้ เพื่อทำอะไรครับ พอยกตัวอย่างกรณีศึกษาของคุณได้ไหมครับ... (เพราะผม งง..งวย ไม่หาย... ไม่แน่ว่าผมอาจความรู้ไม่ถึงในกรณีคุณก็ได้ครับ)