Private networks ของ IPv4 (สาเหตุว่า..ทำไมมันต้อง 192.168.x.x)
(ไพบูลย์ ดอกไม้ - 9/12/2554)

สำรองบทความไว้ที่ http://forum.internetsup.com/index.php/topic,48.0.html

หมายเหตุ. บทความนี้จะปูพื้นฐานความรู้ สำหรับ "pfSense 2.0 Tutorial" หัวข้อ "เซต Network LAN ด้วย IP Class A/B"...




คุณเคยส่งสัยไหมว่าทำไม ระบบเลข IP ของเราเตอร์ทั่วๆไป.. ทำไม มันมักต้องเป็น 192.168.1.1 ด้วยล่ะ..?

สาเหตุคือ มันเป็นไปตามมาตฐาน Private networks ของ IPv4 ครับ


Private networks คืออะไร
ในที่นี้ มันเครื่องช่วงของเลข IP Address ที่สงวนไว้ สำหรับให้ใช้งานเป็นการส่วนตัว หรือสำหรับเน็ตเวิร์คภายในองค์กรนั้นเอง... เลข IP ที่เป็น Private networks จะไม่ซ่ำกับเลข IP ของ Public networks(เลขIPจริงๆที่ใช้บนอินเตอร์เน็ต)

โดยมาตรฐานของ IPv4 นั้น(พูดตาม Classful ก่อนนะ) จะแบ่งออกเป็น 3 Class ด้วยกัน ก็คือ A, B และ C (จริงๆมี D กับ E ด้วยนะครับ แต่มันไม่ได้นำมาใช้เป็นเลขหมายประจำเครื่องครับ)

ข้อแตกต่างสำคัญของ IP แต่ล่ะคราสคือ จำนวนลูกข่าย และจำนวณ Subnet ที่รองรับได้ (Subnet ก็คือการแบ่งช่วงเลขเป็นวงแลนย่อยๆ เช่น การใช้งานภายในบริษัท เราสามารถจัดเป็น subnetนี้สำหรับแผนกA และsubnetนี้สำหรับแผนกB แบ่งกันเป็นสัดเป็นส่วนได้ Subnetแต่ล่ะวงก็สามารถสวงนทรัพยากรไว้สำหรับวงตัวเองได้ เช่น เครื่องprinter, NAS เป็นต้น หรืออธิบายง่ายๆว่า โดยปกติแล้ว..เครื่องคอมพิวเตอร์ที่อยู่ต่างSubnetกัน จะไม่สามารถเข้าไปใช้เครื่องPrinterของSubnetอื่นได้ เป็นอันว่าเราสงวนเครื่องพิมพ์ตัวนี้ไว้เฉพาะวงแลนของแผนกเรา... ถ้าไม่งั่นคนเป็นAdmin จะต้องดูแลทรัพยากรต่างๆบนเน็ตเวิร์ค กันโลกแตกเลย)

โดย(ที่ควรจำ)...
- IP Class - C : จะมีจะมีลูกข่ายในแต่ล่ะวงSubnet ได้ไม่เกิน 256 เครื่อง
- IP Class - B : จะมีจะมีลูกข่ายในแต่ล่ะวงSubnet ได้ไม่เกิน 65,536 เครื่อง
- IP Class - A : จะมีจะมีลูกข่ายในแต่ล่ะวงSubnet ได้ไม่เกิน 16,777,216 เครื่อง
* จำนวนเครื่องของแต่ล่ะSubnet ยังต้องหัก Subnet ID กับ Broadcast Address ออกไปSubnetล่ะ2เลขด้วยนะครับ
(คนบ้านๆแบบเรา แค่จำความแตกต่างนี้ให้ขึ้นใจ ก็พอครับ.. เพราะนี่คือหัวใจของความแตกต่าง ในแต่ล่ะคราสครับ)

ซึ่งในแต่ล่ะคราส เพื่อความเข้าใจตรงกัน จึงมีการจัดช่วงเลขหมาย IP สำหรับเป็น Private networks เอาไว้ครับ (ตามมาตรฐานอ้างอิง RFC 1918)


เลข IP ที่เป็น Private networks ของแต่ล่ะคราสมีดังนี้
- Private networks ของ Class-C คือ ช่วง 192.168.0.0 -192.168.255.255
- Private networks ของ Class-B คือ ช่วง 172.16.0.0 - 172.31.255.255
- Private networks ของ Class-A คือ ช่วง 10.0.0.0 - 10.255.255.255

เมื่อมาตรฐานเป็นเช่นนี้ จึงทำให้เราเตอร์ทั่วไปตามบ้าน เลยใช้เลขIPในช่วง 192.168.x.x กันนั้นเองครับ (เพราะแต่ล่ะบ้านคงไม่มีคอมมากเกิน 254 เครื่องหรอกเนอะ... และที่เป็น254เครื่อง เพราะหักเลขIPของ Subnet ID กับ Broadcast Address ออกไปสองเลข จาก 256 ไงครับ)


คราวนี้เมื่อเราต้องพิจารณา วางผังเลขหมาย IP ภายในองค์กร... เราจะต้องพิจารณาอย่างไร
ขั้นแรก : ให้พิจารณาว่า เราจะจัด IP ในองกรณ์เรา แบ่งเป็นหลาย Subnet ไหม หรือใช้Subnetเดียวร่วมกันหมดทั้งองค์กรณ์เลย

ขั้นสอง : ให้พิจารณาว่าในแต่ล่ะวงของSubnet จะมีเครื่องคอมพิวเตอร์กี่เครื่อง เช่น
- ถ้าแต่ละวงมีไม่เกิน 254 เครื่อง...ก็ให้เราเลือกใช้ช่วงเลข IP ใน Class-C
- ถ้าแต่ละวงมีเกิน 254 เครื่อง เช่น 300เครื่อง 400เครื่อง...กรณีนี้ ก็ให้เราเลือกใช้ช่วงเลข IP ใน Class-B
- ถ้าเป็นกรณีทำนองต้องแจก IP จำนวนมากๆ โดยไม่อยากต้องมาคำนึงเรื่อง Lease time มากนัก...ก็ให้เราเลือกใช้ช่วงเลข IP ใน Class-A (เยอะแยก..จนแจกไม่หวันไม่ไหว)

* นอกจากนี้ อาจเป็นเรื่องความสวยงามของตัวเลข เช่น บางองค์กรอาจมีคอมไม่ถึง 300 เครื่องหรอก แต่เลือกใช้ช่วง IP Class-A เพราะชอบที่เลย 10.0.0.x มันจำง่ายดี...(อันนี้ก็ตามใจกันไปนะ)

ส่วนเรื่องในเชิงประสิทธิภาพ ขนาดของSubnetก็มีส่วนกับการกินกำลังประมวลผลของเราเตอร์นะครับ ถ้าSubnetวงใหญ่มากๆ ก็จะเปลื่องสมองซีพียูในการแจกแจงเลขหมายมากกว่า Subnet วงเล็กๆครับ... ฉะนั้นถ้าเรามีคอมพิวเตอร์ไม่กี่เครื่อง ก็ไม่ควรเลือกขนาด Subnet ที่ใหญ่เกินตัวจนเวอร์ไปครับ... (ซึ่ง IP แต่ล่ะคราส กำหนดขนาดของ Subnet ด้วยเลข Netmask นั้นเอง)

บทความนี้อาจยัง อ่านเข้าใจแล้วยากอยู่ แต่อย่างน้อยหวังว่าคุณผู้อ่านจะรู้ที่มาที่ไปของ IP Private networks และแนวทางการเลือกใช้เลข IP ที่เหมาะสมกับเน็ตเวิร์คของเรานะครับ

เซต Network LAN ด้วย IP Class A/B
(ไพบูลย์ ดอกไม้ - 9/12/2554)

สำรองบทความไว้ที่ (ดูรูปขนาดใหญ่) http://forum.internetsup.com/index.php/topic,46.0.html


(โปรดอ่านบทความ : Private networks ของ IPv4 ก่อน เพื่อประกอบความเข้าใจครับ...)


โดยปกติเราจะคุ่นเคยกับเลขหมาย IP ใน Class-C ก็คือ 192.168.1.0 - 192.168.1.255 นั้นเอง

แต่ในบางกรณีเราอาจต้องการจำนวณเลขหมาย IP มากกว่าที่ Class-C จะให้ได้... เช่น อพาทเมนต์ขนาดใหญ่, โรงเรียน/สถานศึกษา เป็นต้น... แล้วจะทำอย่างไงดีล่ะ.? เราก็ต้องเปลี่ยนไปใช้ เลขหมาย IP Class-B หรือ A แทนครับ


ในบทความต่อไปนี้ ผมจะแสดงขั้นตอนการเปลี่ยนเลขหมาย IP สำหรับวงแลน ที่เดิมทีถูกสร้างเป็น Class-C แต่เราจะเปลี่ยนเป็น Class-B แทน (กรณี Class-A ก็ใช้วิธีการเดียวกันครับ)... โดยการปฎิบัติของผมจะทำตามมาตรฐาน IPv4 Classful นะครับ (ถ้าท่านใดจะใช้ Classless ก็ขอให้ประยุกต์กันเองนะ..วิธีการใน pfSense 2.0 เหมือนกันครับ)


กรณีศึกษา
สมมุติถ้าผมมีเหตุ ให้ต้องเซตวงแลนใหม่ โดยให้เป็นวงsubnetเดียวกัน ซึ่งต้องการใช้งานเลข IP จำนวน 600-800 เลขหมายโดยประมาณ(แต่มากสุดไม่เกิน 1000 เลขหมาย) โดยจะต้องแบ่งเลขหมายIP ไว้เพื่อเป็น Static จำนวน100เลขหมาย และต้องทำ DHCP แจกราว 600-700 เลขหมาย

ผมจะทำดังนี้ (เอาแบบง่ายๆตรงๆนะ)
- เราเลือกใช้เลข IP ใน Class-B... เพราะ Class-B สามารถสร้าง Subnet ที่รองรับจำนวน IP 1000 เลขหมายได้

- โดยผมเลือกใช้เลข IP เป็น 172.16.8.0/255.255.252.0(22) ซึ่งจะได้Subnetที่มีขนาด 1022 เลขหมาย

- กำหนด IP ให้เราเตอร์(pfSense) เป็น 172.16.8.1

- กำหนดช่วงเลขหมาย IP ที่จะแจกผ่าน DHCP ในช่วง 172.16.9.1-172.168.11.254 ซึ่งรวมแล้วจะแจกได้ 762 IP

- ส่วนเลข IP ที่เหลือ(172.168.8.2-172.168.8.254) จัดแบ่งกันเอาไว้สำหรับใช้เป็น Static IP


สำหรับเรื่องเลขหมาย IP Class-B (Classful) ถ้าเราคำนวณเองไม่เป็น ก็ให้ใช้โปรแกรมคำนวนช่วยได้ครับ เช่น http://www.subnet-calculator.com/subnet.php?net_class=B ครับ

รูปแสดงการใช้โปรแกรมคำนวณ IP ของ www.subnet-calculator.com
1. กดเลือก B (IP Class-B)
2. แก้ไขเลขหมายสักนิดให้ถูกใจเรา... เดิมทีโปรแกรมจะให้เลขเป็น 172.16.0.1 ซึ่งผมก็แก้ใหม่เป็น 172.16.8.1 เพื่อความเป็นตัวของตัวเองสักหน่อย (เป็นเหตุผลความชอบสวนตัว อิๆ..เลข8เลขมงคล 55+)
3. เลือกจำนวนเลขหมาย IP หรือขนาด Subnet ที่เราต้องการ... ผมเลือกเป็น 1022 ครับ(พอดิบพอดีกับที่เรา)

แล้วโปรแกรมคำนวณ มันก็จะแสดงผลคำนวนให้เราดูครับ
- ที่เราต้องใช้ก็คือ Subnetmask / Maskbits
- ในกรอบสีแดงคือ ช่วงเลข IP ของSubnetนี้ ที่เราใช้งานได้


สรุปขั้นตอนการปรับแต่ง pfSense 2.0 มีดังนี้
1. เข้า Interface LAN แล้วเปลี่ยนเลข IP ของเครื่องpfSense... กดSave... แต่อย่างเพิ่งกด "Apply Changes" นะ
(ถ้าคุณกดปุ่ม Apply.. เครื่องpfSenseจะเปลี่ยนเลขIPตัวเองทันที... ซึ่งคุณยังอยู่ในวงIPเดิม คุณจะติดต่อpfSenseไม่ได้ โดยคุณจะต้องเชตFixed-IPของเครื่องคุณให้เป็น IP ในวงSubnetเดียวกับ pfSense ก่อน จึงจะต่อเข้าpfSenseแล้วทำการตั้งค่าต่อได้)

2. สลับไปเข้าหน้า DHCP Server... แล้วตั้งค่า DHCP สำหรับช่วงIPเลขใหม่... กด Save...

3. แล้วสลับกลับมาหน้า Interface LAN แล้วกดปุ่ม "Apply Changes" เพื่อยืนยันใช้งานค่าที่ตั้งไว้

โอเซ่ เราลุยเลย... ...



ล็อกอินเข้าหน้า Web Configurator ครับ

ในหน้านี้คุณจะยังเห็นว่า Interface LAN ของ pfSense ยังเป็นเลข IP เดิมอยู่นะ


เข้าเมนู Interfaces --> LAN



ที่หน้า Interfaces: LAN

ให้คุณกรอกเลข IP ใหม่ของเครื่องpfSenseลงไป (ในที่นี้คือ 172.16.8.1/22)
แล้วกดปุ่ม Save...


เมื่อเห็นมีปุ่ม "Apply Changes" เด็งขึ้นมา.. อย่าเพิ่งกดปุ่มนี้นะครับ ปล่อยไว้อย่างนี้ก่อน(ซึ่งมันจะค้างรอให้เรากลับมากด ในภายหลัง)



สลับไปหน้า DHCP Server... โดยเข้าเมนู Services --> DHCP server



ในหน้า DHCP server...

ตอนนี้ pfSense รับรูเลขหมาย IP ให่ของตัวเองแล้ว... ในหน้า DHCP มันจึงแสดงข้อมูลของเลข IP ใหม่ และช่วงเลข IP ที่สามารถแจกผ่าน DHCP ได้
ในที่นี้ให้เรากรอกเลขช่วง IP ที่จะแจก เป็น 172.16.9.1 - 172.16.11.254 (ตามที่เราตั้งใจจะใช้)
จากนั้น กดปุ่ม Save


แล้วสลับกลับมาที่ Interfaces LAN อีกครั้ง



เมื่อเข้าหน้า Interfaces LAN แล้ว... จะเห็นว่า ปุ่ม "Apply Changes" ยังรอเราอยู่

ให้เรากดปุ่ม "Apply Changes" ครับ..
หลังจากกดปุ่มแล้ว หน้าเว็บเบราเซอร์อาจจะค้างไปเลย... เพราะเครื่องpfSenseได้เปลี่ยนเลข IP ของตัวมันเองแล้ว(ขึงเข้าWeb Configurator ด้วย IP เดิมไม่ได้)


คราวนี้ให้เรา เปิดหน้าตาง View Network Connection ของวินโดว์7ขึ้นมาครับ...
แล้วให้ทำการ Disable แล้ว Enable การ์ดแลน... เพื่อขอเลข IP จาก DHCP ของ pfSense ใหม่ครับ (กดการ์ดแลนให้ถูกใบนะ)





ถ้าไม่ผิดพลาดอะไร เราจะได้เลข IP ใหม่ครับ


จากนั้นให้ลองเข้าหน้า Web Configurator อีกครั้ง ด้วย IP ใหม่ (ในที่นี้คือ 172.16.8.1 ครับ)

เราจะเห็นว่า pfSense ใด้ใช้งานเลข IP ใหม่ที่ตั้งให้มันแล้ว


ข้อควรจำ.
การเปลี่ยนเลขหมาย IP อย่างที่แสดงในบทความนี้ จะเป็นการเปลี่ยนระบบ IP ใหม่ทั้งวง... ซึ่งหมายความว่า หากมีลูกข่ายเครื่องอื่นกำลังต่อเน็ตเวิร์คอยู่ในขณะเดียวกันนี้ ลูกข่ายพวกนั้นก็จะเน็ตเวิร์คล่มทันที เพราะวงแลนเปลี่ยนเลขIPใหม่นั้นเอง... ลูกข่ายเหล่านั้นจะต้อง Disconnect แล้วต่อใหม่ เพื่อร้องขอเลข IP ใหม่จาก DHCP ของ pfSense...

ฉะนั้นถ้าเราต้องทำการเปลี่ยนระบบเลชหมาย IP ภายใน แบบนี้... เราควรประกาศให้ผู้ใช้งานลูกข่ายทุกคนทราบทั่วกัน แล้วบอกวิธีการแก้ใช้ปัญหากับพวกเขาด้วย และทางที่ดีเราควรทำในช่วงเวลาเลิกงาน(ที่ไม่มีลูกข่ายใช้งานแล้ว) หรืออาจจะใช้วิธีDownเน็ตเวิร์ตตัวเองชัวคราว(ถอดปลั๊กไฟ Switching ตัวหลักซะ)... ในสถาณการณ์จริง คุณต้องวางแผนรับมือจากปัญหาผู้ใช้ ให้ดีๆนะครับ

ยังรอ captive portal ต่อครับ กลับมาอัพไว ๆ นะครับท่านดอกไม้ ^^

รอแป๊บนึง เพิ่งเคลียร์ปัญหาส่วนตัวอยู่...
สองวันที่ผ่านมา VPS ผมโดนอะไรบ่างอย่างมาจุกจิก ซึ่งไม่ปลอดภัยกับบอร์ด SMF (นอกจากที่โดนโฟสโฆษณาแปลกๆนะ)...
มันมีใครมือบอนพยายามงัดแงะอะไรบ่างอยู่ก็ไม่รู้ (ซึ่งเห็นได้จาก Error Log ของ SMF ขึ้นลิสผิดพลาดจาก IP 77.*.*.* นั้นล่ะเพียบเลย)

เมื่อวานผมไล่เซตCentOSใหม่หมด แล้วเซตCHMODในไฟล์ของ SMF นิดหน่อย อาการErrorจากการงัดแงะก็หายไป... แต่วันนี้ก็ยังมีUserผีโผล่มาอีก1ตน (ซึ่งผมก็ Block หัวIP ไปแล้ว)

บ่ายนี้ดูเป็นปกติอย่างเดิมแล้ว... ทำให้มีกำลังใจว่า ถ้าตรูอัพแล้วมันจะไม่วูบหาย (แม้ถ้าต้องอัพบอร์ดใหม่ มันจะน่าเบื่อมาก...)

สู้ ๆ ครับท่าน ^^

pfSense 2.0 : Firewall
(ไพบูลย์ ดอกไม้ - 11/12/2554)

สำรองบทความไว้ที่ http://forum.internetsup.com/index.php/topic,50.0.html


ต้องย่ำกันก่อนนะครับ ว่าเราพูดกันอยู่ในมุมของ pfSense 2.0 นะครับ เพราะระบบFirewallสมัยนี้ไม่ได้มีความสามารถแคบๆเหมือนสมัยก่อนแล้ว Firewallของบางยี้ห้อบางโปรแกรมก็อาจมีความสามารถครอบคลุมไปด้านอื่นๆด้วย เช่น มีAnti-Virusในตัว, บางตัวทำแคสซิ่งได้ด้วย จนบางทีเราเองก็งงๆว่ามัน คือ Firewallหรือเป็นกึ่งๆProxyกันแน่หว่า... (น้องปอย2ซิม..ซะงั่น)


Firewall คือ อะไร.?
ถ้าพูดด้วยความหมายตรงๆ ในยุคแรกเริ่มของมันเลย... Firewall คือ ระบบทีทำหน้าที่กลั่นกรอง/ตรวจสอบ ข้อมูลและการสือสาร ที่เข้า-ออกผ่านทางตัวมัน โดยตัวมันจะตั้งอยู่ ณ.จุด ที่กันกลางระหว่าง Network สองวง เช่น ระหว่างInternet-กับ-Intranet, ระหว่างInternet-กับ-Server, ระหว่างIntranet-กับ-Client เป็นต้น... หรือถ้าพูดกันแบบบ้านๆ Firewall ก็คือยาม-รปภ. หน้าหมู่บ้านของNetworkนั้นเอง

ที่ผมพูดว่า Firewall เป็น "ระบบ" นั้น เพราะมันสามารถมีตัวตนได้หลายแบบ เช่น อาจตั้งเป็น Firewall-Server สำหรับหน้าที่นี้โดยเฉพาะ หรือติดตั้งเป็นโปรแกรมตัวนึงในเครื่องคอมพิวเตอร์ของเราก็ได้ ทั้งนี้ขึ้นอยู่กับรูปแบบของระบบ และความต้องการของงานนั้นๆครับ

ในยุกก่อนๆนั้น Firewall จะมีบทบาทส่วนใหญ่อยู่ในภาค Network ขององค์กรครับ ต่อมาเมื่อเราใช้งานอินเตอร์เน็ตกันกว้างขวางขึ้น อินเตอร์เน็ตได้บุกมาถึงคอมพิวเตอร์ในห้องนอน บ่างก็บุกมาถึงโทรศัพท์มือถือในกระเป๋ากางเกงของเราแล้ว... เราจึงเริ่มมีความต้องการ"ความปลอดภัย"ในที่ใกล้ตัวมากขึ้น จนปัจจุบันนี้ Firewall ได้แก้เป็นส่วนหนึ่งของระบบปฎิบัติของเครื่องคอมพิวเตอร์ส่วนตัวไปแล้ว (จะมีฟังก์ชันมาก-น้อย ก็ว่าไปตามอัตภาพของอุปกรณ์ตัวนั้นๆ)


แล้ว Proxy คือ อะไร.?
อันนี้หากพูดด้วยความหมายตรงๆ เดิมๆของมัน... Proxy หรือ Proxy Server มันคือ ระบบที่ทำหน้าที่เป็นผู้จัดหาข้อมูลตามที่ลูกข่ายร้องขอ หรือถ้าพูดง่ายๆ Proxy Server ก็คือเจ้าหน้าทีห้องสมุด..ที่จะคอยเดินหาหนังสือที่เราอยากได้ แล้วถ่ายซีร๊อกเอกสารหน้าที่มีเนื้อหาตามที่เราต้องการ

แล้วคุณสมบัติเก่งกาจอีกอย่าง ที่ต้องมีใน Proxy Server ทุกตัวก็คือ "Caching" หรือการสำรองข้อมูลที่มักถูกเรียกหาบ่อยๆ ทั้งนี้เพื่อเพิ่มประสิทธิภาพเชิงความรวดเร็ว และการประหยัด Data-Traffic นั้นเอง

แต่ในโปรแกรม Proxy ยุคใหม่นั้น บางตัวมีความสามารถในการกลั่นกรองข้อมูลด้วย เช่น มีระบบกรองคำ(Keyword)ต้องห้าม, ระบบกรองURI(บล็อกเว็บ) บางตัวทำได้ถึงขั้นกรองไวรัสในไฟล์แนบอีเมล์ได้เลย... แต่โดยทั่วไปแล้ว Proxy จะมีความสามารถกลั่นกรองในเชิงข้อมูลมากกว่า (ส่วน Firewall จะมีความสามารถกลั่นกรองในเชิงจราจรและความปลอดภัยมากกว่า)


ความต่างสำคัญ ของ Firewall กับ Proxy
ความแตกต่างที่เป็นจุดแบ่งเด็ดขาด แยกมันทั้งคู่ออกจากกันเลย นั้นก็คือ "ชะตากรรมของข้อมูล" โดย Firewall จะยอมให้"ข้อมูลก้อนนั้น"ผ่านไปได้หากถูกต้องปลอดภัย(ตามRule)... แต่กับ Proxy จะไม่มีก้อนข้อมูลวิ่งผ่านตัวมันไปได้ แต่ตัวมันจะบริหารข้อมูลโดยการสร้าง(สำเนาหรือดัดแปลง)ข้อมูลก่อนที่จะส่งไปปลายทาง พูดง่ายๆก็คือ ทั้งสองฝ่ายจะไม่ได้ก้อนข้อมูลจริงๆซึ่งกันล่ะกัน...

- Firewall ก็เหมือนยาม-รปภ.หน้าหมู่บ้าน ข้อมูลก็เสมือนรถยนต์ ที่รปภ.ตรวจสอบแล้วยอมให้ขับวิ่งเข้ามาในพื้นที่หมู่บ้านได้ รถคันจริงคันนั้นก็วิ่งเข้า/วิ่งออกหมู่บ้านได้ (ยกเว้นรถโจร)

- Proxy ก็เหมือนเจ้าหน้าที่ห้องสมุด ที่ค่อยถ่ายเอกสารหนังสือให้เรา ซึ่งเราจะไม่ได้จับหนังสือเล่มจริงๆ แต่เราจะได้กระดาษA4ที่ผ่านการถ่ายเอกสารมา(สำเนาข้อมูล) หรืออาจถ่ายเฉพาะหน้าที่ต้องการ ไม่ไช่ภ่ายเอกสานมาทุกหน้า(ดัดแปลงข้อมูล)... เจ้ากระดาษ A4 นั้นล่ะก็เสมือน"ก้อนข้อมูล"ที่ผ่านproxyนั้นเอง



ระบบ Firewall ของ pfSense 2.0
pfSense 2.0 มีลักษณะการทำงานระบบที่เป็นทั้ง Firewall และ Router ในตัวเดียวกัน โดยเราสามารถกำหนดRuleเพื่อควบคุมเส้นทางข้อมูลได้อย่างละเอียด ไม่ไช่เพียงแค่"ผ่านได้หรือไม่ให้ผ่าน"เท่านั้น เราสามารถกำหนดเส้นทางและเลือกอินเตอร์เฟสได้ด้วย... ดังนั้นโดยปกติแล้วเรามักจะใช้งาน Rule ใน pfSense เพื่อกำหนดเส้นทางของข้อมูลเสียเป็นส่วนใหญ่ โดยการกำหนดRuleที่รัดกุมจะสามารถรักษาความปลอดภัย และบริหารData-Traffic ให้ระบบNetworkสามารถทำงานได้อย่างมีประสิทธิภาพ

Aliases (และตัวอย่างการทำ Forward Port สำหรับ MultiWAN)
(ไพบูลย์ ดอกไม้ - 14/12/2554)

สำรองบทความไว้ที่ (ดูรูปขนาดใหญ่) http://forum.internetsup.com/index.php/topic,56.0.html


Aliases คือ การตั้งนามเรียกขานให้กับ "Values" หรือ "ค่า" จะใช้ในการตั้งค่าต่างๆ... ซึ่ง Values สามารถเป็นได้ทั้ง IP Address, Port Number, URL

การมี Aliases จะเพิ่มความสะดวกอย่างมาก ในกรณีที่เรามีการตั้ง Rule หรือ กฏอื่นๆ จำนวนมากๆ เพราะหากเรากรอกค่าในกฎเหล่านั้นด้วยเลขIP หากเกิดต้องแก้ไขเลขIPเลขนั้นขึ้นมา เราก็ต้องตามไล่แก้กันทีล่ะกฏ สมมุติว่าถ้าเรามีสัก50กฎ(หรือมากกว่า)ล่ะ มันจะกลายเป็นงานที่เหนื่อยและเสี่ยงที่จะเกิดขอผิดพลาดในการแก้ไข... ฉะนั้นถ้าเราแทนค่าที่กรอกด้วยชื่อ Aliases มันก็จะง่ายกว่ามาก เพราะเราแค่เข้าไปแก้ไขIPที่หน้าAliasesที่เดียว แล้วกฎต่างๆที่กรอกชื่อAliasesชื่อเดียวกันนั้น ก็จะเปลี่ยนค่าตามหมดทันทีครับ (สะดวกไม่ต้องไปตามแก้ไช 50ข้อ 100ข้อ ให้วุนวาย)


ผมจะขอยกตัวอย่าง. ว่าผมจะทำ Forward Port บน Multiwan เน็ต2สายนะครับ โดยใช้การตั้งขื่อ Aliases เข้าช่วย
- พอร์ทที่จะ Forward คือ 9900
- IP ที่จะรับคือ 192.168.100.100

เริ่มเข้าเมนู Firewall-->Aliases



เมื่อเข้าหน้า Aliases แล้ว ให้กดปุ่ม "+" เพื่อสร้าง Aliases ตัวใหม่



อันแรกเราจะสร้าง Aliases ให้เลข IP ก่อนนะครับ

- ที่ช่อง Name = ชื่อของAliasesตัวนี้ (คล้ายเป็นชื่อเล่น)
- Description = คำอธิบาย ต้องเป็นภาษาอังกฤษนะครับ (ในที่นี้ผมอธิบายว่า เป็นเครื่องของ Admin นะ)
- Type = ชนิดข้อมูลของAliasesนี้... ในที่นี้เราจะกรอกเลขIP จึงให้เลือกHostครับ
- ให้กดปุ่ม "+" เล็กๆที่ลูกศรชี้ครับ แล้วจะปรากฎช่องให้เราเติม IP Address ครับ (กรอกแค่เลขIPเดียวพอนะครับ)
เสร็จแล้วให้กดปุ่ม Save ครับ


ที่หน้า Aliases ให้เรากดปุ่ม "+" เพื่อสร้างAliasesให้ Port Number

ทำคล้ายๆกับขั้นตอนที่แล้วครับ แต่คราวนี้เราเลือก Type เป็น Port
แล้วกรอกเลข Port ของเราลงไปครับ
จากนั้นกด Save ครับ


เมื่อกลับมาที่หน้า Aliases จะปรากฎรายการที่เราสร้างใหม่สองรายการครับ...





คราวนี้...เราจะมาทำ Port Forward สำหรับ MultiWan เน็ต2สาย กันครับ

เข้าเมนู Firewall --> NAT



ที่แท็บ Port Forward

ให้กดปุ่ม "+" เพื่อสร้าง Forward ตัวใหม่ครับ


อันแรกที่เราจะสร้างคือ Forwarding จาก WAN
กรอกข้อมูลตามภาพเลยครับ (เหมือนที่สอนในหัวข้อ Port Forwarding ที่ผ่านมา)

แต่คราวนี้เราจะไม่กรอกตัวเลขครับ
- ที่ Interface ให้เลือก WAN
- ที่เลข Port ให้พิมพ์ชื่อ Aliases ของ Port ลงไป (ในที่นี้คือ "uTorrent_Port")
- ที่ Redirect target IP ให้พิมพ์ชื่อ Aliases ของเลข IP ลงไป (ในที่นี้คือ "Clien_PC")... แล้วที่ Port ก็ให้กรอก Aliases ของ Port ลงไปครับ
จากนั้นกดปุ่ม Save ครับ


เมื่อกลับไปที่หน้า NAT... ให้กดปุ่ม "+" อีกครั้ง เพื่อสร้าง Forwarding จาก OPT

คราวนี้ที่ Interface ให้เลือก OPT ครับ...
ส่วนอื่นๆทำเหมือนขั้นตอนที่แล้ว
จากนั้นกดปุ่ม Save ครับ


เมื่อกลับมาที่หน้า NAT จะปรากฎรายการ Forward สองรายการที่เราสร้างขึ้น... ซึ่งขณะนี้ Port Forward ได้พร้อมทำงานแล้ว



เราลองกดไปหน้า Firewall-->Rule
จะพบ Rule ที่ถูกสร้างขึ้นอัตโนมัติ สำหรับรองรับการ Forward Portที่เราสร้างขึ้น

ภาพนี้เป็น Rule ของ WAN (*ไม่ต้องทำอะไรนะครับ ให้ดูเฉยๆ)


ภาพนี้เป็น Rule ของ OPT (*ไม่ต้องทำอะไรนะครับ ให้ดูเฉยๆ)


สุดท้ายลองเปิด uTorrent มาเทสดูซิว่า Forward Port สำเร็จไหม...

สำเร็จแล้ว... ให้คุณลองกดซ่ำหลายๆที่นะครับ เพราะเรากำลังใช้ MultiWam อยู่(กดดูว่า สำเร็จทั้งสองสายไหม)

หมายเหตุ.. ในกรณีของผมจะสำเร็จแค่สายเดียวครับ เพราะเน็ตอีกสายของผมเป็นเน็ตที่ต่อจาก Iphone 3GS ที่เสียบซิม TOT3G ซึ่งเน็ตสายนี้จะForwardไม่ได้(เพราะIPhoneไม่ยอมForward Portมา และผมก็ไม้รู้จะไปตั้งForward PortในIphoneอย่างไงด้วย 555+)


สรุปเนื้อหาบทความนี้... เมื่อคุณใช้ Aliases แล้ว คราวนี้ถ้าคุณต้องการจะเปลี่ยน IP ที่จะ Forward ไปเป็น IP อื่น เราก็แค่ไปแก้ใขในหน้า Aliases ที่เดียวเท่านั้นครับ แล้วมันจะแทนค่าไปในทุกๆ Aliases ที่ถูกนำไปใช้เองครับ(หรือจะเปลี่ยนเลข Port ก็เช่นกันครับ)

สำหรับท่านที่รอค่อยการอัพเดตที่ยาวนาน... ผมกราบขออภัยจริงๆครับ เพราะติดปัญหาจุกจิกกับ VPS นิดหน่อยครับ (ตอนนี้ปกติมากชึ้นแล้วครับ)

วันนี้ก็เลยขอลง คลิป MV ยาวๆๆๆๆๆๆๆๆ สำหรับคนชอบ HipHop สักหน่อย


Kanye West - Runaway (Full-length Film) ยาวเหยียด

*มีติดเรทนิดๆ นะ

ตามสเตปเลยจริง ๆ 1 บทเรียน 1 MV

กำลังปั่นอยู่...

2.2.2. NAT
2.2.3. Rule
2.3. แยกสายเน็ต, แยกสายเกม Rule - MiniTutorial
2.3.1. Block ICMP (บล็อก Ping)
2.3.2. Block Port Number (บล็อกเน็ต ให้ใช้งานเว็บได้เท่านั้น)
2.3.3. Block IM (บล็อก MSN/Live/Yahoo IM/AOL/ICQ/IRC/Camfrog/ฯลฯ)
2.3.4. Block Game Online
2.3.5. แยกสายเน็ต-แยกสายเกม
2.3.6. แยกสายผู้ใช้ (แยกสายโดย IP ผู้ใช้)

เอาเรื่อง Rule กับการจัดการ/การบล็อก ก่อนนะ... แล้วค่อย Captive Portal ตามหลัง

เรื่อง Block Bittorrent ไม่มีในเนื้อหาเหรอครับ

ผมเป็นคนนึง ที่ไม่เคยบอกว่า Block Bittorrent ได้สำเร็จ 100% นะครับ... แต่ถ้าหวัง 98% ขึ้นไปล่ะก็ได้อยู่(อีก2% คือขาโหลดบิตพันธ์แท้จริงๆ)

pfSense 2.0 ทำอะไรกับ Bittorrent ได้บ่าง
- ใช้ Rule เปิดเฉพาะ Port ที่ใช้งานจริงๆ... 80%จะจบที่ขั้นนี้ (สร้างความเซ็ง ให้คนโหลดบิต)
- ใช้ Captive Portal จัดแบนวิส (ลดความเดือนร้อน จากพวกที่ยังตะแบงโหลดอยู่)
- ใช้ SquidGuard บล็อก URL กับ Passkey (พร้อมสกัดMediaFireไปในตัว)... 95%จะจบที่ขั้นนี้ (เพิ่มความเซ็ง..ให้ถึงขีดสุด)
- ใช้ Traffic Shaper จัด L7 เป็นไพ่ตายสุดท้าย... 98+%จะจบที่ขั้นนี้ (ถ้ายังโหลดได้อยู่..พรุ้งนี้เจอกัน)
- ใช้ Snort กับเปิด Syslog แล้วถือLogไปถามตรงหน้าว่า"เมิงโหลดบิตช่ายไหม.?"... 100%จบหมด (ถ้าได้มาซ่าล่ะ..แบ่งตรูด้วย..เฮ๊ย!!)


^_^"

- แต่อย่างลืมนะว่าเดียวนี้พวก Web Filesharing มันก็ขยายตัวเร็วมาก... แล้วURIที่ให้โหลดไฟล์ ก็มักเป็นคนล่ะตัวกับ URL ของเว็บ(จะตามบล็อกกันไม่หวั่นไม่ไหว)

- ไอพวกเกมเก็บหมู เก็บผัก นี่ก็แด๊กมหาศาลอยู่ ถ้าบล็อกเกมFacebook..ก็จะแทงใจดำลูกข่ายไปสะหน่อยไม๊... (ตัวAdminอาจมีปัญหา รถโดนทุบ หรือโยนเปลือกกล้วยขวางทางเดิน)



*o* มีหน้าที่ก็..ทำงานไปวันๆ (ละเหี่ยใจ)

สกัด mediafire ใช้วิธีอะไรเหรอครับ แล้วถ้าจะให้ IDM โหลดได้ทีละ 1 connection ทำได้ไหมครับ

ขอบคุณครับ Aliases มันเยี่ยมจริงๆ

ยังไม่เห็นหัวข้อ
-Backup/Restore ค่าคอนฟิก(เผื่อServer-คอมฯเสียขึ้นมาแบบไม่คาดฝันจะได้ไม่ต้องไปตั้งค่าใหม่)

-pfSense 2.0เอาการ์ดPCIหรือUsb WirelessLAN(ที่pfSenseรองรับ) มาใส่ แล้วทำเป็นAccess Point Mode หรือClient Mode แบบว่าเครื่องเดียวครอบจักรวาลไปเลย
เคยลองใส่EPI-360S WirelessLAN PCI adapterตัวนี้ใช้ในบ้านอยู่พักหนึ่งLoadbalance ADSL 3BB กับ 3BB Hotspot

ก็ได้แค่สกัดครับ.. ซึ่งแก๊งแว๊นMediafireกับสก๊อยFilesharing อาจเลี้ยวหลบเข้าซอยหรือยูเทิร์นย้อนศรหลบตำรวจได้..หุหุหุ

ก็ถ้าผู้ใช้ สามารภเซฟลิงค์ หรือหาลิงค์มาจนได้เราก็เสร็จครับ (แต่ผู้ใช้ต้องมีความพยายามจริงๆล่ะ)
เราต้องมองภาพรวมว่า เราสามารถลดจำนวนผู้ใช้(โหลดfilesharing)ได้ส่วนนึง(น่าจะเป็นส่วนเยอะด้วย)ครับ