Block เปิด/ปิด โปรแกรมสนทนาทางอินเตอร์เน็ต (IM ทั้งหลาย)
(ไพบูลย์ ดอกไม้ - 18/12/2554)

สำรองบทความไว้ที่ (ดูรูปขนาดใหญ่) http://forum.internetsup.com/index.php/topic,74.0.html


ก่อนอื่น ต้องอย่าลืมว่าเรายังอยู่ในหัวข้อย่อย ของการบล็อกด้วย Port Number นะครับ...

ซึ่งวิธีการบล็อกด้วยการปิดPortนั้น "จะไม่ได้ผลกับโปรแกรม IM ยุคใหม่ๆ" แล้วครับ เพราะเดียวนี้พวกมันได้พัฒนาจนเป็น Web 2.0 ไปแล้ว เช่น Windows Live กับ Yahoo IM ทั้งคู่ได้บิวอินไปอยู่ในหน้าบริการอีเมล์แล้ว นั้นหมายถึงโปรแกรมClientของพวกมันใช้ Port 80 ซึ่งเป็นพอร์ทเดียวกับการดูเว็บ ฉะนั้นตราบใดที่เรายอมเปิดพอร์ทให้ผู้ใช้ดูเว็บได้..เราก็จะบล็อกIMพวกนี้ไม่ได้ แต่ถ้าเราปิดพอร์ดเพื่อบล็อกเว็บ โปรแกรมIMพวกนี้ก็จะโดนบล็อกพร้อมเว็บด้วยเช่นกัน... ส่วนโปรแกรม IM ที่ยังอนุรักษ์นิยม(ยังใช้Portประจำของตัวเองอยู่)พวกมัน ก็ยังสามารถบล็อกได้ด้วยการปิดพอร์ทครับ

สำหรับผู้ดูแลระบบ ภายในสำนักงาน/office เรื่องนี้ก็ต้องพิจารณานโยบายกันดีๆครับ ถ้าหน่วยเหนือ(ผู้บริหาร)มีคำสั่งลงมาว่า ให้บล็อกIMเพื่อให้พนักงานเลิกคุย(จะได้ไม่อู่งาน)... ทางออกที่เด็ดขาดที่สุดเลย คือ ให้บล็อกเว็บ(ปิดพอร์ทดูเว็บ)พร้อมกันไปด้วยเลยครับ ซึ่งพนักงานก็จะใช้งาน Hotmail, Yahoo-mail ไม่ได้(ก็จะเล่นIMในหน้าเว็บไม่ได้ด้วย เด็ดขาดไปเลย)

แต่ถ้าทำเด็ดขาดแบบนี้ บางหน่วยงานอาจมีปัญหา หากหน่วยงานนั้นใช้บริการอีเมล์ฟรีของ Hotmail/Yahoo... ทางออกแบบกำปั้นทุบดินก็คือ ให้เปลี่ยนมาใช้อีเมล์แบบ POP3/SMTP ซะ ซึ่งมันก็แน่ล่ะครับ ว่าบางหน่วยงานอาจไม่สะดวกที่จะจัดหาServerหรือเช่าHostingเพื่อทำอีกเมล์ POP3

ฉะนั้นเรื่องนี้ ผมคิดว่า เราต้องแนะนำกลับไปให้ทางหน่วยเหนือทราบ แล้วให้พิจารณาว่าปัญหา ติดแซท-อู่งาน มันเป็นปัญหาใหญ่ขนาดไหน ถ้าเป็นปัญหาใหญ่มาก(จนกู้กมลสันดารพนักงาน ให้มีรับผิดชอบไม่ได้แล้ว)แบบนี้ก็แนะนำให้บล็อกเว็บในเวลางานด้วยไปเลย... แต่ถ้ายังเป็นปัญหาเล็กอยู่ หัวหน้างานสามารถว่ากล่าวตักเตือนพนักงานกันได้ ก็แนะนำให้ใช้พระเดชพระคุณนำไปก่อนครับ(ทางเราก็บล็อกIMบางส่วนด้วยการปิดพอร์ท ได้ผลบ่าง-ไม่ได้ผลบ่าง ก็ว่าๆกันไป... ถ้ามันกู่ไม่กลับจริงๆก็ค่อยทำเด็ดขาดที่หลังครับ)


กลับมาที่วิธีการบล็อก IM ด้วยการเปิดหรือปิดพอร์ทกันต่อ
โดยขั้นตอนในบทความหัวข้อที่แล้ว เราได้ปิดพอร์ทอื่นๆ(นอกจากดูเว็บ, อีเมล์, FTP)ไปหมดแล้ว ซึ่งหมายความในขณะนี้ โปรแกรม IM(รุ่นเก่าๆที่ใช้Port)ก็โดนหางเลขไปด้วยพร้อมกับBittorrentแล้วครับ(ตอนนี้มันโดนบล็อกไปในตัวอยู่แล้ว)... แต่ถ้าเราต้องการอนุญาติให้ใช้โปรแกรม IM ได้ในบางเวลา และปิดบล็อกมันลงในบางเวลา เราก็จะต้องสร้าง Rule สำหรับพวกมันขึ้นมาครับ


(ผมขออนุญาติ ลดรูปประกอบที่เยิ่นเย้อลงนะครับ)

ไปที่หน้า Firewall-->Rules-->แท็บFloating

กดปุ่ม "+" เพื่อสร้าง Rule ข้อใหม่ครับ


ที่หน้าสร้างRuleใหม่ ให้กรอกข้อมูลตามภาพครับ

โดยคราวนี้ ตรงช่อง Port ให้เราเลือก Aliases ของ IM ครับ (ในที่นี้คือ IMPort)
จากนั้นกด Save


เมื่อกลับมาที่แท็บFloating จะเห็นว่าตำแหน่งบันทัดของRuleที่เราสร้างใหม่นั้น อยู่ผิดต่ำแหน่ง
ตำแหน่งที่มันจะทำงานได้ถูกต้องนั้น จะต้องอยู่ด้านบนของ"ข้อRuleที่ปิดพอร์ทอื่นทุกพอร์ท" ครับ

ก็ให้เราทำการสลับต่ำแหน่งมันครับ (ตามรูปนะ.. ให้เลือกติ๊กถูก แล้วกดปุ่มไอคอนลูกศร ตรงตำแหน่งที่เราจะแทรกมัน)

เมื่อย้ายต่ำแหน่งถูกต้องแล้ว...
ซึ่งในRuleข้อที่เราสร้างใหม่นั้น เราได้เลือกให้เป็น Pass คือยอมให้ผ่านได้ ผลก็คือ IM ที่ใช้งานPort ตามที่สร้างไว้ใน Aliases "IMPort" ตอนนี้จะสามารถใช้งานได้แล้วครับ


แต่ถ้าเราต้องการจะปิดหรือบล็อกโปรแกรม IM เหล่านี้.. ให้เราแก้ใข้กฎตรง Action จาก Pass ให้เป็น Block ครับ
วิธีการ ให้กดปุ่ม "e" ที่ท้าย Rule ที่เราต้องการแก้ใข



แล้วเปลี่ยนค่า Action ให้เป็น Block ครับ

จากนั้นกด Save


จะเห็นว่า ไอคอนหน้า Rule บันทัดนี้ ได้กลายเป็น "กากบาทสีแดง" หมายถึงมีสถาณะ เป็น Block ครับ



* อย่าลืมนะครับว่า วิธีการปิดพอร์นนี้ ได้ผลเฉพาะ โปรแกรม IM รุ่นเก่าๆที่ยังใช้พอร์ทประจำตัว อยู่นะครับ... แต่จะไม่ได้ผลกับ IM รุ่นใหม่ๆที่เป็น Web2.0 แล้ว...
** โปรแกรมแซทคราสสิค อย่าง IRC ทั้งหลาย... วิธีการนี้ใช้ได้ผลครับ

Block เปิด/ปิด Game Online
(ไพบูลย์ ดอกไม้ - 18/12/2554)

สำรองบทความไว้ที่ (ดูรูปขนาดใหญ่) http://forum.internetsup.com/index.php/topic,75.0.html



เรื่องนี้ก็เช่นเดียวกับบทความหัวข้อที่แล้วนะครับ ว่าเรากำลังคุยกันอยู่ในเรื่องของการบล็อกด้วยการปิดพอร์ท...

เราจะต้องแยกพิจารณา ลักษณะการออนไลน์ของเกมออกเป็นประเด็นๆนะครับ (ผมไม่ได้จะแยกประเภทเกมนะครับ แต่ดูที่ลักษณะการออนไลน์ของแอพพลิเคชันเกม)

1.) เกมที่ออนไลน์เพื่ออัพเดตข้อมูลบางอย่าง
เกมในกลุ่มนี้มักเป็นแอพพลิเคชันเกม ที่รันStandalone-Offlineได้ตามปกติครับ เช่น พวกเกมArcadeทั้งหลาย อาทิ Zuma, Luxor... เกมในกลุ่มนี้จะออนไลน์เพื่อไปอัพเดตข้อมูล เช่น คะแนนสูงสุด, เวลาพิชิตด่านน้อยที่สุด เป็นต้น ซึ่งนอกจากนี้แล้วพวกมันก็เป็นโปรแกรม Offline ปกติดีๆนี่เอง... ฉะนั้นการบล็อกเกมพวกนี้ถือว่า"ป่วยการ"ครับ เพราะถึงจะบล็อกไม่ให้มันออนไลน์ได้ แต่มันก็ยังเล่นOfflineได้อยู่ดี (ก็แค่อัพเดตคะแนน เข้าTop-Chartไม่ได้เท่านั้น)


2.) เกมที่เป็นAppบนโซเชียลเน็ตเวิร์ค
เกมพวกนี้ ผมถือว่าเป็นเกมที่มีส่วนแบ่งการตลาดสูงสุดครับ(และกินแบนวิสสูงสุด) โดยตัวเกมมีลักษณะเป็นAppที่อยู่บนเว็บไซต์โซเชียลเน็ตเวิร์คอีกทีนึง(หลักๆก็คือFacebookนั้นล่ะ) ซึ่งไม่ว่าตัวมันจะเป็ร Flash, SilverLight, AIR หรือSDKอื่นๆก็ตาม ตัวของมันสามารถจัดเป็น Web 2.0 ได้ครับ เกมในกลุ่มนี้ก็คือ เก็บผัก เลี้ยงหมู คาเฟ่ พวกนั้นล่ะครับ... ฉะนั้นเราอย่างไปหวังจะบล็อกมันด้วยการปิดพอร์ทครับ ถ้าจะบล็อกมันก็คือบล็อกเว็บหรือบล็อกURLไปเลย... สำหรับวิธีการบล็อกURLนั้น ในกรณีของ pfSense 2.0 ต้องใช้ Package Squid ที่เป็น Webcache-Proxy ร่วมกับ SquidGuard ครับ โดยให้เราบล็อกที่URLของเกมครับ...


3.) เกมออนไลน์แบบ Game-Party
เกมพวกนี้เป็นแอพพลิเคชันที่ต้องต่อเน็ตตลอดเวลา เพื่อที่จะPartyเล่นเกมร่วมกับผู้อื่น เช่น DOTA, Warcraft, Starcraft อะไนเทือกๆนี้ล่ะครับ... เกมพวกนี้หลายๆเกมสามารถเล่นในโหมดภาระกิจ(ออฟไลน์)คนเดียวได้ หรือจะอยากมีปฎิสัมพันธ์กับผู้อื่นก็เล่นOnlineก็ได้... วิธีการบล็อกเกมแบบนี้ ทำได้หลายจุดครับ เช่น บล็อกด้วยการปิดพอร์ท, บล็อกด้วยการBlock IPของServerเกม เป็นต้น


4.) เกมออนไลน์ "แฟรนไชส์"
ผมกำลังหมายถึง เกมออนไลน์ที่มัวเมาเยาวชนให้ติดร้านเกมกันงอมแงม..นั้นล่ะครับ ถ้านึกไม่ออก..ก็คือพวก ปังย่า, แรคนาร็อค, แดนช์ออดิชัน, SF ฯลฯ... ถ้าท่านใดจะต่อว่าผมที่กล่าววาจารุนแรง ผมก็ขอกราบขออภัยครับ แต่ก็ด้วยเหตุและด้วยผลแล้ว..มันก็เป็นอย่างนั้นจริงๆ(ถ้าไม่มีเกมพวกนี้ ร้านเกมบ้านเราก็คงเจ๊ง) ก็เอาเถอะครับถ้าเจ้าของร้านเกมเป็นผู้ประกอบการอย่างสุจิตและค่อยดูแลสังคม เกมพวกนี้ก็จะยังเป็นเครื่องผ่อนคลายให้ผู้เล่นครับ... ให้ลองคิดดูถ้าเกมพวกนี้มันอยู่เฉพาะที่บ้านหรือในร้านเกม มันก็คงไม่มีปัญหาอะไร... แต่ถ้ามีคนเอามันลงNotebookแล้วมาเล่นที่ โรงเรียน,สถานศึกษาล่ะ ผมว่าทางครู-อาจารย์ก็คงไม่นิ่งเฉย... เกมในพวกนี้ส่วนใหญ่มีลักษณะเหมือนกันอยู่อย่างนึง คือ จะต้องล็อกอิน หรือต้องกดปุ่ม"เริ่มเกม" ผ่านทางหน้าเว็บไซต์ของค่ายเกมนั้นๆ ซึ่งนี่คือจุดหลักที่เราจะทำการบล็อกมัน การบล็อกเกมพวกนี้ สามารถทำได้ทั้งสองทางครับ คือ จะบล็อกด้วยการปิดพอร์ทก็(มัก)ได้ผล หรือใช้วิธีบล็อกURLเว็บค่ายเกมเพื่อไม่ให้ล็อกอินได้ หรือบล็อกURLเว็บไม่ให้กดปุ่ม"เริ่มเกม"ได้..ปัญหาก็จบแล้วครับ


เมื่อเราพิจารณาที่ตัวเกมแล้ว เราก็มาทำการบล็อกพวกมันกันครับ (สำหรับการบล็อก URL ด้วย Squid+SquidGuard นั้นโปรดติดตามในบทความหัวข้อหลังๆนะครับ) ในหัวข้อนี้ผมจะทำเฉพาะวิธีปิดพอร์ทครับ


ให้เราเข้าหน้า Firewall --> Rules --> แท็บ Floating...

คราวนี้ผมจะแนะนำวิธีสร้างRuleอีกแบบนึง คือ Copy มาจาก Rule ที่เรามีอยู่เดิมแล้ว... ในที่นี้ผมจะCopyมาจาก "Ruleบล็อกIM" จากหัวข้อที่แล้วครับ
ในรูป ให้คุณกดปุ่ม"+"ที่ท้านบันทัดของ "Ruleบล็อกIM"


โดยRuleที่สร้างใหม่นี้ จะคัดลอกการตั้งค่ามาจาก Rule ต้นฉบับที่เราCopyครับ

คราวนี้เราก็แก้ไขเล็กๆน้อยๆ โดนเปลี่ยนเลข Port เป็น Aliases ของเกม (ในที่นี้คือ GamePort ครับ)
ตรวจสอบความถูกต้องทุกจุดนะครับ... แล้วกดปุ่ม Save


เมื่อสร้างเสร็จแล้ว Rule อันใหม่ ก็ปรากฎขึ้นที่ใต้Ruleข้อที่เป็นต้นฉบับของมัน... ซึ่งในที่นี้เป็นตำแหน่งที่ถูกต้องแล้ว(จึงไม่ต้องย้ายต่ำแหน่งมันอีกครับ)


ก็เหมือนบทความหัวข้อที่แล้วครับ ถ้าต้องปิดบล็อก(ห้ามเล่นเกม)ก็ให้เราเลือก ActionของRule เป็น Block ครับ... แต่ถ้าเราจะยอมให้เล่นเกมได้ก็ให้เลือก ActionของRule เป็น Pass ครับ

สำหรับบทความเรื่องบล็อก ผมต้องมีการเปลี่ยนแผนเล็กน้อยครับ...

เดิมทีผมจะ เขียนเรื่องแยกสายเน็ตสายเกมไปเลย แต่เมื่อพิจารณาดูแล้ว ผมกลัวว่าเนื้อหามันจะผิวเผินเกินไปหน่อย เพราะผมยังไม่ได้เขียนเรื่อง Well-known Port, Registered Port จึงคิดว่าควรกลับมาเขียนเรื่องมาตรฐาน PortNumber อีกสักรอบ(วันพรุ้งนี้นะ)

เอาแบบโดยสังเขปก่อนล่ะครับ
หลักการแยกสายเน็ต-สายเกม โดยปกติเราจะใช้วิธีแยก Port เป็นช่วงๆ คือ
- เลขPortช่วง 0-1023 (หรือบางเว็บใช้ 1-1024) เราจะใช้เป็นช่วงของสายเน็ต... โดยพอร์ทช่วงนี้จะเรียกว่า Well-known Port Number ซึ่ง IANA กำหนดให้เป็นพอร์ทหลักสำหรับ network services (ซึ่งภาคเน็ตเวิร์คและอินเตอร์เน็ตจะใช้พอร์ทในช่วงนี้เป็นหลัก)

- เลขPortช่วง 1024-49151 (หรือบางเว็บใช้ 1025-65535) เราจะใช้เป็นช่วงของสายเกม... โดยพอร์ทช่วงนี้จะเรียกว่า Registered port เป็นพอร์ทที่ IANA กำหนดให้เป็นพอร์ทสำหรับแอพพลิเคชันต่างๆ(ทั้งทางการ และไม่ทางการ) พวกเกมออนไลน์ก็จะในช่วงนี้ครับ... และพวกbittorrentก็เหมือกัน โดยปกติพวกมันก็จะซุ่มเลขไม่ต่ำว่าช่วงนี้ครับ

- เลขPortช่วง 49152-65535 เรียกว่า Dynamic หรือ Private Port... เลขในช่วงนี้จะไม่มีการจับจองครับ เพื่อกันไว้ให้ใช้กันได้เป็นการภายในหรือส่วนตัว พวกBitก็นิยมสุ่มพอร์ทมาช่วงนี้กัน (แต่โดยทั่วไปเพื่อความสะดวก เราก็จะร่วมมันไว้กับ Registered port ครับ)



เอาไว้วันพรุ้งนี้ผทจะเขียนลงบทความอย่าละเอียดอีกทีครับ... วันนี้จบแค่นี้ก่อนครับ


============================


งันฟังเพลงเถอะ....
MVเพลงที่แล้ว ดูน่าตืนตาใจ... MVวันนี้ก็ขอลงของศิลปินหญิงระดับเจ้าแม่เพลงร็อกอีกคนนึง (ในฐานะเมียหม่าย "เคิร์ต โคเบน")

ผมคิดว่าเธอเป็นนักร้องสาวคนแรกเลยมั้งที่ มีจุดขายที่ความฉาว... ฉาวระดับเปิดนมร้องเพลงบนเวทีคอนเสริต์ใหญ่ๆ ที่ถ่ายทอดไปทั่วโลกมาแล้ว... เธอเรียกว่าเป็นของขวัญคริสมาสให้แฟนเพลงทั่วโลก ซะงั่น (แต่วันนี้ไม่ได้คลิปโชว์นมมาลงให้ดูหรอกนะครับ)

ผมลองสองคลิกครับ ตอนสาว และ สาวใหญ่(ปัจจุบัน)

ตอนสาว ติดเรทนิดๆ (ผ้ามันบาง)



ตอนสาวใหญ่(2010)

(อย่างกะ ปาล์มมี่ ร้องเพลงร็อกเลย)



ให้นึกเสียว่าเป็น Nirvana เวอร์ชันภรรยาครับ

มีบทความเรื่องวิธีลง addon (squid) + transparent proxy เบื้องต้นไหมครับ ขอบคุณครับ

ในสารบัญมีอยู่นะครับพี่ แต่คงต้องตามสเตปไปละมั่ง ^^

. . . ขอบคุณท่านดอกไม้มากครับ pfsense ผมเป็นระเบียบขึ้นมากหลังจากทำ Aliases List

คือมันเขียนไป ก็เติมหัวข้อที่ขาดไปเรื่อย มันก็เลยโดนแซงคิว

เรื่อง Port Number ตามมาตรฐาน IANA (well-known, Registered, Dynamic Port)
(ไพบูลย์ ดอกไม้ - 20/12/2554)

สำรองบทความไว้ที่ (ดูรูปขนาดใหญ่) http://forum.internetsup.com/index.php/topic,81.0.html


ในบทความหัวข้อการบล็อกที่ผ่านมา คุณผู้อ่านคงพอจะเข้าใจหลักวิธิการใช้ Rule เพื่อบล็อกการใช้งานอินเตอร์เน็ตด้วยการปิดพอร์ทกันแล้ว แต่วิธีการตัวอย่างที่ผมสอนนั้น มันไม่มีหลักตายตัวนะครับ ว่าจะต้องทำตามแบบผมสอนเท่านั้น จะทำเป็นแบบอื่นไม่ได้... มันไม่ไช่อย่างนั้นนะครับ เพราะมันไม่ได้มีหลักการตายตัวครับ มันขึ้นอยู่กับทักษะความเข้าใจของเรา(ทั้งเชิงเทคนิคและเชิงกลยุทธ์) คุณอาจสร้างRuleในรูปแบบอื่นก็ได้ โดยต้องพิจารณาจากวัตถุประสงค์ความต้องการครับ บางกรณีเราอาจต้องซีเรียสมากๆ บางกรณีก็อาจแค่พอหลวมๆก็พอ ซึ่งก็ขึ้นอยู่กับความเข้มงวดของเน็ตเวิร์คคุณครับ

สำหรับบางท่าน ที่อาจเคยอ่านบทความจากที่อื่นๆมาก่อน อาจสงสัยว่า แล้ว 0-1024 กะ 1025-65535 มันหายไปไหน..? เห็นที่อื่นเข้าสอนว่าต้องเซตด้วยนิ..ไม่เห็นผมสอนให้เซตเลย.!! นั้นล่ะครับ งั่นบทความนี้..เราจะมาคุยเรื่องนี้กัน


Port Number ตามมาตรฐานของ IANA
ไม่ไช่แค่เรื่อง IP Address เท่านั้นนะครับ ที่ IANA มีหน้าที่กำหนดลักษณะมาตรฐาน ยังรวมมาถึงเรื่อง Port Number ด้วยครับ ทั้งนี้เพื่อให้การใช้งาน Port Number มีแบบแผนเดียวกัน... โดย IANA ร่างข้อกำหนดเรื่อง Port Number ไว้เป็นเอกสาร ข้อ RFC1700 (อ่านได้ที่นี่ - http://tools.ietf.org/html/rfc1700) โดยมีเนื่อหาที่เราควรรู้ดังนี้ครับ

- ให้ Port Number เป็นเลขฐานสอง 16Bit (0-65535)
แรกเริ่มเดิมทีแล้ว(RFC791:ปี1981)กำหนดแค่ 8Bit (0-255)เท่านั้น... แต่ต่อมาก็ขยายเป็น 16Bit (RFC1700:ปี่1991) เพื่อครอบคลุมการใช้งานอินเตอร์เน็ตที่หลากหลายขึ้น โดยยังกำหนดให้แบ่งช่วงเลขพอร์ทเป็นช่วงๆ ได้แก่ well-known, Registered, Dynamic Port/Private ports

- Well-known Port (0-1023)
แปลความหมายเป็นไทย ก็คงจะหมายถึง "พอร์ทที่มีการใช้งานอยู่ก่อน โดยรู้เป็นการทั่วไปแล้ว" ได้แก่พอร์ทหมายเลข 0-1023 (ไม่ไช่ 1-1024 นะครับ) เป็นพอร์ทสำหรับใช้งานทั่วไป โดย"บริการมาตรฐาน"ของอินเตอร์เน็ต จะอยู่ในช่วงนี้ทั้งหมด เช่น HTTP FTP POP3 IMAP เป็นต้น (จนบางคนเรียกว่า "พอร์ทServer")

- Registered Port
เป็นพอร์ทสำหรับให้แอพพลิเคชันต่างๆ นำไปใช้งานสือสารผ่านเน็ตเวิร์ค ได้แก่พอร์ทหมายเลข 1024-65535 (ไม่ไช่เริ่มต้นที่ 1025 นะครับ) โดย IANA พิจารณาเปิดให้ผู้พัฒนาแอพพลิเคชัน(สำคัญๆ)มาลงทะเบี่ยน ว่าใช้พอร์ทเลขนี้ แบบเป็นทางการได้... แต่หลายๆโปรแกรมก็ใช้งานอย่างไม่เป็นทางการครับ ซึ่ง IANA ก็จะพิจารณาว่าไปกระทบกับใครหรือเปล่า ถ้าไม่มีปัญหากับแอพพลิเคชันอื่น ก็แล้วไป (บางคนเรียกพอร์ทข่วงนี้ว่า "พอร์ทโปรแกรม")

- Dynamic Port หรือ Private Port
จริงๆแล้วเป็นส่วนหนึ่งของ Registered Port ครับ(ไม่ได้แยกออกจากกันโดยสิ้นเชิง) โดยเป็นช่วงพอร์ทหมายเลข 49152-65535 ครับ เป็นพอร์ทที่ IANA กำหนดให้"แอดมิน"หรือ"ผู้ใช้" สามารถนำไปใช้งานได้อิสระ เช่น พอร์ทสือสารระหว่างคอมสองเครื่อง, พอร์ทสำหรับใช้ภายในเน็ตเวิร์ค เป็นต้น (ผมเอง เรียกว่า "พอร์ทส่วนตัว")



คราวนี้เราลองมาพิจารณากันดูครับ...
เราจะเห็นว่า พอร์ทหลักๆ ของอินเตอร์เน็ต ที่เราใช้เล่นเว็บทั้งหมด จะอยู่ในช่วง 0-1023 (อาจจะมี 3128 กับ 8080 ที่เกี่ยวข้อง โดยมันเป็นพอร์ทของ Proxy/Cache ซึ่งก็คือพอร์ทของแอพพลิเคนชั้นตัวนึ่ง)... ส่วนพวกแอพพลิเคชันอื่นๆ ไม่ว่าจะเป็นโปรแกรมแซท หรือ เกมOnline พวกมันก็จะไปอยู่ในช่วง 1025-65535 กันหมด(ยกเว้นโปรแกรมนอกคอกอย่าง Bittorrent/Torนะ)

ด้วยเหตุนี้ ถ้าเราต้องการให้บริการเฉพาะ "ให้ใช้เล่นอินเตอร์เน็ตอย่างเดียว" เราก็เปิดFirewallเฉพาะแค่ 0-1023(และ 3128 หากมีProxy) ก็พอแล้ว... นี่จึงเป็นหลักการนำไปประยุกต์Multiwanเพื่อ"แยกสายเน็ต-แยกสายเกม"นั้นเอง โดยแบ่งที่...
- พอร์ท 0-1023 เป็นพอร์ทที่ให้ไปใช้งาน "สายเน็ต"
- พอร์ท1024-65535 เป็นพอร์ทที่ให้ไปใช้งาน "สายเกม"



แล้ว Bittorrent มันจะมาใช้พอร์ท 0-1023 ไหม..???
ผมก็จะตอบว่า Bittorrent ก็มาใช้ด้วยครับ... แต่โดยปกติของโปรแกรม Bittorrent Client ทั้งไป หากเลือกให้โปรแกรมมันสุ่มพอร์ทเอง หลายโปรแกรมจะสุ่มพอร์ทอยู่ในช่วง 49151-65535 ครับ แต่ตัวผู้ใช้เองก็สามารถกำหนดระบุ เลขPortของ Bittorrent Client ที่ต้องการเองได้ครับ (ซึ่งผู้ใช้บางคนก็อาจลักไก่ ตั้งเลขPortอยู่ในช่วง 0-1023 เพื่อหลบFirewallก็มี)
ฉะนั้นการบล็อกบิตด้วยการปิดพอร์ท ก็ยังต้องปิดพอร์ทที่ไม่จำเป็นให้หมดอยู่ดี (หมายถึง เปิดใช้ 0-1023 เพียงบางพอร์ท ที่จำเป็น)

ชวมมาดูผมโหลดหนังโป๊กันครับ..!! อิๆ...

รูปนี้.. ผมได้ปิดบล็อกพอร์ท 1024-65535 ลงแล้ว โดยเปิดเฉพาะ 1-1023 ซึ่งBittorrentก็ไม่สามารถใช้งานได้(อยู่พักนึง)
แต่แล้ว..รออยู่สัก30นาทีผ่านไป ไอหมอนี่ก็โผล่ขึ้นมา.!!! ด้วยพอร์ทเลข 113 (ซึ่งเป็นพอร์ทของ Authentication Service)
ฉะนั้นแค่การปิดพอร์ท 1024-65535 จึงไม่เพียงพอที่จะบล็อกบิตด้วยการปิดพอร์ทครับ

แสดงว่าต้องบล๊อกระดับ L7 หรือใช้พวกสคริปสถานเดียวใช่มั้ยครับ แล้วบน pfsense เนี่ยพวกสคริปเราเอาไปยัดที่ไหนบ้างครับ

เรียนตามตรง ผมใช้ L7 ไม่ได้ผล(เหมือนL7ไม่ทำงาน หรือผมใช้ไม่เป็นหรือเปล่าก็ไม่รู้) ตอนนี้ผมก็ไม่หวังอะไรกับ L7
ส่วน Traffic Shaper นั้นใช้ได้ผลครับ(รู้สึกได้ผลนิดนึง)

สรุป.. ทั้ง L7 กับ Traffic Shaper ผมไม่ไช้ทั้งคู่ครับ เพราะได้ผลดีขึ้นน้อยถึงน้อยมาก เปลืองแรม/เปลืองCPU เปล่าๆ

ถ้าท่านใดใช้ L7 ใน pfSense 2.0 ได้ผลก็สอนผมด้วยนะ

ส่วนเรื่อง Script ไม่มีในสารระบบของ pfSense 2.0 ครับ ถ้าจะมีก็คือshคอนฟิกอะไรบ่างอย่าง แต่ก็ไม่เคยเห็นเป็นจริงเป็นจังนะครับ เพราะ GUI ของ pfSense 2.0 มันครอบคลุมมากๆ (ต่างจากGUIของพวกLinuxที่ไม่ครอบคลุมเท่า เลยต้องใช้ทางลัดเป็น Script เพื่อไปเซตคอนฟิก)

ผมเห็น pfsense มีScriptแค่อย่างเดียวเองนะ คือ Wizard ของ Traffic Shaper นั้นล่ะ


เรื่องบล็อกบิต ผมจะใช้ ปิดPort แล้วก็ใช้ SquidGuard บล็อกURL/Passkey... ซึ่งมันก็จะ 98-99% ขึ้นไปครับ(ถือว่าผมยอมรับได้แล้วว่าสำเร็จ... ถ้ามันยังโหลดได้ มันต้องไม่ไช่คนธรรมดาแล้วล่ะ อย่าไปยุ่งกับมัน เดี๊ยวโพสรูปมือวางระเบิดใส่ร้ายเรา แล้วจะยุ่ง อิๆ)

ขอบคุณครับ ผมไม่กะว่าจะบล๊อกขาดนะครับ แต่กะจำกัดให้โหลดได้แค่คนละ 50k อะไรประมาณนั้น

ทุกวันนี้ใช้ Traffic Shaper ก็พอจะเอาอยู่แต่หลักการของมันเนี่ยคือมันจำกัดทั้งระบบเลยรึเปล่าครับ

หรือว่า pfSense 2.0 ไม่ต้องทำ failover.. ???

เรื่องนี้ผมสงสัยมานานแล้วครับ

เพราะหลายๆกรณีผมพบว่าเราตั้ง Rule ใน LAN แค่เลือก Gateway เฉพาะ Loadbalance อย่างเดียวก็พอ ซึ่งมันก็จะทำงานเป็น Loadbalance ในภาวะปกติ... แล้วหากมีปัญหาWANสายใดสายหนึงล่ม มันก็เลือกใช้งานสายที่เหลือเอง(โดยต้องข้ามกฎไปใช้failover) ซึ่งหลายครั้งผมก็ตั้งRuleแค่ตัวเดียวครับ(ไม่ทำfailover) แต่พอจะให้เขียนคอนเฟิร์มว่าเราต้องทำFailoverไหม..ผมรู้สึกไม่มั่นใจครับ (ก็เลยเขียนให้ทำ ดีกว่าเขียนให้ไม่ทำ)

ผมเลยอยากขอความกรุณาท่านสมาชิก ช่วยทดลอง สร้าง Rule แค่ข้อเดียวคือ Loadbalance โดยไม่ต้องสร้าง Rule ของ Failover... แล้วลองทดลองดึงสายแลน(ให้แวนล่มทีละสายดูซิครับ) เพื่อทดลองว่า "จริงๆแล้ว เราไม่ต้อง Rule - failover" !!?

ให้ลองสร้างแบบนี้

ลบRuleเก่าออกให้หมด (หรือdisableให้หมด).. แล้วสร้างRuleแค่บันทัดเดียว เป็น Loadbalance ตามรูป


ข้างในของ Rule ข้อนี่ก็คือ ตามรูปนี้ครับ (Rule ของ Loadbalance ธรรมดา)


เสร็จแล้ว ลองถอดสายWANสักเส้น ดูซิว่า pfSense จะรู้แล้วสลับสายอัตโนมัติเองไม๊.?



* ผมทดลองแล้ว ที่เครื่องผม 2 เครื่อง (ทั้งบนVM และ Server จริง) pfSense 2.0 สามารถสลับเองได้ (เราไม่ต้องทำRule failover ให้มัน)


ท่านอื่นๆ ได้ผลเป็นอย่างไงครับ

ถ้าไม่กำหนด failover แล้วถ้า มีเน็ต 3 เส้น เวลาเกิด เส้น 1 fail เส้นที่เหลือ 2,3 จะยัง load balance เหมือนเดิมไหมครับ?

คุณช่วยผมเทส 2สาย แล้วfail1สาย ให้ผมก่อนซิ อิๆ... (ถ้าสองสายแล้วล่ม1 มันสลับได้ ผมก็ว่า 3-4สาย ล่ม1/ล่ม2 มันก็ควรจะได้ด้วย) ก็ประหลาดใจดีว่าระบบGroup Gatewayมันฉลาดดี

ตอนนี้มีเน็ตแค่ 2 เส้นเท่าคุณดอกไม้เลยครับ T.T ผมแค่สงสัยเฉยๆครับ

แล้วได้ผลเป็นอย่างไงครับ ถ้ามี Rule Loadbalance ตัวเดียว แล้วมันล่มหรือเปล่าครับ