firewall – iT Blog

แลกเปลี่ยนกับเพื่อนเรื่องการวาด network diagram

1 ธ.ค.57 มีเพื่อนบอกว่าอยากวาด network diagram สวย ๆ

และโปรแกรมเก่าที่เคยใช้อย่าง Visio ก็ไม่อยากใช้แล้ว

ผมเสนอว่า Smartdraw ก็น่าสนใจ ใคร ๆ ที่เพื่อนเขารู้จักก็ใช้กันอยู่

วันนี้กลับมาลองทดสอบ Trail version พบว่าใช้ได้ 7 วัน

ผมว่าน่าสนใจ เพราะเครื่องที่ผมใช้ติด Deepfreeze

จะกลับมาเหมือนเดิมที่ไม่ได้ติดตั้งอะไร เมื่อ Restart

หากทดสอบโปรแกรม ก็จะติดตั้งกันเป็นครั้งคราวไป

ถ้าลงจริงก็ค่อยหาทางกันใหม่ ผมเลือก template ที่มีมาให้

เป็นแบบ firewall ซึ่งดูแล้วรู้สึกคุ้นเคยดี

ปกติ save จะได้ .sdr แต่เปลี่ยนสกุลเป็น .png ได้

รุ่นทดสอบจะนำไปใช้งานจริงไม่ได้

นอกจากจำกัดเวลาแล้ว ภาพที่ได้ยังติดลายน้ำอีก

—

ถ้าไม่ต้องการให้มีลายน้ำก็ต้อง buy

รุ่น standard ราคา $197

รุ่น Business ราคา $297

รุ่น Enterprise ราคา $497

ได้ที่ http://www.smartdraw.com/buy/inproduct.htm

—

โปรแกรมนี้ถูกแนะนำใน thaiware ด้วยครับ

แต่เป็นลิงค์ download ตัว installer ขนาดไม่กี่แสนจาก smartdraw.com โดยตรง

http://software.thaiware.com/3705-SmartDraw.html

แก้ปัญหาเปิดเว็บหนังสอนภาษาอังกฤษ ในเครือข่ายไม่ได้

เปิด ororo.tv ไม่ได้ เพราะติด max_size ใน squid

เล่าสู่กันฟัง และกันหลงลืมในอนาคต กับปัญหา และการแก้ไขเรื่องเข้าเว็บไม่สำเร็จ
http://www.ororo.tv/en/movies

1. บ่ายวันหนึ่ง อาจารย์ที่สอนภาษาอังกฤษ เชิญไปช่วยดูปัญหา
ว่าทำไมที่ห้องเรียนเปิดคลิ๊ปหนังสอนภาษาอังกฤษจากเว็บไซต์ ororo.tv ไม่ได้
ก่อนหน้านี้เคยเปิดได้ และวันนี้ก็เปิดได้เรื่องเดียว คือ เรื่องมังกร
เว็บไซต์นี้สอนภาษาจริง ๆ เพราะหัวเว็บเขียนว่า
“Learn english by watching tv-shows and movies”
with subtitles and build-in translator
จำได้ว่าวันนี้ผมก็แจ้งไปว่า สงสัยเว็บนี้จะเสีย พรุ่งนี้น่าจะดี เพราะเป็นปัญหาในบางคลิ๊ป

http://ororo.tv/en/movies/how-to-train-your-dragon

2. นำปัญหามาคิดต่อ เพื่อแก้ไข
วันรุ่งขึ้น ผมลองตรวจสอบจากอีกเครื่องหนึ่ง ซึ่งอยู่นอกเครือข่ายห้องสอน
เป็นเครือข่ายห้องทำงาน พบว่าเปิดดูทุกเรื่องใน ororo.tv ได้ปกติ ก็ดีใจ
เพื่อความแน่ใจว่าสิ่งที่เห็นอยู่เป็นอย่างที่เข้าใจ
จึงไปเปิดในห้องเรียน และห้องสอนอีกครั้ง ซึ่งเป็นวงที่แยกออกไปจากห้องทำงาน
พบว่ามีปัญหาแจ้งเรื่อง server กับ network เหมือนเดิม
แสดงว่า firewall น่าจะกำหนดนโบายให้กับห้องเรียน ห้องสอน และห้องทำงานต่างกัน

http://ororo.tv/en/movies/lord-of-the-rings-the-fellowship-of-the-ring

3. ขอความช่วยเหลือจาก คุณตุ้ย เจ้าหน้าที่ไอที
โดยให้ข้อมูล และคาดหมายว่าน่าจะเป็นที่ firewall มีนโยบายอะไรไหม
ที่พอจะเปิดให้ เพื่อให้อาจารย์ได้สอนภาษาอังกฤษผ่านคลิ๊ปได้บ้าง
ก็พบว่า config ใน FortiGate ได้ถูกเปิดหมดแล้ว
นั่งทดสอบอยู่ 2 สัปดาห์กับเจ้าหน้าที่ ๆ ดูแลอุปกรณ์ ก็ไม่พบ
จนนึกได้ว่าไม่นานมานี้ได้เปิดระบบ authentication และตั้งแต่นั้น
ครูผู้สอนภาษาอังกฤษก็เข้า ororo.tv ไม่ได้ ซึ่งได้รับแจ้งว่าเรามี proxy อีกตัว

4. ผลการทดสอบ ปิด ๆ เปิด ๆ proxy ที่ใช้ squid บน redhat
พบว่าถ้าไม่ผ่าน proxy ก็จะเข้า ororo.tv ได้หมด ไม่ว่าเป็นห้องใด
จึงเข้าไปตรวจ /etc/squid/squid.conf
ตรวจเรื่อง port หรือ ip แต่ก็ไม่สามารถเปิดบริการได้ปกติ
แม้อ่าน และทดสอบแก้ไข ไปพร้อมกับการตรวจ /var/log/squid/squid.log
สุดท้ายพบ config เรื่องของการจำกัดขนาดแฟ้ม
จึงเพิ่มขนาดแฟ้มที่จำกัดใน squid.conf ก็พบว่าสามารถเปิดคลิ๊ปได้ปกติ
เพราะแต่ละคลิ๊ปใน ororo.tv ที่เป็นแฟ้ม .webm กับ .mp4 มีขนาดมากกว่า 1GB ทุกแฟ้ม
สรุปว่าแก้ไข config ข้างล่างนี้ ก็เป็นอันแก้ปัญหานี้ได้

reply_body_max_size 500000000 deny doctype
reply_body_max_size 500000000 deny mediatype

5. เลือกไม่กำหนดด้วย IP
ที่ตัดสินใจไม่ได้เพิ่ม ip ของ ororo.tv เข้าไปในนโยบาย
เพราะคลิ๊ปที่เก็บไว้กระจายไปยัง server ต่าง ๆ ไม่แน่นอน
จึงเลือกเพิ่ม max_size แทนจากเดิมให้ต่อแฟ้มไว้ที่ 500MB เป็นมากกว่า 1GB

เรียนรู้การติดตั้ง pfSense

วันนี้ตัดใจซื้อหนังสือ pfSense ของ นพดล สุขศรี (2555)
ราคา 550 บาทที่ se-ed เสรี ลำปาง (ซื้อคูปอง 1000 บาทได้เป็นสมาชิก)
น้ำหนัก 1430 กรัม หรือเกือบโลครึ่ง
เคยสนใจ และหยิบอ่านมาหลายครั้งแล้ว
เห็นเล่มสุดท้ายจึงซื้อมาทดสอบบน virtualbox
เพราะมีเพื่อนเคยสนใจเรื่องนี้ 2 คน
และผมมีเครื่องที่พร้อมลง virtualization แล้ว
เครื่องนี้ LAN 2 Card แล้ว Switch 2 ตัว
จึงคิดว่าการมีหนังสือเล่มนี้น่าจะได้ประโยชน์
หัวข้อที่น่าสนใจตามปกหนังสือ คือ
ไฟร์วอลล์ เกตเวย์ และ VPN
โปรแกรมหามาเขียนลง CD ได้จาก
https://www.pfsense.org/download/
ผมเลือก AMD64 (64-bit)
และ Live CD with Installer
คือ pfSense-LiveCD-2.1.5-RELEASE-amd64.iso.gz 97 MB
เมื่อแตกเป็น pfSense-LiveCD-2.1.5-RELEASE-amd64-20140825-0744.iso
ได้แฟ้มขนาด 223 MB แต่ผมใช้ผ่าน virtualbox
จึงไม่ต้องหา CD หรือ USB มาใช้ ติดตั้งได้เลย

—
ผมติดตั้ง pfSense บน virtualbox ที่อยู่บน deepfreeze
ทำให้ทุกอย่างจะหายไป เมื่อมีการ restart เครื่อง
ครั้งต่อไปจะติดตั้งก็จะปลด deepfreeze ก่อน
แล้วจึงเริ่มต้นติดตั้ง โดยแฟ้ม vdi เก็บไว้นอก drive ที่ freeze
ติดตั้งแล้วก็จะ freeze ใหม่ ป้องกันการ update โปรแกรมทั้งปวง
หากติดตั้งแล้ว และกลับไปใช้ก็จะบันทึกการอัพเดททั้งหมดไว้ได้
เพราะแฟ้ม vdi ไม่อยู่ในพื้นที่ที่ทำการ freeze นั่นเอง

เปิด telnet ให้นักศึกษาเข้า fedora 15

4 ก.ค.54 จัดทำ Fedora Live USB แล้วก็ติดตั้งลงไปใน Harddisk โดยกำหนด Boot Loader เป็น /dev/sda ทำให้ได้ระบบปฏิบัติการตัวที่สองของเครื่อง แล้วเข้าไปแก้ grub.conf ใน /boot/grub เพื่อเปลี่ยน default ของ os ที่บูทเป็น Windows (เผื่อว่าเด็กมาเล่นจะได้เข้าระบบ windows ที่พวกเขาคุ้นเคย) .. เมื่อนำเครื่องไปมหาวิทยาลัยก็ต้องการให้ทุกคนเข้าระบบ Linux ผ่าน Telnet จึงดำเนินการเปิด Port 23 คือ Telnet ดังนี้
#yum install telnet-server เพื่อติดตั้ง telnet
#chkconfig telnet on เพื่อเปิดบริการ telnet เมื่อเปิดเครื่อง
#/etc/init.d/xinetd restart เพื่อเปิดบริการ xinetd
#setup แล้วเพิ่ม tcp:23 เข้าไปใน Firewall ไม่งั้นน.ศ.เข้าไม่ได้
#netstat -na|more ตรวจว่าเปิดพอร์ทรับบริการหรือไม่

#yum install vsftpd เพื่อติดตั้ง ftp server
#chkconfig vsftpd on เพื่อเปิดบริการ vsftpd เมื่อเปิดเครื่อง
#/etc/init.d/vsftpd restart เพื่อเปิดบริการ ftp
#/etc/init.d/xinetd restart เพื่อเปิดบริการ xinetd
#setup แล้วเปิดการอนุญาต ftp ใน firewall
#ftp localhost เพื่อทดสอบการเชื่อมต่อ

#yum install httpd เพื่อติดตั้ง web server
#chkconfig httpd on เพื่อเปิดบริการ httpd เมื่อเปิดเครื่อง
#/etc/init.d/httpd restart เพื่อเปิดบริการ web server
#/etc/init.d/xinetd restart เพื่อเปิดบริการ xinetd
#setup แล้วเปิดการอนุญาต httpd ใน firewall

รายงานที่ทำให้สมาชิกเกิดความตระหนักเรื่องโควตา

26 ก.ย.53 มีเหตุที่ทำให้เพื่อนร่วมงานของผมสามารถบริหาร bandwidth ในองค์กรได้อย่างสมเหตุสมผล ผ่านนโยบายกำหนดโควตารายบุคคล โดยการให้ความรู้ความเข้าใจแก่ผู้ใช้ผ่าน facebook.com ว่า การอยู่อย่างถ้อยทีถ้อยอาศัย ไม่เอารัดเอาเปรียบกันนั้น จะทำให้ทุกคนได้ใช้ทรัพยากรที่มีอยู่อย่างจำกัด โดยยึดหลักเศรษฐกิจพอเพียงได้อย่างไร ด้วยการนำเสนอภาพข้อมูลสถิติการใช้งานที่มีผู้ใช้ใช้งานถึงเพดานที่จำกัดไว้ (โควตา) คือ 500 MB ต่อวัน ถ้าทุกคนเข้าใจ และมีพฤติกรรมการใช้อย่างสมเหตุสมผล เพดานที่กำหนดไว้ก็สามารถขยายออกไปได้ เพราะต่อไปหวังว่าภาพรวมของการใช้งานเครือข่ายจะไม่เต็ม 100% เหมือนที่ผ่านมา ก็หวังว่าทุกคนจะเข้าใจ และไม่มีใครหาวิธีออกนอกลู่นอกทาง เพื่อใช้สิทธิ์ที่ตนพึงมีเกินสิทธิ์ที่ตนพึงมีในแต่ละวัน

ปฏิเสธบริการให้กับเพื่อนต่างชาติ

6 ก.ย.53 พบเพื่อนแปลกหน้าจาก lagos, nigeria เข้าระบบจาก ip 41.203.64.246 และอีกหลายหมายเลขใกล้เคียง ในใจคิดอยู่ว่าจะปิดจาก httpd.conf หรือ iptables สุดท้ายก็เลือก iptables โดยเพิ่ม policy ผ่านแฟ้ม iptables มีขั้นตอนดังนี้
#cd /etc/sysconfig
#vi iptables
แล้วเพิ่ม -A OUTPUT -D 41.0.0.0/8 -j REJECT
จะปฏิเสธทุก ip ที่ขึ้นต้นด้วย 41
#service iptables status
#service iptables restart

รายงานความพยายามหยุดยิงเมลจาก server

14 ส.ค.53 สังเกตอาการครึ่งวันที่ผ่านมา ผลเป็นที่น่าพอใจกรณีหยุดยิงออก คือ 1) ผลการรับ และส่งระหว่าง hotmail.com และ gmail.com ได้ระดับหนึ่ง หลังย้าย smtp ของ webmail กลับมาที่เครื่อง it เพราะพบว่าเครื่อง cat ปฏิเสธให้บริการ อาจเป็นเพราะเรายิงมากไป จนเขากรองไม่ไหวเรื่อง black list (ไว้ว่ากันภาคต่อไป) สรุปว่าการติดต่อกับ gmail มีปัญหาทั้งส่งไม่ออกและรับไม่ได้ ส่วน hotmail พบว่าส่งไปหา hotmail แล้วหายไป แต่รับจาก hotmail ได้ เครื่องบริการรับส่งในเครือข่ายได้ รับจาก hotmail และที่อื่นได้ ยกเว้นที่ gmail เป็นต้น (ปัญหา hotmail กับ gmail มีแนวทางแก้ไข จะว่ากันภาำคต่อไป ถ้าเครื่องเราสะอาดแล้ว ย่อมแก้ไขได้) 2) การแก้ไขอาการส่งอีเมลจากเครื่องบริการเป็น junk ไปหาคนอื่น หรือที่เรียกว่าถูกใช้ยิงเมล ซึ่งเป็นปัญหาที่พยายามแก้มา 2 สัปดาห์หายไปแล้ว เพราะใช้ spamassassin จับ postfix ใน master.cf สำหรับขาใน คือ unix 3) การยิงผ่าน squirrelmail ถูกหยุดได้แล้ว โดยใช้ deny from 41.0.0.0/32 กับ virtual host:ssl พบว่าไม่มีการยิงผ่าน compose.php อีก ใช้วิธีการ block ผ่าน apache แทนการ upgrade application 4) สรุปว่าอาจเป็นการพักรบ .. จึงต้อง monitor กันต่อไป ว่า log ตัวใดจะแสดงอาการผิดปกติให้เห็นอีก เพราะที่สังเกตพบ ได้มาจาก maillog และ access_log และ ps -aux และ /var/mail เป็นหลัก
+ http://www.thaiall.com/isinthai