ท้ายสุดกับ Endian Firewall 2.2 RC2 Load Balance

ส่งท้ายแล้วนะครับ กับ Endian Firewall 2.2 RC2 ก็สรุปว่าใช้งานได้จริง โดยที่เราต้องเพิ่ม routing เข้าไปเอง เพราะความสามารถเดิมของ Endian แค่ Backup Link ซึ่งกันและกัน และจะใช้งานอยู่เพียงลิงค์เดียว จะใช้งานอีกลิงค์หนึ่งก็ต่อเมื่ออีกลิงค์หนึ่งดาวน์ลง

สรุปปัญหาจากการเพิ่ม Routing เข้าไปเองนั้น

1. เมื่อเราเข้าไปเปลี่ยนแปลงคอนฟิก Endian ผ่านหน้าเวบ
2. เมื่อถึงเวลาที่ Crontab บางอย่างทำงาน
3. เมื่ออัพลิงค์เส้นในเส้นหนึ่งดาวน์ลง

ก็จะทำให้เปลี่ยน routing กลับมาเป็นแบบเดิม นั่นก็คือกลับมาวิ่งเส้นเดียวไม่ Load Balance

วิธีแก้ปัญหา

วิธีแรกรัน Script เองเมื่อเห็นว่า routing ไม่ load balance อันนี้ไม่ดีแน่ใครจะมานั่งเฝ้าอยู่ใช่มั๊ยครับ

วิธีที่ 2 เอาคำสั่งที่เป็น routing load balance ให้ทำงานด้วย crontab ตามเวลาที่เรากำหนด โดยไปแก้ไฟล์

/etc/crontab

โดยเพิ่ม

*/15 * * * * /var/efw/inithooks/start.local ให้รัน script load balance ทุก 15 นาที หรือ

*/30 * * * * /var/efw/inithooks/start.local ให้รัน script load balanceทุก 30 นาที หรือ

00 * * * * /var/efw/inithooks/start.local ให้รัน script load balance ทุก ชั่วโมง

เลือกเอาเองนะครับแล้วแต่ความเหมาะสม

แล้วรีบูทเครื่อง เพราะผมหาวิธีการ restart crontab ของ Endian ไม่เจอวิธีการนี้สามารถแก้ปัญหา การกลับไปใช้ routing เดิม ที่ไม่ load balance ได้ แต่ยังกังวลอยู่ว่าเมื่อ uplink เส้นหนึ่งเส้นใดดาวน์ลง มันจะมีปัญหาหรือเปล่า (ยังไม่ได้ลอง)

ตัวอย่าง routing ที่ยังไม่ load balance

root@efw:~ # ip route show 192.168.3.0/24 dev br2 proto kernel scope link src 192.168.3.254 192.168.2.0/24 dev br0 proto kernel scope link src 192.168.2.254 192.168.1.0/24 dev eth1 proto kernel scope link src 192.168.1.254 192.168.0.0/24 dev eth3 proto kernel scope link src 192.168.0.254 default via 192.168.1.1 dev eth1

ตัวอย่าง routing ที load balance แล้ว

root@efw:~ # ip route show 192.168.3.0/24 dev br2 proto kernel scope link src 192.168.3.254 192.168.2.0/24 dev br0 proto kernel scope link src 192.168.2.254 192.168.1.0/24 dev eth1 proto kernel scope link src 192.168.1.254 192.168.0.0/24 dev eth3 proto kernel scope link src 192.168.0.254 default equalize nexthop via 192.168.1.1 dev eth1 weight 1 nexthop via 192.168.0.1 dev eth3 weight 1

จากการทดลองนี้ สรุปได้ว่า ประหยัดเงินค่าอปกรณ์ load balance ได้ สำหรับองค์กรที่ไม่ใหญ่โต ผมเอง ไม่เคยใช้อุปกรณ์ load balance เลยไม่รู้คุณสมบัติพิเศษอื่นๆ ของมัน ที่คิดว่าน่าจะมีอะไรดีกว่าสิงที่ผมทำ แต่สุดท้าย อะไรประหยัดได้ก็ประหยัดเถอะครับ ช่วยชาติหน่อยครับ

ที่มา : http://linux.sothorn.org

วิธีป้องกัน SSH Brute Force บน Endian Firewall

case "$1" in start) iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 600 --hitcount 2 -j DROP ## add your 'start' rules here ;; stop) ## add your 'stop' rules here ;; reload) ## add your 'reload' rules here ;; *) echo "Usage: $0 {start|reload|stop}" esac ********************* reboot endian firewall ใหม่ mrt2514 บ.ไอทีทริปเปิลพลัส จก.

at 2:44 AM 0 comments Links to this post

Scheduler Shutdon Endian firewall at 17.40 AM

ลูกค้า ผู้มีอุปการะคุณได้กรุณาคอมเมนต์ Endian Firewall อยากให้ปิดเองช่วงเวลา ห้าโมงสี่สิบนาที ซึ่งเป็นเวลาที่ office ปิดแล้ว จะได้ช่วยชาติประหยัดไฟ ประหยัดแอร์ ที่สำคัญประหยัดงบซ่อมบำรุงตัว endian ที่จะไปก่อนเวลาอันสมควรด้วยความร้อนแรงของอุณหภูมิในบ้านเราด้วย

at 4:26 AM 0 comments Links to this post

How to add custom cron jobs

Endian Firewall provides a couple of hook directories where you can put your scripts which should run as custom cron job. The cron process will start each script which resides within the respective hook directory. Cron Job Scripts Your custom cron job scripts will not be altered by Endian Firewall scripts or the upgrade process. The scripts need to be: executable (chmod 700) should exit with errorcode 0 must not contain a dot within the filename must end within a measurable time, otherwise put the process in background or it will delay all other jobs. Cron Hooks The directories beginning with cron will be started at a precisely configured time. The following presets will be provided as hooks: /etc/cron.cyclic/ Will start every 5 minutes (i.e: 2:05, 3:10, 3:15) /etc/cron.minutely/ Will start every minute (i,e: 2:01, 2:02, 3:30) /etc/cron.hourly/ Will start every hour, one minute after full hour (i.e: 2:01, 3:01, 4:01). /etc/cron.daily/ Will start every day at 1:25am. /etc/cron.weekly/ Will start every week at Sunday 2:47am. /etc/cron.monthly/ Will start every month at 3:52am of the first day of the month. Directories beginning with anacron provide defined periodical time terms which start measurement from when the fcron process has been started. This can be used when you don't want to have a job run at a precisely specified time, but at random time terms with well defined intervals. The following hooks will be provided: /etc/anacron.cyclic/ (every 5 minutes) /etc/anacron.hourly/ (ever hour) /etc/anacron.daily/ (every day) /etc/anacron.weekly/ (every week) /etc/anacron.monthly (every month) http://kb.endian.com/entry/43/

at 1:45 AM 0 comments Links to this post

การบริหารชื่อผู้ใช้งาน 2

2. การเซ็ตค่า proxy ที่เบราเซอร์ ตัวอย่าง Endian firewall IP: 192.168.0.15 Port: 8080 2.1 IE ( Internet Explore ) Tools -> Internet Options -> Connections -> LAN Settings -> Proxy server ระบุหมายเลขไอพี และพอร์ต ตามตัวอย่าง 2.2 Mozilla Firefox ภาษาไทย เครื่องมือ -> ตัวเลือก -> ขั้นสูง -> เครือข่าย -> การเชื่อมต่อ -> ตั้งค่า -> ค่าพร๊อกซี่ตั้งเอง 3. สุดท้ายสร้าง Shortcut สำหรับเปลี่ยนพาสเวิร์ด เพื่อให้ผู้ใช้งานเปลี่ยนพาสเวิร์ดเข้าอินเทอร์เน็ตได้ด้วยตนเอง 3.1 คลิกขวาที่พื้นที่ว่าง Desktop ของวินโดวส์เลือก Create -> Shortcut 3.2 สร้างลิงค์ไฟล์ https://192.168.0.15:10443/cgi-bin/chpasswd.cgi 3.3 การใช้งานผู้ใช้งานดับเบิลคลิกช๊อตคัดเข้าไปเปลี่ยนพาสเวิร์ดได้ด้วยตนเอง

การบริหารชื่อผู้ใช้งาน

ข้อมูล จราจรส่วนหนึ่งที่สำคัญคือข้อมูลที่ระบุชื่อผู้ใช้ ใน endian firewall เราใช้การระบุชื่อผู้ใช้ในขั้นตอนเข้าใช้ internet เมื่อผู้ใช้งานเปิดโปรแกรมเบราเซอร์ขึ้นมาจะปรากฏหน้าต่างให้ใส่ชื่อและพาส เวิร์ด (ดังภาพข้างบน) หากใส่ไม่ถูกต้องก็ไม่สามารถเข้าใช้เว็บนั้นๆได้ การ manage ผู้ใช้งานนั้นเป็นหน้าที่ของ Endian Admin ประกอบด้วยภาระงาน 1. login ด้วยชื่อ admin และพาสเวิร์ดที่เป็นความลับ 2. การเพิ่มชื่อผู้ใช้คนใหม่ และการตั้งพาสเวิร์ดเบื้องต้น การลบชื่อผู้ใช้ออกไปแล้ว เป็นต้น 3. ตั้งค่าเบราเซอร์ให้มีพร๊อกซี่และพอร์ตชี้มาที่ endian firewall server 4. ทดสอบใช้เบราเซอร์ มีหน้าต่างวินโดวส์ปรากฏให้กรอกชื่อหรือไม่ 5. สร้างช๊อตคัดให้ผู้ใช้เปลี่ยนพาสเวิร์ดได้เองบนเดสท๊อป 1 เช็คค่าคอนฟิกของ proxy ประกอบด้วยค่าต่อไปนี้ 1.1 Proxy -> Configuration -> GREEN authentication required 1.2 Proxy -> Authentication -> Authentication Type เป็น Local 1.3 คลิกที่ User management จะนำท่านไปสู่หน้าจอสำหรับการบริหารชื่อผู้ใช้งาน ในหน้าต่างนี้แบ่งเป็นสามคอลัมน์คือ Username/Group membership/Action กรณีต้องการเปลี่ยนแปลงชื่อหรือพาสเวิร์ดของ user ที่มีอยู่แล้วให้คลิกรูปดินสอที่คอลัมน์ Action และเปลี่ยนแปลงค่าต่าง ๆ ตามต้องการ กรณีลบชื่อให้คลิกรูปถังขยะ กรณีเพิ่มชื่อคนใหม่ให้คลิกที่ +Add User และตั้งชื่อตามที่ต้องการ เมื่อตั้งพาสเวิร์ดเสร็จแล้วอย่าลืมกด add user นะครับ ถ้าเลือก Cancel ชื่อนั้นจะไม่ปรากฏในไฟล์ฐานข้อมูล สาระสำคัญเกี่ยวกับการใช้ชื่อเพื่อพิสูจน์ตัวตนในการใช้อิเทอร์เน็ต 1. ชื่อ ควรเป็นชื่อจริง ๆ ไม่ควรเป็นชื่อตั้งเองที่ไม่สื่อความหมาย 2. ชื่อจะใช้ได้เพียงครั้งละหนึ่งเครื่องหากมีการใช้ชื่อค้างที่คอมพิวเตอร์ เครื่องหนึ่งแล้ว ไม่สามารถใช้ชื่อนั้นที่คอมพิวเตอร์เครื่องอื่นได้อีก เพื่อให้เจ้าของชื่อได้ทราบว่ามีผู้ใช้อื่นแอบใช้ชื่อเราอยู่หรือไม่

at 5:43 AM 0 comments Links to this post

การบริหารชื่อผู้ใช้งาน 1

ข้อมูล จราจรส่วนหนึ่งที่สำคัญคือข้อมูลที่ระบุชื่อผู้ใช้ ใน endian firewall เราใช้การระบุชื่อผู้ใช้ในขั้นตอนเข้าใช้ internet เมื่อผู้ใช้งานเปิดโปรแกรมเบราเซอร์ขึ้นมาจะปรากฏหน้าต่างให้ใส่ชื่อและพาส เวิร์ด (ดังภาพข้างบน) หากใส่ไม่ถูกต้องก็ไม่สามารถเข้าใช้เว็บนั้นๆได้ การ manage ผู้ใช้งานนั้นเป็นหน้าที่ของ Endian Admin ประกอบด้วยภาระงาน 1. login ด้วยชื่อ admin และพาสเวิร์ดที่เป็นความลับ 2. การเพิ่มชื่อผู้ใช้คนใหม่ และการตั้งพาสเวิร์ดเบื้องต้น การลบชื่อผู้ใช้ออกไปแล้ว เป็นต้น 3. ตั้งค่าเบราเซอร์ให้มีพร๊อกซี่และพอร์ตชี้มาที่ endian firewall server 4. ทดสอบใช้เบราเซอร์ มีหน้าต่างวินโดวส์ปรากฏให้กรอกชื่อหรือไม่ 5. สร้างช๊อตคัดให้ผู้ใช้เปลี่ยนพาสเวิร์ดได้เองบนเดสท๊อป 1 เช็คค่าคอนฟิกของ proxy ประกอบด้วยค่าต่อไปนี้ 1.1 Proxy -> Configuration -> GREEN authentication required 1.2 Proxy -> Authentication -> Authentication Type เป็น Local 1.3 คลิกที่ User management จะนำท่านไปสู่หน้าจอสำหรับการบริหารชื่อผู้ใช้งาน ในหน้าต่างนี้แบ่งเป็นสามคอลัมน์คือ Username/Group membership/Action กรณีต้องการเปลี่ยนแปลงชื่อหรือพาสเวิร์ดของ user ที่มีอยู่แล้วให้คลิกรูปดินสอที่คอลัมน์ Action และเปลี่ยนแปลงค่าต่าง ๆ ตามต้องการ กรณีลบชื่อให้คลิกรูปถังขยะ กรณีเพิ่มชื่อคนใหม่ให้คลิกที่ +Add User และตั้งชื่อตามที่ต้องการ เมื่อตั้งพาสเวิร์ดเสร็จแล้วอย่าลืมกด add user นะครับ ถ้าเลือก Cancel ชื่อนั้นจะไม่ปรากฏในไฟล์ฐานข้อมูล สาระสำคัญเกี่ยวกับการใช้ชื่อเพื่อพิสูจน์ตัวตนในการใช้อิเทอร์เน็ต 1. ชื่อ ควรเป็นชื่อจริง ๆ ไม่ควรเป็นชื่อตั้งเองที่ไม่สื่อความหมาย 2. ชื่อจะใช้ได้เพียงครั้งละหนึ่งเครื่องหากมีการใช้ชื่อค้างที่คอมพิวเตอร์ เครื่องหนึ่งแล้ว ไม่สามารถใช้ชื่อนั้นที่คอมพิวเตอร์เครื่องอื่นได้อีก เพื่อให้เจ้าของชื่อได้ทราบว่ามีผู้ใช้อื่นแอบใช้ชื่อเราอยู่หรือไม่

at 5:43 AM

กำหนดด้วย acl url_regex + http_access allow ใน squid

ผมใช้ centos 4.5 ติดตั้ง squid ผมต้องการ block web ทั้งหมดก่อน block_web.conf และเปิดเฉพาะบาง web unblock_web.conf ผมต้องเขียน acl ยังไงบ้างคับ พอมีตัวอย่างให้ดูไหมคับ ============================================================== และ squid สามารถกรอง web ด้วย key word ได้ไหม เช่น ถ้ามีคำว่า game หรือ torrent ก็ไม่ให้เข้าเลย ผมใช้แบบนี้ครับ แก้ไฟล์ squid.conf แล้ว เพิ่มคำสั่งแบบนี้ครับ

โค๊ด: Select | Copy

acl badword url_regex "/etc/squid/bad-word.acl"
http_access deny badword

จากนั้นผมสร้างไฟล์ชื่อ bad-word.acl ไว้ที่ /etc/squid/ ครับ ในไฟล์ให้เราใส่ word ลงไป 1 word ต่อ 1 บรรทัดครับ ตัวอย่างแบบนี้ครับ จากนั้น restart หรือ reload squid ใหม่ครับ แล้วทดสอบลองค้นหาใน google ได้เลย ปล. การ block พวก บิตผมใช้ 2 คำครับ passkey กับ announce เพราะว่าเวลา ตัว client มันจะ รับ-ส่งข้อมูลกับ server มันจะต้องใช้ passkey ด้วยครับ ฉะนั้น ง่ายๆ block มันซะเท่านั้น โหลดไฟล์ .torrent มาได้แต่โหลดไฟล์ไม่ได้

Control การใช้ Internet แบบไม่หมูของ Endian Firewall Community

บริษัทแห่งหนึ่งได้กำหนด policy การใช้อินเทอร์สำหรับบริษัทไว้ข้อหนึ่งคือ "อนุญาตให้ใช้อินเทอร์เน็ตได้เพียงสิบเครื่อง และภายในสิบเครื่องนั้นใช้อินเทอร์เน็ตได้เฉพาะ gmail และ yahoo เท่านั้น" งานนี้คงไม่ใช่เรื่องง่ายๆสำหรับ endian communuty แต่ด้วยความสามารถของ filter ในระบบ group ของ dansguardian เรามาลอง implement ตาม policy นี้ดู สำหรับองค์กรนี้บริษัทไอทีทริปเปิลพลัสได้ตั้ง endian commnuity มาเกือบปีแล้วและเซ็ตตาม concept ดังนี้ 1. ใช้ e-mail แบบ pop3 ได้ทุกเครื่องโดยผ่านโปรแกรม Outlook 2. กำหนดให้ใช้ www ได้ 10 เครื่องจากคอมพิวเตอร์ทั้งหมด 40 เครื่อง 3. มีการ block เว็บต่าง ๆ ตามสมควร ความต้องการเพิ่มเติมคือ "จำนวน 10 เครื่องที่ใช้ www ได้นั้นอนุญาติให้ใช้เฉพาะ gmail และ yahoo เท่านั้น" ก็ต้องบันทึกไว้เป็นการบ้านให้ Admin Endian ทั้งหลายไปช่วยคิดหล่ะครับ... คนที่คิดไว้แล้ว : 1. กำหนดด้วย acl url_regex + http_access allow ใน squid การ กำหนดด้วย acl เช่นนี้จะส่งผลต่อผู้ใช้งานทุกคน คนที่อนุญาตให้ใช้ได้ทุกเว็บก็จะโดนบล๊อกไปด้วย squid เปรียบเหมือนด่านเข้าออก เมื่ออนุญาติให้ออกได้เพียงสองทางคนอื่นๆแม้จะเป็นผู้มีอำนาจขนาดไหนก็ ต้องออกที่สองทางนี้เท่านั้น??? ข้อมูลเพิ่มเติม Setting Up 'Multiple Filter Groups'

at 8:36 PM 1 comments Links to this post

Set Endian Firewall กับ ADSL Modem HUAWEI

Set Endian Firewall กับ ADSL Modem HUAWEI ปัจจุบัน บริษัทต่าง ๆ ใช้อินเทอร์เน็ตของทรูแบบ home user กันมากเนื่องจากราคาต่อความเร็ว ถูกกว่าแบบ sme ซึ่งเมื่อสมัครในแพกเกจแบบ home user แล้วจะได้รับ ADSL Modem มาด้วย 1 ตัวสมัยก่อนจะเป็น ADSL ของ ZyXEL ส่วนปัจจุบันจะเป็น HUAWEI ซึ่งการเซ็ตในวินโดวส์ให้ใส่ username และ password แบบ PPPoE สำหรับตัว Endian Firewall การเซ็ตค่าแบบ PPoE ทำได้ง่าย ๆ ไม่ยุ่งยาก เช่นเดียวกับการเซ็ตในแบบ bridge ของ ZyXEL โดยมีขั้นตอนดังนี้ 1. การเชื่อมต่อสาย -- ต่อสายโทรศัพท์เข้าช่อง ADSL ให้เรียบร้อย --- ต่อสาย Lan จาก HUAWEI เข้ากับแลนการ์ดที่เป็น RED ---- ฝั่ง Green ใช้ hub ในการเชื่อมต่อ และคอมพิวเตอร์มองเห็น IP ของ Green แล้ว (ค่าดีฟอล์เป็น 192.168.0.15) 2. login เข้า endian firewall -- หากเป็นการติดตั้ง endian firewall ครั้งแรก จะเข้าสู่หน้าจอ Welcome to Endian Firewall ต่อด้วยหน้าจอเลือกภาษา + TimeZone และ ACCEPT License จากนั้นจะเป็นการเข้าสู่การเซ็ตอัพ network โดยขั้นแรกจะเลือก lan ของฝั่ง Green ก่อน -- หากเป็นการแก้ไข Endian ที่ติดตั้งอยู่แล้วหน้าแรกเลือก Network Configuration จากเมนู System ---- Step 1/7: Choose type of RED interface -> เลือกเป็น PPPoE ----- Step 4/7: Internet access preferences ------- Substep 1/1: supply connection information -------- Username : < ใส่ username@truehisp > -------- Password : < ใส่พาสเวิร์ดที่ได้จาก true > -------- DNS : เลือกเป็น Auto และ next ต่อไปได้จนจนการ setup พิจารณาดู System Status จะเป็น PPPoE การ เซ็ตแบบ PPPoE นี้มีประโยชน์มากที่ตัว Endian Firewall จะทำหน้าที่เป็น Gateway ของระบบโดยตรง การเซ็ตค่า VPN และ Firewall ต่าง ๆจะทำได้ง่ายขึ้น กว่าการเซ็ตให้ Endian Firewall เป็น firewall ที่อยู่หลัง Gateway อีกต่อหนึ่ง....

at 1:11 AM 0 comments Links to this post

Change New Hardware Endian Firewall เมื่อถึงคราวย้ายบ้านของ endian

เมื่อถึงคราวต้องเปลี่ยนเครื่องคอมพิวเตอร์ใหม่ให้กับ endian firewall ขององค์กรที่ใช้งานมานาน หรือต้อง setup ใหม่ก็ตาม การจะกำหนดค่าต่าง ๆของ endian firewall ให้เหมือนกับต้นฉบับนั้นคงทำได้ยากทั้งเรื่องการ config การกำหนดusername / password และ อีกทั้งจะให้เก็บ log อย่างต่อเนื่อง เป็นต้น endian เองได้ออกแบบระบบ backup ที่ใช้งานง่ายและสะดวกต่อการย้ายระบบใหม่ ดังตัวอย่างที่ผู้เขียนได้ setup endian ขึ้นมาใหม่และใช้ backup จาก endian เดิมมาใช้ ผลสรุปอะไรจะมาบ้าง อะไรบ้างที่จะไม่มาช่วงท้าย ๆ จะเล่าให้ฟัง ตอนนี้เรามาเริ่ม backup endian ตัวเดิมตามขั้นตอน ดังนี้ 1. login เข้าสู่ http://endian_ip/ จากคอมพิวเตอร์ที่เราจะ save ไฟล์ backup มาเก็บไว้ 2. ที่เมนู System -> เลือก Backup จะทำเราไปสู่หน้าจอถัดไปให้เลือก create backup ในหัวข้อ Create new Backup ให้เลือก Current configuration: -- > จะเก็บ /var/efw ทั้งหมด ซึ่งไดเรกทอรีนี้เป็น configuration ทั้งหมดที่เรา set ใน endian Include database dumps Include log files ---> จะเก็บ /var/log Include log archives ---> log ที่เป็น .tar จะถูก backup ด้วย ซึ่งไฟล์เหล่านี้จะถูกเรียกใช้เพื่อดู log ย้อนหลังใน GUI LOG ให้คลิกปุ่ม Create Backup จะใช้เวลานานหรือสั้นนั้นขึ้นอยู่กับ log ที่เราเก็บว่ามีขนาดเยอะหรือไม่ ของผู้เขียนใช้มานานขนาดของไฟล์ backup ก็หลายร้อยเมกะไบต์ หลังจาก backup เสร็จแล้วให้คลิกปุ่ม save เพื่อจะ download มาเก็บไว้ที่เครื่องของเราต่อไป 3. ติดตั้ง endian firewall บนคอมพิวเตอร์เครื่องใหม่ กำหนดหมายเลขไอพีให้กับ Green เพื่อเราจะได้เข้า endian ได้ เมื่อ ติดตั้งเสร็จแล้วและสามารถเข้า endian ได้แล้ว จะพบกับหน้าจอ Welcome to endian -> เลือกภาษา -> ยอมรับเงื่อไข -> จากนั้น endian จะถามว่า Do you want to restore a backup? ให้เลือก Yes และเลือกไฟล์ backup ที่เรา download มาไว้เก็บไว้ในคอมพิวเตอร์โดยเลือกจาก Browse จาก นั้น endian จะทำการคอนฟิกระบบเอง เมื่อเสร็จแล้วจะ reboot เองอัตโนมัติ เมื่อได้บูตใหม่แล้วจะเป็นค่าจากการ backup อัตโนมัติ ทั้งค่า Green และ Red รวมทั้งการคอนฟิก serverice อืน ๆ ด้วย สำหรับปัญหาที่จะใช้ไม่ได้จากการ restore คือ Group Policy ใน Proxy จะเกิดหน้าจอว่าง ๆ ใช้ไม่ได้ วิธีแก้ปัญหาให้ศึกษาจากหัวข้อ "ปัญหา Authenticated ของ Proxy ไม่โชว์ " ในเว็บเดียวกันนี้ ซึ่ง ใช้ย่นระยะเวลาการติดตั้ง endian firewall ใหม่ไปได้มากทีเดียว หากไม่มีระบบ backup แบบนี้คงต้องไปถาม ชื่อ user และ password ใหม่ หากมีหลายร้อนคนคงไม่สนุกแน่ และดูไม่เป็น admin มืออาชีพเอาซะด้วย ....

at 3:47 AM 0 comments Links to this post

IP Camera and Endian Firewall

พี่ชายท่านหนึ่งใช้คอมพิวเตอร์ที่บ้านสามารถเห็นคลังสินค้าผ่านอินเทอร์เน็ต โดยใช้กล้องวงจรปิดได้ แต่พอมาเปิดที่ออฟฟิต กลับเข้าไม่ได้ ซึ่งคอมพิวเตอร์ที่ใช้ก็เป็นเครื่องเดียวกัน โปรแกรมเดียวกัน จึงมีคำถามว่า "เกิดจาก endian firewall" ที่ติดตั้งอยู่หรือไม่ คราวนี้ endian firewall เป็นผู้น่าสงสัยที่สุด และก็ควรจะเป็นเช่นนั้น เนื่องจากการเข้าสู่ระบบของกล้องจะต้องระบุพอร์ตด้วย (มีธงคำตอบอยู่ในใจแล้ว) เหลือแต่ปฏิบัติตามธงนั้น... คำศัพท์ที่เราไปถามท่านอาจารย์ google คือคำยาว ๆ ด้านล่างนี้ คำตอบที่ได้ไม่เข้าประเด็นที่จะแก้ได้... HtmlAnvView:D7B039C1-5929-49B3-913E-EB62C8866FC4 นี่คือหน้าตาของเว็บ CCTV ปลายทางเมื่อดูผ่านเน็ต ซึ่งจะต้องทำการคอนเน็กเข้าไปด้วย username และ password ให้ได้เสียก่อน หลัง จากที่คุยกับบริษัทผู้ติดตั้งอยู่นานได้คำตอบเดียวคือ "ติดอยู่ที่ firewall ของพี่นั่นแหละ" เกือบยี่สิบครั้ง แต่ไม่ได้บอกว่าให้เปิดพอร์ตไหนได้บ้าง?? ไม่เป็นไร hacking ดูพอร์ตเองก็ได้ ด้วยวิธีการง่าย ๆ สมมติว่าคอมพิวเตอร์เครื่องที่ต้องใช้ CCTV นี้หมายเลขไอพีคือ 192.168.0.2 ก็เข้าไปที่ console ของ endian firewall ด้วย putty และใช้คำสั่งดังนี้ tail -f /var/log/firewall | grep 192.168.0.2 ลอง สังเกตุไปเรื่อย ๆ พบว่ามัน DROP DST:6802 หลายบรรทัด เข้าเค้าแฮะ ไปที่ gui ของ endian firewall แล้วทำการเลือกหัวข้อ Firewall ให้เปิด Allow Port : 6802 จากนั้นลองเข้าดูอีกครั้งหนึ่ง .... นั่นประไรหล่ะ connected ได้แล้ว สิ่ง ที่เป็นสาระสำหรับบทบความนี้คือ "การอนุญาติให้คอมพิวเตอร์ใด ๆ ด้านหลังของ endian firewall ผ่านเข้าไปยังอุปกรณ์ปลายทางที่เปิดพอร์ตเฉพาะไว้ จะต้องเปิดพอร์ตหมายเลขเดียวกันนั้นที่ outgoing ของ endian firewall ด้วย"

at 7:38 AM 0 comments Links to this post