BMS-HOSxP Community
HOSxP => Networking => ข้อความที่เริ่มโดย: @ชายคนหนึ่ง@ ที่ กุมภาพันธ์ 20, 2013, 13:13:39 PM
-
สอบถามหน่อยครับ ถ้าต้องการระบบแค่การทำ Fire wall, Proxy บล็อกเว็บเป็นช่วงเวลาใช้ OS ตัวไหนดีครับ ตัว IPfire, Endian หรือว่าใช้ Linux ไปเลยในการจัดการ ตอนนี้ยังไม่ได้ใช้ระบบ authen แต่อนาคตจะมีการใช้ authen เข้ามาด้วย รบกวนแนะนำหน่อยครับ
-
http://hosxp.net/index.php?option=com_smf&Itemid=28&topic=25298.0
-
คือถ้าตัว OS ผมพอจะทราบว่าตัวไหนบ้าง แต่ที่อยากได้คือ คำแนะนำมากว่าครับ ไม่ได้อยากได้ลิงค์ว่ามีตัวไหนอะไรบ้าง
แต่อย่างไรก็ขอบคุณครับ
-
ผมใช้กำหนดช่วงเวลา แบบไม่สนใจชื่อ Web จาก Hardware กระทบทุก web ที่ไม่ต้องการให้ใช้ในช่วงเวลาเร่งด่วน...อ่ะนะครับ...ในรายการชื่อ Web ที่กำหนดครับ...
-
ผมใช้กำหนดช่วงเวลา แบบไม่สนใจชื่อ Web จาก Hardware กระทบทุก web ที่ไม่ต้องการให้ใช้ในช่วง Price Time ในรายการชื่อ Web ที่กำหนดครับ...
อ.เกื้อกูล ใช้วิธีการ อุปกรณ์ ตัวไหนอย่างไรอะครับ แบบว่าความรู้ด้านเครือข่ายไม่ได้ใช้ซะนาน เลยลืมๆ มั่วๆ คิดไม่ออกแล้วตอนนี้
รบกวนแนะนำหน่อยนะครับ ;D
-
ผมใช้แค่กำหนดผ่าน WEB GUI ของ Cisco RV042 ครับ มีให้โหลดวิธีการเยอะมาก ๆ ตามต้องการ ครับ.ทั้ง domain,sub-domain,word ตามช่วงเวลาที่ต้องการ แต่ทำหลาย ๆ ช่วงเวลา..ยังไม่ได้ศึกษาครับ..
http://www.google.co.th/url?sa=t&rct=j&q=rv042%20manual%20config&source=web&cd=5&cad=rja&ved=0CEwQtwIwBA&url=http%3A%2F%2Fwww.youtube.com%2Fwatch%3Fv%3DtnJ6C5X3-TU&ei=hZAkUYy6BI3IrQeOhYHAAQ&usg=AFQjCNGw1dexA6mti8p0O_yMC5OhlIMoFA&bvm=bv.42661473,d.bmk
และ http://www.manualowl.com/m/Cisco/RV042/Manual/247063
-
ผมใช้แค่กำหนดผ่าน WEB GUI ของ Cisco RV042 ครับ มีให้โหลดวิธีการเยอะมาก ๆ ตามต้องการ ครับ.ทั้ง domain,sub-domain,word ตามช่วงเวลาที่ต้องการ แต่ทำหลาย ๆ ช่วงเวลา..ยังไม่ได้ศึกษาครับ..
http://www.google.co.th/url?sa=t&rct=j&q=rv042%20manual%20config&source=web&cd=5&cad=rja&ved=0CEwQtwIwBA&url=http%3A%2F%2Fwww.youtube.com%2Fwatch%3Fv%3DtnJ6C5X3-TU&ei=hZAkUYy6BI3IrQeOhYHAAQ&usg=AFQjCNGw1dexA6mti8p0O_yMC5OhlIMoFA&bvm=bv.42661473,d.bmk
และ http://www.manualowl.com/m/Cisco/RV042/Manual/247063
ผมเคยใช้แล้ว จนท.ผม สามารถ หาวิธี ผ่าน บล็อค เล่นได้ง่ายมาก
ผมใช้ Endian ผ่านไม่ได้เลย แต่ Endian ก็ไม่มี HOTSPOT ให้
ตอนนี้สนใจอย่างอื่นเช่น Pfsen,ClearOS เพราะมี 64 bit และสามารถทำ HOTSPOT ได้
-
ผมใช้กำหนดช่วงเวลา แบบไม่สนใจชื่อ Web จาก Hardware กระทบทุก web ที่ไม่ต้องการให้ใช้ในช่วง Price Time ในรายการชื่อ Web ที่กำหนดครับ...
Price Time คืออะไรครับ เวลาที่ต้องซื้อเหรอ หรือว่า Prime Time
-
ลองดู ClearOS ไหมครับ ก็เวิร์คดีนะครับ เสียเงินเพิ่มปีหนึ่งประมาณ 400$ (ก็ประมาณ 12000) เพื่อได้อัพเดทพวกข้อมูล virus pattern, ipd pattern, content filter เท่าที่ลองใช้มาก็โอเคในระดับหนึ่งครับ ค่าอัพเดทปีหนึ่งหมื่นกว่าบาท ผมว่าถูกมากครับ ถ้าเทียบกับซื้อ UTM ทั่ว ๆ ไป ส่วนเรื่องการ authen ก็แยกเครื่องมาอีกตัวก็ได้ครับใช้ cocoa chilli + free Radius ครับ ก็ง่ายดีนะครับ ทำ page authen เอง อยากได้แบบไหนก็เขียนเอง เท่าที่ลองทำไปให้ที่หนึ่งครับ คนใช้ประมาณ 3x - 4x คน สเปก cpu คราว ๆ เป็น i5 3330 + ram 8GB + lan card 3 NIC ลง ESXi 5.1 รัน 2 Guest ตัวหนึ่งลง ClearOS อีกตัวลง CentOS 6 + free radius + chilli + syslog ก็โอเคครับ ให้เอาขาที่มาจาก client เข้าที่ centos ก่อน เพื่อ authen และเก็บ log แล้วส่งต่อไปที่ ClearOS ก่อนจะออกไป WAN
-
ลองดู ClearOS ไหมครับ ก็เวิร์คดีนะครับ เสียเงินเพิ่มปีหนึ่งประมาณ 400$ (ก็ประมาณ 12000) เพื่อได้อัพเดทพวกข้อมูล virus pattern, ipd pattern, content filter เท่าที่ลองใช้มาก็โอเคในระดับหนึ่งครับ ค่าอัพเดทปีหนึ่งหมื่นกว่าบาท ผมว่าถูกมากครับ ถ้าเทียบกับซื้อ UTM ทั่ว ๆ ไป ส่วนเรื่องการ authen ก็แยกเครื่องมาอีกตัวก็ได้ครับใช้ cocoa chilli + free Radius ครับ ก็ง่ายดีนะครับ ทำ page authen เอง อยากได้แบบไหนก็เขียนเอง เท่าที่ลองทำไปให้ที่หนึ่งครับ คนใช้ประมาณ 3x - 4x คน สเปก cpu คราว ๆ เป็น i5 3330 + ram 8GB + lan card 3 NIC ลง ESXi 5.1 รัน 2 Guest ตัวหนึ่งลง ClearOS อีกตัวลง CentOS 6 + free radius + chilli + syslog ก็โอเคครับ ให้เอาขาที่มาจาก client เข้าที่ centos ก่อน เพื่อ authen และเก็บ log แล้วส่งต่อไปที่ ClearOS ก่อนจะออกไป WAN
TOT --> Firewall, Proxy --> log --> authen --> switch --> client
แยกเครื่องออกมาแบบนี้ป่าวครับ เพราะในอนาคตก็คาดว่าจะต้องแยกการทำงานของแต่ละส่วนออกมาหละครับ จะไม่รวมไว้ในเครื่องเดียว เดี่ยวจะดับอนาจดั่งเช่นในอนาคตที่เคยทำเพราะรวมไว้เครื่องเดียว
อ้อ อีกเรื่องนึงครับ ตอนนี้ผู้บริหารเน้นของฟรีไม่จ่ายตังค์ เลยต้องเฟ้นหาอะไรที่ฟรีหน่อยครับ แฮ่ะๆ เรื่องจ่ายตังค์คิดว่า แทบเป็นไปไม่ได้เลย :-[ :-\ :'(
ขอบคุณครับ
-
TOT --> Firewall, Proxy --> log --> authen --> switch --> client
แยกเครื่องออกมาแบบนี้ป่าวครับ เพราะในอนาคตก็คาดว่าจะต้องแยกการทำงานของแต่ละส่วนออกมาหละครับ จะไม่รวมไว้ในเครื่องเดียว เดี่ยวจะดับอนาจดั่งเช่นในอนาคตที่เคยทำเพราะรวมไว้เครื่องเดียว
อ้อ อีกเรื่องนึงครับ ตอนนี้ผู้บริหารเน้นของฟรีไม่จ่ายตังค์ เลยต้องเฟ้นหาอะไรที่ฟรีหน่อยครับ แฮ่ะๆ เรื่องจ่ายตังค์คิดว่า แทบเป็นไปไม่ได้เลย :-[ :-\ :'(
ขอบคุณครับ
นั่ง Time Machine กลับมาเหรอครับ ;D ;D ;D ;D ;D
-
ที่ผมทำคราว ๆ แบบนี้นะครับ
ISP -> Firewall -> Authen + Log -> Client
ใน hop ของ Firewall + Authen + Log ผมทำบน VMware ซึ่งข้างในมันมี vSwitch ก็เท่ากับเราใช้ NIC จริง ๆ แค่ 2 ขา, eth0 ไปหา Modem ส่วน eth1 ไปหา Client ครับ
-
แนะนำ PfSense ลองดูครับ ที่ผมสามารถทำได้ในตอนนี้คือ(ต้องใช้การ์ด lan 4 ใบ)
ข้อมูลพิ้นฐาน ตอนนี้มีเครื่องที่เชื่อมต่อ ปีะมาณ 200 เครื่อง ใช้ hosxp ประมาณ 150 เครื่อง อินเตอร์เน็ต cat 100m/30m fiberoptic, สำรอง 3bb 15m/1m รายละเอียดที่ทำระบบ ดังนี้
1.ใช้เป็น Firewall ลง service snort บล็อดทุกๆสิ่งที่เห็นว่าอันราย โดยแบ่งเป็น 4 ขา คือ internet zone, DMZ zone,LAN zone,WIFI zone
2.สร้าง rule ของแต่ละขา ของผม ขา LAN ให้ใช้ server ได้ทุกตัว ตาม port ที่กำหนด แต่ internet lock ไม่ให้ใช้งานพวก facebook ทุก ips ช่วงเวลาทำงาน คือ 8.00-12.00 และ 13.00-15.45 ส่วนขา WIFI ใช้ได้ตลอด
3.Pfsense มี ระบบตรวจสอบตัวตนการใช้งาน Internet ของผม ทำ radius server อีกตัว เอาไว้เก็บรายชื่อและให้ pfsense มาดึงไปใช้ โดยเขียนเวบ php เพิ่มอีกสองสามหน้า เพื่อให้เจ้าหน้าที่สามารถแก้ password ของตนเองได้เวลา login สำเร็จ
4.pfsense สามารถเพิ่ม alie เพื่อสร้าง IP หรือ port ที่เราต้องการควบคุมได้ ทำให้เราสร้าง rule ได้ง่ายขึ้น
5.pfsense สามารถสร้าง schedule เพื่อกำหนดเวลาให้ rule ทำงาน (แนะนำให้กำหนดทีละเดือน เนื่องจาก pfsense จะงง งง หากเราตั้ง schedule เกิน 1 เดือน)
6.ผม ลง โปแกรม kiwi อีกเครื่อง และ set ให้ pfsense ส่ง log ออกมาเก็บใน kiwi แล้วตั้งค่าให้ kiwi zip file log ทุกวันและให้มันสร้าง password ตอน zip เพื่อป้องกันคนเข้าไปดูและแก้ไข และตั้งค่าให้มันเก็บแยก ของแต่ละ ขา และ แต่ละช่วงเวลา เพื่อไฟล์ได้ไม่ใหญ่และค้นหา log ได้ง่ายขึ้น
คร่าวๆ ก็ แบบนี้ แต่ต้องศึกษาน่ะครับ pfsense จะมี เวบบอร์ดเลยในพี่ goo นั้นแหละ และอย่าลืมทำตัวสำรองไว้เผื่อ ตัวเมนแฮงค์ จะได้สลับการใช้งานทันที ได้ไม่โดนด่า
ส่วน Endian ตอนนี้ ผมเอาไว้ทำ firewall อีกตัว สำหรับระบบ WWW server และ VPN และ ทำ Back up Link Auto เวลาเน็ตค่ายใดค่ายหนึ่งเสีย ให้มันสลับให้อัตโนมัติ
-
แนะนำ PfSense ลองดูครับ ที่ผมสามารถทำได้ในตอนนี้คือ(ต้องใช้การ์ด lan 4 ใบ)
ข้อมูลพิ้นฐาน ตอนนี้มีเครื่องที่เชื่อมต่อ ปีะมาณ 200 เครื่อง ใช้ hosxp ประมาณ 150 เครื่อง อินเตอร์เน็ต cat 100m/30m fiberoptic, สำรอง 3bb 15m/1m
pFsense ก็น่าสนใจครับ มีพื้นฐานมาจาก FreeBSD ความแข็งแรงหายห่วง ผมก็เคยทดลองใช้งานเหมือนกัน แต่ความที่เป็น FreeBSD ก็ยากนิสสสหนึ่ง ว่าแต่ของรพ.เกาะสมุยเน็ตแรงได้ใจจริง ๆ ครับ 100/30 Mbps ของผมเช่าแค่ 30/5 x 2 แล้วอาศัยตบ ๆ คนใช้เอาอย่าให้ออกนอกหลู่นอกทางเยอะ ;D ;D ;D
-
ถ้าทำpfseneเราจำเป็นต้องตั้งเร้าเตอร์เป็นบิทโหมดด้วยหรือเปล่าครับ
-
ถ้าทำpfseneเราจำเป็นต้องตั้งเร้าเตอร์เป็นบิทโหมดด้วยหรือเปล่าครับ
บริทโหมท ไม่จำเป็นน่ะครับ แต่ก็สามารถทำได้ ผมใช้ DHCP รับ IP มาจาก Endian อีกที กว่าผมจะเปลี่ยนจาก Endian Firewall มาเป็น Pfsense ก็ศึกษามานานมากครับ แต่พอเปลี่ยนแล้ว ก็นิ่งดีน่ะครับ พอกับ endian เลย ที่เปลี่ยนเพราะ endian ไม่มี captive portal ระบบพิสูจน์ตัวตนแต่ใจ ก็ยังชอบ Endian ครับ ทน เสถียรมาก
-
แนะนำ bridge mode แล้วให้ pfsense หรือ endian ทำการเชื่อมต่ออินเตอร์เน็ตแทน router จะทำให้การจัดการแบนวิช stable กว่าพอสมควรเพราะ firewall มีระบบประมวลผลสูงกว่า Hardware ของ router มากครับ
ถ้าทำpfseneเราจำเป็นต้องตั้งเร้าเตอร์เป็นบิทโหมดด้วยหรือเปล่าครับ
-
เพราะ firewall มีระบบประมวลผลสูงกว่า Hardware ของ router มากครับ
;D ;D ;D ;D ;D
ผมก็ใช้ Endian Firewall ตอนนี้ ว่าจะทำ HOTSPOT
ยังไม่แน่ใจว่าจะเป็น Centos หรือ ClearOS กำลังทดสอบว่าจะใช้อะไรดี
แต่ทุกอย่างที่จะใช้กับระบบต้องดูว่าเรา ADMIN ถนัดอะไร
เมื่อเกิดปัญหาเราสามารถแก้ไขปัญหาได้แค่ไหน
ระบบทุกระบบมีข้อดีและเสีย ไม่มีอะไรที่ไม่เสีย
-
ไม่แน่ใจว่าตัวนี้พอได้ป่าวครับ อ.บอยผมก็กำลังอยู่ในช่วงทดสอบ Captive + Radius เหมือนกันอยากหาตัวที่รองรับได้เลยแบบว่าขี้เกียจ compile น่ะครับ
http://opensource.cc.psu.ac.th/%E0%B8%81%E0%B8%B2%E0%B8%A3%E0%B8%95%E0%B8%B4%E0%B8%94%E0%B8%95%E0%B8%B1%E0%B9%89%E0%B8%87_zeroshell_%E0%B8%A5%E0%B8%87%E0%B8%9A%E0%B8%99_hard_disk
เพราะ firewall มีระบบประมวลผลสูงกว่า Hardware ของ router มากครับ
;D ;D ;D ;D ;D
ผมก็ใช้ Endian Firewall ตอนนี้ ว่าจะทำ HOTSPOT
ยังไม่แน่ใจว่าจะเป็น Centos หรือ ClearOS กำลังทดสอบว่าจะใช้อะไรดี
แต่ทุกอย่างที่จะใช้กับระบบต้องดูว่าเรา ADMIN ถนัดอะไร
เมื่อเกิดปัญหาเราสามารถแก้ไขปัญหาได้แค่ไหน
ระบบทุกระบบมีข้อดีและเสีย ไม่มีอะไรที่ไม่เสีย
-
ไม่แน่ใจว่าตัวนี้พอได้ป่าวครับ อ.บอยผมก็กำลังอยู่ในช่วงทดสอบ Captive + Radius เหมือนกันอยากหาตัวที่รองรับได้เลยแบบว่าขี้เกียจ compile น่ะครับ
http://opensource.cc.psu.ac.th/%E0%B8%81%E0%B8%B2%E0%B8%A3%E0%B8%95%E0%B8%B4%E0%B8%94%E0%B8%95%E0%B8%B1%E0%B9%89%E0%B8%87_zeroshell_%E0%B8%A5%E0%B8%87%E0%B8%9A%E0%B8%99_hard_disk
ผมก็หา อะไรที่ ทำเร็ว เดี่ยวนี้งานมากขึ้นทุกวัน
ไอ้ 43+17 ก้อจะมา
-
ไม่แน่ใจว่าตัวนี้พอได้ป่าวครับ อ.บอยผมก็กำลังอยู่ในช่วงทดสอบ Captive + Radius เหมือนกันอยากหาตัวที่รองรับได้เลยแบบว่าขี้เกียจ compile น่ะครับ
http://opensource.cc.psu.ac.th/%E0%B8%81%E0%B8%B2%E0%B8%A3%E0%B8%95%E0%B8%B4%E0%B8%94%E0%B8%95%E0%B8%B1%E0%B9%89%E0%B8%87_zeroshell_%E0%B8%A5%E0%B8%87%E0%B8%9A%E0%B8%99_hard_disk
ตัวนี้ผมลองแล้ว ไม่ผ่านครับ ยุ่งยากในการจัดการ ไม่ค่อยเสถียร ครับ อันนี้ความเห็นส่วนตัวเพราะลองลงมาหลายครั้งแล้ว :-\
-
รบกวนขอความรู่หน่อยครับ
ขาwanที่ต่อกับเร้าเตอร์ถ้าเป็น 192.168.1.xxx
ขาlan ที่ userใช้ เป็น 192.168.1.xxx
เป็นคลาสเดียวกันได้หรือเปล่าครับ
ยังงัยรบกวนขอลิ้งค์โหลดด้วยนะครับ :D ;)ขอบคุณมากครับ
-
รบกวนขอความรู่หน่อยครับ
ขาwanที่ต่อกับเร้าเตอร์ถ้าเป็น 192.168.1.xxx
ขาlan ที่ userใช้ เป็น 192.168.1.xxx
เป็นคลาสเดียวกันได้หรือเปล่าครับ
ยังงัยรบกวนขอลิ้งค์โหลดด้วยนะครับ :D ;)ขอบคุณมากครับ
ทำ เร้าเตอร์ เป็น bridge mode จะทำงานได้ stable กว่า
-
รบกวนขอความรู่หน่อยครับ
ขาwanที่ต่อกับเร้าเตอร์ถ้าเป็น 192.168.1.xxx
ขาlan ที่ userใช้ เป็น 192.168.1.xxx
เป็นคลาสเดียวกันได้หรือเปล่าครับ
ยังงัยรบกวนขอลิ้งค์โหลดด้วยนะครับ :D ;)ขอบคุณมากครับ
ประมาณนี้ครับ ip ของแต่ละขา ไม่ควรเหมือนกัน ซึ่งจะปลอดภัยกว่าครับ
-
อืม ตอนนี้ได้เอาตัว endian 2.5.1 ขึ้นระบบไปพลางๆ ก่อนแล้วหละ แต่อย่างที่บอกว่าไม่ได้จับงานด้านเครือข่ายมานานโขมาก เลยมึนๆ เบลอๆ ว่าจะจัดการระบบยังไง
ส่วนในเรื่องของระหว่าง free bsd กับ Linux ค่าย centos นั้น ส่วนตัวจะถนัดไปยัง centos และ ubuntu มากกว่า และตัว clear os ก็เคยลองใช้มระยะนึงแต่ก็เกิดปัญหาคือ เมื่อใช้ไปสักระยะจะอืดช้า จะต้องมาเคลียร์ล็อกต่างๆที่ไม่จำเป็น มาเคลียร์ตัวแบนวิทที่กินเนื้อทีเยอะ ซึ่งในอนาคตจะต้องนำ authen มาใช้งานในระบบ ตอนนี้เลยยังคิดไม่ออกว่าจะแครีเบทต่อยังไงดี แต่ก็ความน่าจะเป็น น่าจะเอา pfsent มาใช้งานหละครับ ส่วนตัว authen นั้น ตัวเองเขียน php ไม่ค่อยจะถนัดนี้สิปัญหใหญ่ (ทิ้งร้างไปนานมาก สำหรับโหมดเขียนโปรแกรม) คาดว่าอาจจะต้องทำ radius server อีกตัว เอาไว้เก็บรายชื่อและให้ pfsense มาดึงไปใช้ อย่างที่ท่าน khaimok กล่าวมาหละ แต่ตอนนี้เน็ตั้องค์กรแค่ TOT 10/1 MB เส้นเดียวเท่านั้น วันไหน TOT เน่าก็จบเห่ทั้งองค์กร เหอะๆ
ขอบคุณครับ สำหรับคำแนะนำ อาจจะต้องขอคำแนะนำในขั้นต่อไปหละครับ
;)
-
ไม่ค่อยเสถียรประมาณไหนบ้างครับเพราะผมพึ่งใช้ประมาณ 4 เดือนแต่ยังไม่พบปัญหาครับ แนะนำหน่อยครับ
ไม่แน่ใจว่าตัวนี้พอได้ป่าวครับ อ.บอยผมก็กำลังอยู่ในช่วงทดสอบ Captive + Radius เหมือนกันอยากหาตัวที่รองรับได้เลยแบบว่าขี้เกียจ compile น่ะครับ
http://opensource.cc.psu.ac.th/%E0%B8%81%E0%B8%B2%E0%B8%A3%E0%B8%95%E0%B8%B4%E0%B8%94%E0%B8%95%E0%B8%B1%E0%B9%89%E0%B8%87_zeroshell_%E0%B8%A5%E0%B8%87%E0%B8%9A%E0%B8%99_hard_disk
ตัวนี้ผมลองแล้ว ไม่ผ่านครับ ยุ่งยากในการจัดการ ไม่ค่อยเสถียร ครับ อันนี้ความเห็นส่วนตัวเพราะลองลงมาหลายครั้งแล้ว :-\
-
รบกวนหน่อยครับ ระบบต่อไปในอนาคตผมวางไว้แบบนี้ได้หรือเปล่า
แบบว่าไม่ค่อยแน่ใจ และมั่นใจตัวเองซะเท่าไหร่ตอนนี้ ;D
ขอความกรุณากูรูทั้งหลายช่วยชี้แนะหน่อย