Fire wall, Proxy แนะนำหน่อยครับ

[@ชายคนหนึ่ง@]

สอบถามหน่อยครับ ถ้าต้องการระบบแค่การทำ Fire wall, Proxy บล็อกเว็บเป็นช่วงเวลาใช้ OS ตัวไหนดีครับ ตัว IPfire, Endian หรือว่าใช้ Linux ไปเลยในการจัดการ ตอนนี้ยังไม่ได้ใช้ระบบ authen แต่อนาคตจะมีการใช้ authen เข้ามาด้วย รบกวนแนะนำหน่อยครับ

[nph2006]

http://hosxp.net/index.php?option=com_smf&Itemid=28&topic=25298.0

[@ชายคนหนึ่ง@]

คือถ้าตัว OS ผมพอจะทราบว่าตัวไหนบ้าง แต่ที่อยากได้คือ คำแนะนำมากว่าครับ ไม่ได้อยากได้ลิงค์ว่ามีตัวไหนอะไรบ้าง

แต่อย่างไรก็ขอบคุณครับ

[เกื้อกูล ครับ..]

ผมใช้กำหนดช่วงเวลา แบบไม่สนใจชื่อ Web จาก  Hardware   กระทบทุก web ที่ไม่ต้องการให้ใช้ในช่วงเวลาเร่งด่วน...อ่ะนะครับ...ในรายการชื่อ Web ที่กำหนดครับ...

[@ชายคนหนึ่ง@]

ผมใช้กำหนดช่วงเวลา แบบไม่สนใจชื่อ Web จาก  Hardware   กระทบทุก web ที่ไม่ต้องการให้ใช้ในช่วง Price Time ในรายการชื่อ Web ที่กำหนดครับ...

อ.เกื้อกูล ใช้วิธีการ อุปกรณ์ ตัวไหนอย่างไรอะครับ แบบว่าความรู้ด้านเครือข่ายไม่ได้ใช้ซะนาน เลยลืมๆ มั่วๆ คิดไม่ออกแล้วตอนนี้

รบกวนแนะนำหน่อยนะครับ 

[เกื้อกูล ครับ..]

ผมใช้แค่กำหนดผ่าน WEB GUI ของ  Cisco RV042 ครับ มีให้โหลดวิธีการเยอะมาก ๆ ตามต้องการ ครับ.ทั้ง domain,sub-domain,word  ตามช่วงเวลาที่ต้องการ แต่ทำหลาย ๆ ช่วงเวลา..ยังไม่ได้ศึกษาครับ..


http://www.google.co.th/url?sa=t&rct=j&q=rv042%20manual%20config&source=web&cd=5&cad=rja&ved=0CEwQtwIwBA&url=http%3A%2F%2Fwww.youtube.com%2Fwatch%3Fv%3DtnJ6C5X3-TU&ei=hZAkUYy6BI3IrQeOhYHAAQ&usg=AFQjCNGw1dexA6mti8p0O_yMC5OhlIMoFA&bvm=bv.42661473,d.bmk

และ http://www.manualowl.com/m/Cisco/RV042/Manual/247063

[มนตรี บอยรักยุ้ยคนเดียว]

ผมใช้แค่กำหนดผ่าน WEB GUI ของ  Cisco RV042 ครับ มีให้โหลดวิธีการเยอะมาก ๆ ตามต้องการ ครับ.ทั้ง domain,sub-domain,word  ตามช่วงเวลาที่ต้องการ แต่ทำหลาย ๆ ช่วงเวลา..ยังไม่ได้ศึกษาครับ..


http://www.google.co.th/url?sa=t&rct=j&q=rv042%20manual%20config&source=web&cd=5&cad=rja&ved=0CEwQtwIwBA&url=http%3A%2F%2Fwww.youtube.com%2Fwatch%3Fv%3DtnJ6C5X3-TU&ei=hZAkUYy6BI3IrQeOhYHAAQ&usg=AFQjCNGw1dexA6mti8p0O_yMC5OhlIMoFA&bvm=bv.42661473,d.bmk

และ http://www.manualowl.com/m/Cisco/RV042/Manual/247063

ผมเคยใช้แล้ว จนท.ผม สามารถ หาวิธี ผ่าน บล็อค เล่นได้ง่ายมาก

ผมใช้   Endian ผ่านไม่ได้เลย แต่ Endian ก็ไม่มี HOTSPOT ให้

ตอนนี้สนใจอย่างอื่นเช่น Pfsen,ClearOS  เพราะมี 64 bit และสามารถทำ HOTSPOT ได้

[udomchok]

ผมใช้กำหนดช่วงเวลา แบบไม่สนใจชื่อ Web จาก  Hardware   กระทบทุก web ที่ไม่ต้องการให้ใช้ในช่วง Price Time ในรายการชื่อ Web ที่กำหนดครับ...

Price Time คืออะไรครับ เวลาที่ต้องซื้อเหรอ หรือว่า Prime Time

[กรรมกรไอที]

ลองดู ClearOS ไหมครับ ก็เวิร์คดีนะครับ เสียเงินเพิ่มปีหนึ่งประมาณ 400$ (ก็ประมาณ 12000) เพื่อได้อัพเดทพวกข้อมูล virus pattern, ipd pattern, content filter เท่าที่ลองใช้มาก็โอเคในระดับหนึ่งครับ ค่าอัพเดทปีหนึ่งหมื่นกว่าบาท ผมว่าถูกมากครับ ถ้าเทียบกับซื้อ UTM ทั่ว ๆ ไป ส่วนเรื่องการ authen ก็แยกเครื่องมาอีกตัวก็ได้ครับใช้ cocoa chilli + free Radius ครับ ก็ง่ายดีนะครับ ทำ page authen เอง อยากได้แบบไหนก็เขียนเอง เท่าที่ลองทำไปให้ที่หนึ่งครับ คนใช้ประมาณ 3x - 4x คน สเปก cpu คราว ๆ เป็น i5 3330 + ram 8GB + lan card 3 NIC ลง ESXi 5.1 รัน 2 Guest ตัวหนึ่งลง ClearOS อีกตัวลง CentOS 6 + free radius + chilli + syslog ก็โอเคครับ ให้เอาขาที่มาจาก client เข้าที่ centos ก่อน เพื่อ authen และเก็บ log แล้วส่งต่อไปที่ ClearOS ก่อนจะออกไป WAN

[@ชายคนหนึ่ง@]

ลองดู ClearOS ไหมครับ ก็เวิร์คดีนะครับ เสียเงินเพิ่มปีหนึ่งประมาณ 400$ (ก็ประมาณ 12000) เพื่อได้อัพเดทพวกข้อมูล virus pattern, ipd pattern, content filter เท่าที่ลองใช้มาก็โอเคในระดับหนึ่งครับ ค่าอัพเดทปีหนึ่งหมื่นกว่าบาท ผมว่าถูกมากครับ ถ้าเทียบกับซื้อ UTM ทั่ว ๆ ไป ส่วนเรื่องการ authen ก็แยกเครื่องมาอีกตัวก็ได้ครับใช้ cocoa chilli + free Radius ครับ ก็ง่ายดีนะครับ ทำ page authen เอง อยากได้แบบไหนก็เขียนเอง เท่าที่ลองทำไปให้ที่หนึ่งครับ คนใช้ประมาณ 3x - 4x คน สเปก cpu คราว ๆ เป็น i5 3330 + ram 8GB + lan card 3 NIC ลง ESXi 5.1 รัน 2 Guest ตัวหนึ่งลง ClearOS อีกตัวลง CentOS 6 + free radius + chilli + syslog ก็โอเคครับ ให้เอาขาที่มาจาก client เข้าที่ centos ก่อน เพื่อ authen และเก็บ log แล้วส่งต่อไปที่ ClearOS ก่อนจะออกไป WAN

TOT --> Firewall, Proxy --> log --> authen --> switch --> client

แยกเครื่องออกมาแบบนี้ป่าวครับ เพราะในอนาคตก็คาดว่าจะต้องแยกการทำงานของแต่ละส่วนออกมาหละครับ จะไม่รวมไว้ในเครื่องเดียว เดี่ยวจะดับอนาจดั่งเช่นในอนาคตที่เคยทำเพราะรวมไว้เครื่องเดียว

อ้อ อีกเรื่องนึงครับ ตอนนี้ผู้บริหารเน้นของฟรีไม่จ่ายตังค์ เลยต้องเฟ้นหาอะไรที่ฟรีหน่อยครับ แฮ่ะๆ เรื่องจ่ายตังค์คิดว่า แทบเป็นไปไม่ได้เลย     

ขอบคุณครับ

[udomchok]

TOT --> Firewall, Proxy --> log --> authen --> switch --> client

แยกเครื่องออกมาแบบนี้ป่าวครับ เพราะในอนาคตก็คาดว่าจะต้องแยกการทำงานของแต่ละส่วนออกมาหละครับ จะไม่รวมไว้ในเครื่องเดียว เดี่ยวจะดับอนาจดั่งเช่นในอนาคตที่เคยทำเพราะรวมไว้เครื่องเดียว

อ้อ อีกเรื่องนึงครับ ตอนนี้ผู้บริหารเน้นของฟรีไม่จ่ายตังค์ เลยต้องเฟ้นหาอะไรที่ฟรีหน่อยครับ แฮ่ะๆ เรื่องจ่ายตังค์คิดว่า แทบเป็นไปไม่ได้เลย     

ขอบคุณครับ

นั่ง Time Machine กลับมาเหรอครับ 

[กรรมกรไอที]

ที่ผมทำคราว ๆ แบบนี้นะครับ
ISP -> Firewall -> Authen + Log -> Client
ใน hop ของ Firewall + Authen + Log ผมทำบน VMware ซึ่งข้างในมันมี vSwitch ก็เท่ากับเราใช้ NIC จริง ๆ แค่ 2 ขา, eth0 ไปหา Modem ส่วน eth1 ไปหา Client ครับ

[khaimok]

แนะนำ PfSense ลองดูครับ ที่ผมสามารถทำได้ในตอนนี้คือ(ต้องใช้การ์ด lan 4 ใบ)
ข้อมูลพิ้นฐาน ตอนนี้มีเครื่องที่เชื่อมต่อ ปีะมาณ 200 เครื่อง ใช้ hosxp ประมาณ 150 เครื่อง อินเตอร์เน็ต cat 100m/30m fiberoptic, สำรอง 3bb 15m/1m  รายละเอียดที่ทำระบบ ดังนี้

1.ใช้เป็น Firewall ลง service snort บล็อดทุกๆสิ่งที่เห็นว่าอันราย โดยแบ่งเป็น 4 ขา คือ internet zone, DMZ zone,LAN zone,WIFI zone

2.สร้าง rule ของแต่ละขา ของผม ขา LAN ให้ใช้ server ได้ทุกตัว ตาม port ที่กำหนด แต่ internet lock ไม่ให้ใช้งานพวก facebook ทุก ips ช่วงเวลาทำงาน คือ 8.00-12.00 และ 13.00-15.45 ส่วนขา WIFI ใช้ได้ตลอด

3.Pfsense มี ระบบตรวจสอบตัวตนการใช้งาน Internet ของผม ทำ radius server อีกตัว เอาไว้เก็บรายชื่อและให้ pfsense มาดึงไปใช้ โดยเขียนเวบ php เพิ่มอีกสองสามหน้า เพื่อให้เจ้าหน้าที่สามารถแก้ password ของตนเองได้เวลา login สำเร็จ

4.pfsense สามารถเพิ่ม alie เพื่อสร้าง IP หรือ port ที่เราต้องการควบคุมได้ ทำให้เราสร้าง rule ได้ง่ายขึ้น

5.pfsense สามารถสร้าง schedule เพื่อกำหนดเวลาให้ rule ทำงาน (แนะนำให้กำหนดทีละเดือน เนื่องจาก pfsense จะงง งง หากเราตั้ง schedule เกิน 1 เดือน)

6.ผม ลง โปแกรม kiwi อีกเครื่อง และ set ให้ pfsense ส่ง log ออกมาเก็บใน kiwi แล้วตั้งค่าให้ kiwi zip file log ทุกวันและให้มันสร้าง password ตอน zip เพื่อป้องกันคนเข้าไปดูและแก้ไข และตั้งค่าให้มันเก็บแยก ของแต่ละ ขา และ แต่ละช่วงเวลา เพื่อไฟล์ได้ไม่ใหญ่และค้นหา log ได้ง่ายขึ้น

คร่าวๆ ก็ แบบนี้ แต่ต้องศึกษาน่ะครับ pfsense จะมี เวบบอร์ดเลยในพี่ goo นั้นแหละ และอย่าลืมทำตัวสำรองไว้เผื่อ ตัวเมนแฮงค์ จะได้สลับการใช้งานทันที ได้ไม่โดนด่า
ส่วน Endian ตอนนี้ ผมเอาไว้ทำ firewall อีกตัว สำหรับระบบ WWW server และ VPN และ ทำ Back up Link Auto เวลาเน็ตค่ายใดค่ายหนึ่งเสีย ให้มันสลับให้อัตโนมัติ

[กรรมกรไอที]

แนะนำ PfSense ลองดูครับ ที่ผมสามารถทำได้ในตอนนี้คือ(ต้องใช้การ์ด lan 4 ใบ)
ข้อมูลพิ้นฐาน ตอนนี้มีเครื่องที่เชื่อมต่อ ปีะมาณ 200 เครื่อง ใช้ hosxp ประมาณ 150 เครื่อง อินเตอร์เน็ต cat 100m/30m fiberoptic, สำรอง 3bb 15m/1m 

pFsense ก็น่าสนใจครับ มีพื้นฐานมาจาก FreeBSD ความแข็งแรงหายห่วง ผมก็เคยทดลองใช้งานเหมือนกัน แต่ความที่เป็น FreeBSD ก็ยากนิสสสหนึ่ง ว่าแต่ของรพ.เกาะสมุยเน็ตแรงได้ใจจริง ๆ ครับ 100/30 Mbps ของผมเช่าแค่ 30/5 x 2 แล้วอาศัยตบ ๆ คนใช้เอาอย่าให้ออกนอกหลู่นอกทางเยอะ

[kookkaija]

ถ้าทำpfseneเราจำเป็นต้องตั้งเร้าเตอร์เป็นบิทโหมดด้วยหรือเปล่าครับ

[khaimok]

ถ้าทำpfseneเราจำเป็นต้องตั้งเร้าเตอร์เป็นบิทโหมดด้วยหรือเปล่าครับ

บริทโหมท ไม่จำเป็นน่ะครับ แต่ก็สามารถทำได้ ผมใช้ DHCP รับ IP มาจาก Endian อีกที กว่าผมจะเปลี่ยนจาก Endian Firewall มาเป็น Pfsense ก็ศึกษามานานมากครับ แต่พอเปลี่ยนแล้ว ก็นิ่งดีน่ะครับ พอกับ endian เลย ที่เปลี่ยนเพราะ endian ไม่มี captive portal ระบบพิสูจน์ตัวตนแต่ใจ ก็ยังชอบ Endian ครับ ทน เสถียรมาก

[dotAtainer]

แนะนำ bridge mode  แล้วให้ pfsense หรือ endian ทำการเชื่อมต่ออินเตอร์เน็ตแทน router จะทำให้การจัดการแบนวิช stable กว่าพอสมควรเพราะ firewall มีระบบประมวลผลสูงกว่า Hardware ของ router มากครับ

ถ้าทำpfseneเราจำเป็นต้องตั้งเร้าเตอร์เป็นบิทโหมดด้วยหรือเปล่าครับ

[มนตรี บอยรักยุ้ยคนเดียว]

เพราะ firewall มีระบบประมวลผลสูงกว่า Hardware ของ router มากครับ

 

ผมก็ใช้ Endian Firewall  ตอนนี้ ว่าจะทำ HOTSPOT
ยังไม่แน่ใจว่าจะเป็น Centos หรือ ClearOS กำลังทดสอบว่าจะใช้อะไรดี
แต่ทุกอย่างที่จะใช้กับระบบต้องดูว่าเรา ADMIN ถนัดอะไร
เมื่อเกิดปัญหาเราสามารถแก้ไขปัญหาได้แค่ไหน
ระบบทุกระบบมีข้อดีและเสีย ไม่มีอะไรที่ไม่เสีย

[dotAtainer]

ไม่แน่ใจว่าตัวนี้พอได้ป่าวครับ อ.บอยผมก็กำลังอยู่ในช่วงทดสอบ Captive + Radius เหมือนกันอยากหาตัวที่รองรับได้เลยแบบว่าขี้เกียจ compile น่ะครับ
http://opensource.cc.psu.ac.th/%E0%B8%81%E0%B8%B2%E0%B8%A3%E0%B8%95%E0%B8%B4%E0%B8%94%E0%B8%95%E0%B8%B1%E0%B9%89%E0%B8%87_zeroshell_%E0%B8%A5%E0%B8%87%E0%B8%9A%E0%B8%99_hard_disk

เพราะ firewall มีระบบประมวลผลสูงกว่า Hardware ของ router มากครับ

 

ผมก็ใช้ Endian Firewall  ตอนนี้ ว่าจะทำ HOTSPOT
ยังไม่แน่ใจว่าจะเป็น Centos หรือ ClearOS กำลังทดสอบว่าจะใช้อะไรดี
แต่ทุกอย่างที่จะใช้กับระบบต้องดูว่าเรา ADMIN ถนัดอะไร
เมื่อเกิดปัญหาเราสามารถแก้ไขปัญหาได้แค่ไหน
ระบบทุกระบบมีข้อดีและเสีย ไม่มีอะไรที่ไม่เสีย

[มนตรี บอยรักยุ้ยคนเดียว]

ไม่แน่ใจว่าตัวนี้พอได้ป่าวครับ อ.บอยผมก็กำลังอยู่ในช่วงทดสอบ Captive + Radius เหมือนกันอยากหาตัวที่รองรับได้เลยแบบว่าขี้เกียจ compile น่ะครับ
http://opensource.cc.psu.ac.th/%E0%B8%81%E0%B8%B2%E0%B8%A3%E0%B8%95%E0%B8%B4%E0%B8%94%E0%B8%95%E0%B8%B1%E0%B9%89%E0%B8%87_zeroshell_%E0%B8%A5%E0%B8%87%E0%B8%9A%E0%B8%99_hard_disk

ผมก็หา อะไรที่ ทำเร็ว เดี่ยวนี้งานมากขึ้นทุกวัน
ไอ้ 43+17 ก้อจะมา

[khaimok]

ไม่แน่ใจว่าตัวนี้พอได้ป่าวครับ อ.บอยผมก็กำลังอยู่ในช่วงทดสอบ Captive + Radius เหมือนกันอยากหาตัวที่รองรับได้เลยแบบว่าขี้เกียจ compile น่ะครับ
http://opensource.cc.psu.ac.th/%E0%B8%81%E0%B8%B2%E0%B8%A3%E0%B8%95%E0%B8%B4%E0%B8%94%E0%B8%95%E0%B8%B1%E0%B9%89%E0%B8%87_zeroshell_%E0%B8%A5%E0%B8%87%E0%B8%9A%E0%B8%99_hard_disk

ตัวนี้ผมลองแล้ว ไม่ผ่านครับ ยุ่งยากในการจัดการ ไม่ค่อยเสถียร ครับ อันนี้ความเห็นส่วนตัวเพราะลองลงมาหลายครั้งแล้ว 

[kookkaija]

รบกวนขอความรู่หน่อยครับ
ขาwanที่ต่อกับเร้าเตอร์ถ้าเป็น 192.168.1.xxx
ขาlan ที่ userใช้ เป็น 192.168.1.xxx
เป็นคลาสเดียวกันได้หรือเปล่าครับ
ยังงัยรบกวนขอลิ้งค์โหลดด้วยนะครับ  ;)ขอบคุณมากครับ

[มนตรี บอยรักยุ้ยคนเดียว]

รบกวนขอความรู่หน่อยครับ
ขาwanที่ต่อกับเร้าเตอร์ถ้าเป็น 192.168.1.xxx
ขาlan ที่ userใช้ เป็น 192.168.1.xxx
เป็นคลาสเดียวกันได้หรือเปล่าครับ
ยังงัยรบกวนขอลิ้งค์โหลดด้วยนะครับ  ;)ขอบคุณมากครับ

ทำ เร้าเตอร์ เป็น  bridge mode จะทำงานได้ stable กว่า

[khaimok]

รบกวนขอความรู่หน่อยครับ
ขาwanที่ต่อกับเร้าเตอร์ถ้าเป็น 192.168.1.xxx
ขาlan ที่ userใช้ เป็น 192.168.1.xxx
เป็นคลาสเดียวกันได้หรือเปล่าครับ
ยังงัยรบกวนขอลิ้งค์โหลดด้วยนะครับ  ;)ขอบคุณมากครับ

ประมาณนี้ครับ ip ของแต่ละขา ไม่ควรเหมือนกัน ซึ่งจะปลอดภัยกว่าครับ

[@ชายคนหนึ่ง@]

อืม ตอนนี้ได้เอาตัว endian 2.5.1 ขึ้นระบบไปพลางๆ ก่อนแล้วหละ แต่อย่างที่บอกว่าไม่ได้จับงานด้านเครือข่ายมานานโขมาก เลยมึนๆ เบลอๆ ว่าจะจัดการระบบยังไง

ส่วนในเรื่องของระหว่าง free bsd กับ Linux ค่าย centos นั้น ส่วนตัวจะถนัดไปยัง centos และ ubuntu มากกว่า และตัว clear os ก็เคยลองใช้มระยะนึงแต่ก็เกิดปัญหาคือ เมื่อใช้ไปสักระยะจะอืดช้า จะต้องมาเคลียร์ล็อกต่างๆที่ไม่จำเป็น มาเคลียร์ตัวแบนวิทที่กินเนื้อทีเยอะ ซึ่งในอนาคตจะต้องนำ authen มาใช้งานในระบบ ตอนนี้เลยยังคิดไม่ออกว่าจะแครีเบทต่อยังไงดี แต่ก็ความน่าจะเป็น น่าจะเอา pfsent มาใช้งานหละครับ ส่วนตัว authen นั้น ตัวเองเขียน php ไม่ค่อยจะถนัดนี้สิปัญหใหญ่ (ทิ้งร้างไปนานมาก สำหรับโหมดเขียนโปรแกรม)  คาดว่าอาจจะต้องทำ radius server อีกตัว เอาไว้เก็บรายชื่อและให้ pfsense มาดึงไปใช้ อย่างที่ท่าน khaimok กล่าวมาหละ แต่ตอนนี้เน็ตั้องค์กรแค่ TOT 10/1 MB เส้นเดียวเท่านั้น วันไหน TOT เน่าก็จบเห่ทั้งองค์กร เหอะๆ

ขอบคุณครับ สำหรับคำแนะนำ อาจจะต้องขอคำแนะนำในขั้นต่อไปหละครับ

 

[dotAtainer]

ไม่ค่อยเสถียรประมาณไหนบ้างครับเพราะผมพึ่งใช้ประมาณ 4 เดือนแต่ยังไม่พบปัญหาครับ แนะนำหน่อยครับ

ไม่แน่ใจว่าตัวนี้พอได้ป่าวครับ อ.บอยผมก็กำลังอยู่ในช่วงทดสอบ Captive + Radius เหมือนกันอยากหาตัวที่รองรับได้เลยแบบว่าขี้เกียจ compile น่ะครับ
http://opensource.cc.psu.ac.th/%E0%B8%81%E0%B8%B2%E0%B8%A3%E0%B8%95%E0%B8%B4%E0%B8%94%E0%B8%95%E0%B8%B1%E0%B9%89%E0%B8%87_zeroshell_%E0%B8%A5%E0%B8%87%E0%B8%9A%E0%B8%99_hard_disk

ตัวนี้ผมลองแล้ว ไม่ผ่านครับ ยุ่งยากในการจัดการ ไม่ค่อยเสถียร ครับ อันนี้ความเห็นส่วนตัวเพราะลองลงมาหลายครั้งแล้ว 

[@ชายคนหนึ่ง@]

รบกวนหน่อยครับ ระบบต่อไปในอนาคตผมวางไว้แบบนี้ได้หรือเปล่า

แบบว่าไม่ค่อยแน่ใจ และมั่นใจตัวเองซะเท่าไหร่ตอนนี้ 

ขอความกรุณากูรูทั้งหลายช่วยชี้แนะหน่อย