Block Bit

block port 6881-6999  ไม่ได้ผลอะไรถ้าเจอ user หัวหมอ จากตัวอย่างดังรูป ที่ผมแนบมาใช้ BitComet
ในการติดต่อพอผม ตั้งค่าให้ใช้ port 10000  มันก็ออกได้ล่ะ ถ้า admin ไม่มีกันป้องกันที่ดี
ทางที่แนะนำ

เปิด port tcp  80  443  25  110   143  8080  53
       port  udp 53
โดย

80      เว็บ
443    https
25      ส่งเมล
110     pop3
143     imap
8080  proxy
53      dns
1863  msn
4000  qq

นอกนั้นปิดโลด

ผมแก้ใหม่ครับ
enable firewall
create firewall policy="office"
enable firewall policy="office" icmp_f=all
add firewall policy="office" int=vlan21 type=private (บรรทัดนี้กำหนดให้ vlan21 ที่เป็น iP จริงเป็น private)
add firewall policy="office" int=vlan25 type=public (บรรทัดนี้กำหนดให้ vlan25 ที่เป็น iP จริงเป็น pubic)
add firewall poli="office" nat=enhanced int=vlan21 gblin=vlan25 gblip=203.0.0.1 (บรรทัดนี้กำหนดให้บริการ NAT เปิดให้ Vlan21 ออกที่ Vlan25 ที่ IP 203.0.0.1 )
add firewall poli="office" ru=1 ac=allo int=vlan21 prot=tcp po=80
add firewall poli="office" ru=2 ac=allo int=vlan21 prot=tcp po=80
add firewall poli="office" ru=3 ac=allo int=vlan21 prot=tcp po=21
add firewall poli="office" ru=4 ac=allo int=vlan21 prot=tcp po=25
add firewall poli="office" ru=5 ac=allo int=vlan21prot=udp po=53
add firewall poli="office" ru=6 ac=allo int=vlan21 prot=tcp po=110
add firewall poli="office" ru=9 ac=allo int=vlan21 prot=tcp po=8080
add firewall poli="office" ru=299 ac=deny int=vlan21 prot=ALL
set firewall poli="office" ru=299 aft=08:00 bef=18:30

ที่นี้ได้แน่ครับ หรือว่ามีใครจะเสริมอีกไหมครับ ผมขอรับฟังครับ
ขอบคุณครับ


น่าจะทำ qos ด้วยน่ะครับ จะได้ผลดียิ่งขึ้นสำหรับพวกตั้งบิตใช้ port 80
ควรมีการใช้ proxy เพื่อลดภาระ b/w ครับแล้วเราจะได้คุมลูกข่ายได้ง่ายขึ้นอีกครับ

เอาแบบ มก. เลยไหม

ip ไหนมี p2p packet แม้ packet เดียว จะโยน ip นั้นเข้า group ที่ทำการ shape ไว้ เป็นเวลา 30 นาที หรือตามแต่จะตั้งไว้


ของผมปัญหามากกว่านี้อีก ข้อแม้เยอะ userรู้มากอีกต่างหาก

1. block การดาวน์โหลดไฟล์ *.torrent  พวกก็โหลดไฟล์ *.torrent มาจากบ้านแล้วมาใช้เน็ทที่ทำงานโหลดตัวงาน
2. blockเน็ท ก็มีข้ออ้างอีกต้องใช้ในการทำงาน
3. บล็อก port เปิดเฉพาะ port ที่ใช้งาน พวกก็พยายามหา port ที่ออกได้
4. blockเว็บที่เป็น tracker  ก็มากมายหลายที่เหลือเกินไอ้ที่เรารู้มันรู้ก็เยอะ  แต่ไอ้เว็บที่มันรู้แต่เราไม่รู้นี่เยอะกว่า
5. ที่สำคัญถ้าทำให้มันโหลดกันไม่ได้อย่างเด็ดขาด โดนเขม่นแน่นอนครับ ไอ้ผมมันคนใหม่แต่พวกนั้นเค้าอยู่เก่า เดี๋ยวจะมีปัญหากับพวกมาเฟีย
6. แต่พอปล่อยให้โหลด ก็โหลดกันแบบเต็มที่ แบบว่าไม่รู้ตายอดตายอยากมาจากไหน ทั้งที่โปรแกรม Bitcomet มันสามารถจำกัดความเร็วที่ใช้ในการโหลดไฟล์ได้ แต่โลภ+เห็นแก่ตัว

ทางออกของผม

1. ใช้ PC 1 เครื่อง ลง winxp ใช้การ์ดแลน 2 ใบ ทำเป็น Gateway การ์ดแลนใบนึงต่อกับ router อีกใบต่อเข้า Local
2. ลงโปรแกรม winroute เพื่อใช้แชร์เน็ทให้เครื่องในวงแลน
3. ลงโปรแกรม Softperfect Bandwidth Manager เพื่อจำกัด Bandwidth ที่จะส่งไปแต่ละเครื่องในวงแลน จับกันที่ MAC Address เลย
4. เซ็ทค่าที่จะจำกัด Bandwidth ของแต่ละเครื่อง แถมตั้งเวลาเป็นช่วงเวลาได้ด้วย

แค่นี้แหละครับ สวยงามที่สุด ไม่โดนเขม่นเพราะไม่ได้ปิดเด็ดขาด แต่ละเครื่องจะมี Bandwidth เท่าที่ให้ ไปจัดสรรกันเอาเองตัวใครตัวมัน อยากโหลดบิทเต็มที่ก็เข้าเว็บช้า อยากเข้าเว็บเร็ว ๆ ก็ไปลดความเร็ว
บิทที่ตัวโปรแกรมกันเอาเอง

ทำมา 4 เดือนแล้ว สบายใจครับ

ของผมบล็อกง่ายๆ  ที่ site office ใช้ ZyXEL รุ่น P660HW-T1  ธรรมดามากๆๆ  แค่เล่น adsl

ส่วนของ firewall

Packet Direction  WAN to LAN
Source IP   = any
Destination IP = ช่วง ip ที่จะบล็อก หรือจะ any ก็ได้
Service  = 2000 - 65535  ปรับแต่งเอาเองเลยช่วง port นี้
Action = block


Packet Direction  LAN to WAN
Source IP   = ช่วง ip ที่จะบล็อก หรือจะ any ก็ได้
Destination IP = any
Service  = 2000 - 65535  ปรับแต่งเอาเองเลยช่วง port นี้
Action = block

ถามต่อนะครับ ตามปรกติ linux ใช้ PC ทำได้ประมาณ 200,000 session ไหมครับ
แล้วจะดูจากตรงไหนได้มั่งครับ ว่าเต็มหรือยัง (หรือว่าดูว่าแรมเต็มรึยัง  )

ผมเคยเจอ firewall รุ่น  soho เจ้านึงครับ ราคาหมื่นปลายๆ ให้มา 40000 session 
แค่เปิดโปรแกรม bitcommet ขึ้นมาเฉยๆก็กินไปเยอะแล้ว (แนะนำให้ใช้ utorrent)
กลายเป็นว่าเข้าเน็ตได้มั่งไม่ได้มั่งครับ (session เต็ม) เลยเปลี่ยนไปใช้ linux เลย

0 comments:

Post a Comment

 

Pfsense Thailand Copyright © 2011-2012 | Powered by Blogger