Block ICMP (บล็อก Ping)

Thursday, August 9, 2012
ก่อนที่เราจะเริ่มไปบล็อกอย่างอื่น... ผมของเสนอการบล็อกเพื่อปราม Netcut ครับ นั้นคือการ บล็อก Ping นั้นเอง (จะทำให้โปรแกรม Netcut หรือ โปรแกรม ScanNetwork ส่วนใหญ่ทำการScanเน็ตเวิร์คไม่ได้)... จริงๆแล้วการบล็อก ICMP ไม่ไช่การป้องกัน Netcut นะครับ (แต่เพราะเมื่อScanNetworkไม่ได้ ก็เลยไม่รู้จะไปยิงNetcutใส่ใครเขา) แต่เป็นการขัดขวางไม่ให้ใช้NetCutได้โดยสะดวก ซึ่งจะสามารถปรามผู้ใช้ระดับทั่วไป ไม่ให้ยิงNetcutกันได้(ง่ายๆ)ครับ และถือว่าเป็นการป้องกันการ ScanNetwork เราเพื่อความปลอดภัยของลูกข่ายทั้มหมด ได้ในขั้นต้นครับ


ให้เข้าที่เมนู Firewall -> Rules



แล้วให้กดที่ แท็บFloating ครับ

ที่เรามาสร้าง Rule ในหน้าแท็บ Floating ก็เพื่อความสะดวกในการดูแลกฎครับ จะได้ไม่ไปปนเปกับ Rule ของ Interface LAN ครับ


จากนั้นให้กดปุ่ม "+" ที่ท้ายตารางเพื่อสร้าง Rule ตัวใหม่ครับ



ที่หน้าสร้าง Rule ให้กรอกข้อมูลตามรูปภาพครับ

- Action = ให้เลือก Block ครับ (เพราะเราต้องสร้าง Rule มาเพื่อบล็อก)
- ติ๊กถูกที่ Apply the action immediately on match
- Interface = เลือก LAN ครับ (เพราะเราต้องการบล็อกลูกข่าย)
- Protocol = ให้เลือก ICMP ครับ (เพราะเป็นโปโตคอลของ Ping)
แล้วให้กดปุ่ม Save ครับ


เมื่อกลับมาที่หน้า Rule ก็จะเห็นรายการที่เราสร้างขึ้นครับ



คราวนี้ทดลอง Ping ดูซิ

สำเร็จแล้วครับ Ping ไม่ได้เลยทั้งข้างใน-ข้างนอก


ให้ จำไว้ว่า นี่ไม่ไช่วิธีป้องกัน Netcut นะครับ แต่เป็นการทำให้ Scan Netwotk ผ่านทางโปรโตคอล ICMP ไม่ได้... ซึ่งเหล้าบรรดา"เกรียง"ธรรมดาๆก็จะยิง Netcut ไม่ได้ง่ายๆนั้นเอง


หมายเหตุ..
แต่ถ้าท่านผู่อ่านลองแล้ว อาจจะได้ผลหรือไม่ได้ผลอย่างไร ก็ PM มาเล่าสู่กันฟังกับผมด้วยนะครับ

Block เปิด/ปิด Game Online

เรื่องนี้ก็เช่นเดียวกับบทความหัวข้อที่แล้วนะครับ ว่าเรากำลังคุยกันอยู่ในเรื่องของการบล็อกด้วยการปิดพอร์ท...

เราจะต้องแยกพิจารณา ลักษณะการออนไลน์ของเกมออกเป็นประเด็นๆนะครับ (ผมไม่ได้จะแยกประเภทเกมนะครับ แต่ดูที่ลักษณะการออนไลน์ของแอพพลิเคชันเกม)

1.) เกมที่ออนไลน์เพื่ออัพเดตข้อมูลบางอย่าง
เกม ในกลุ่มนี้มักเป็นแอพพลิเคชันเกม ที่รันStandalone-Offlineได้ตามปกติครับ เช่น พวกเกมArcadeทั้งหลาย อาทิ Zuma, Luxor... เกมในกลุ่มนี้จะออนไลน์เพื่อไปอัพเดตข้อมูล เช่น คะแนนสูงสุด, เวลาพิชิตด่านน้อยที่สุด เป็นต้น ซึ่งนอกจากนี้แล้วพวกมันก็เป็นโปรแกรม Offline ปกติดีๆนี่เอง... ฉะนั้นการบล็อกเกมพวกนี้ถือว่า"ป่วยการ"ครับ เพราะถึงจะบล็อกไม่ให้มันออนไลน์ได้ แต่มันก็ยังเล่นOfflineได้อยู่ดี (ก็แค่อัพเดตคะแนน เข้าTop-Chartไม่ได้เท่านั้น)


2.) เกมที่เป็นAppบนโซเชียลเน็ตเวิร์ค
เกม พวกนี้ ผมถือว่าเป็นเกมที่มีส่วนแบ่งการตลาดสูงสุดครับ(และกินแบนวิสสูงสุด) โดยตัวเกมมีลักษณะเป็นAppที่อยู่บนเว็บไซต์โซเชียลเน็ตเวิร์คอีกทีนึง(หลักๆ ก็คือFacebookนั้นล่ะ) ซึ่งไม่ว่าตัวมันจะเป็ร Flash, SilverLight, AIR หรือSDKอื่นๆก็ตาม ตัวของมันสามารถจัดเป็น Web 2.0 ได้ครับ เกมในกลุ่มนี้ก็คือ เก็บผัก เลี้ยงหมู คาเฟ่ พวกนั้นล่ะครับ... ฉะนั้นเราอย่างไปหวังจะบล็อกมันด้วยการปิดพอร์ทครับ ถ้าจะบล็อกมันก็คือบล็อกเว็บหรือบล็อกURLไปเลย... สำหรับวิธีการบ ล็อกURLนั้น ในกรณีของ pfSense 2.0 ต้องใช้ Package Squid ที่เป็น Webcache-Proxy ร่วมกับ SquidGuard ครับ โดยให้เราบล็อกที่URLของเกมครับ...


3.) เกมออนไลน์แบบ Game-Party
เกม พวกนี้เป็นแอพพลิเคชันที่ต้องต่อเน็ตตลอดเวลา เพื่อที่จะPartyเล่นเกมร่วมกับผู้อื่น เช่น DOTA, Warcraft, Starcraft อะไนเทือกๆนี้ล่ะครับ... เกมพวกนี้หลายๆเกมสามารถเล่นในโหมดภาระกิจ(ออฟไลน์)คนเดียวได้ หรือจะอยากมีปฎิสัมพันธ์กับผู้อื่นก็เล่นOnlineก็ได้... วิธีการบล็อกเกมแบบนี้ ทำได้หลายจุดครับ เช่น บล็อกด้วยการปิดพอร์ท, บล็อกด้วยการBlock IPของServerเกม เป็นต้น


4.) เกมออนไลน์ "แฟรนไชส์"
ผม กำลังหมายถึง เกมออนไลน์ที่มัวเมาเยาวชนให้ติดร้านเกมกันงอมแงม..นั้นล่ะครับ ถ้านึกไม่ออก..ก็คือพวก ปังย่า, แรคนาร็อค, แดนช์ออดิชัน, SF ฯลฯ... ถ้าท่านใดจะต่อว่าผมที่กล่าววาจารุนแรง ผมก็ขอกราบขออภัยครับ แต่ก็ด้วยเหตุและด้วยผลแล้ว..มันก็เป็นอย่างนั้นจริงๆ(ถ้าไม่มีเกมพวกนี้ ร้านเกมบ้านเราก็คงเจ๊ง) ก็เอาเถอะครับถ้าเจ้าของร้านเกมเป็นผู้ประกอบการอย่างสุจิตและค่อยดูแลสังคม เกมพวกนี้ก็จะยังเป็นเครื่องผ่อนคลายให้ผู้เล่นครับ... ให้ลองคิดดูถ้าเกมพวกนี้มันอยู่เฉพาะที่บ้านหรือในร้านเกม มันก็คงไม่มีปัญหาอะไร... แต่ถ้ามีคนเอามันลงNotebookแล้วมาเล่นที่ โรงเรียน,สถานศึกษาล่ะ ผมว่าทางครู-อาจารย์ก็คงไม่นิ่งเฉย... เกมในพวกนี้ส่วนใหญ่มีลักษณะเหมือนกันอยู่อย่างนึง คือ จะต้องล็อกอิน หรือต้องกดปุ่ม"เริ่มเกม" ผ่านทางหน้าเว็บไซต์ของค่ายเกมนั้นๆ ซึ่งนี่คือจุดหลักที่เราจะทำการบล็อกมัน การบล็อกเกมพวกนี้ สามารถทำได้ทั้งสองทางครับ คือ จะบล็อกด้วยการปิดพอร์ทก็(มัก)ได้ผล หรือใช้วิธีบล็อกURLเว็บค่ายเกมเพื่อไม่ให้ล็อกอินได้ หรือบล็อกURLเว็บไม่ให้กดปุ่ม"เริ่มเกม"ได้..ปัญหาก็จบแล้วครับ


เมื่อ เราพิจารณาที่ตัวเกมแล้ว เราก็มาทำการบล็อกพวกมันกันครับ (สำหรับการบล็อก URL ด้วย Squid+SquidGuard นั้นโปรดติดตามในบทความหัวข้อหลังๆนะครับ) ในหัวข้อนี้ผมจะทำเฉพาะวิธีปิดพอร์ทครับ


ให้เราเข้าหน้า Firewall --> Rules --> แท็บ Floating...

คราว นี้ผมจะแนะนำวิธีสร้างRuleอีกแบบนึง คือ Copy มาจาก Rule ที่เรามีอยู่เดิมแล้ว... ในที่นี้ผมจะCopyมาจาก "Ruleบล็อกIM" จากหัวข้อที่แล้วครับ
ในรูป ให้คุณกดปุ่ม"+"ที่ท้านบันทัดของ "Ruleบล็อกIM"


โดยRuleที่สร้างใหม่นี้ จะคัดลอกการตั้งค่ามาจาก Rule ต้นฉบับที่เราCopyครับ

คราวนี้เราก็แก้ไขเล็กๆน้อยๆ โดนเปลี่ยนเลข Port เป็น Aliases ของเกม (ในที่นี้คือ GamePort ครับ)
ตรวจสอบความถูกต้องทุกจุดนะครับ... แล้วกดปุ่ม Save


เมื่อ สร้างเสร็จแล้ว Rule อันใหม่ ก็ปรากฎขึ้นที่ใต้Ruleข้อที่เป็นต้นฉบับของมัน... ซึ่งในที่นี้เป็นตำแหน่งที่ถูกต้องแล้ว(จึงไม่ต้องย้ายต่ำแหน่งมันอีกครับ)


ก็ เหมือนบทความหัวข้อที่แล้วครับ ถ้าต้องปิดบล็อก(ห้ามเล่นเกม)ก็ให้เราเลือก ActionของRule เป็น Block ครับ... แต่ถ้าเราจะยอมให้เล่นเกมได้ก็ให้เลือก ActionของRule เป็น Pass ครับ

เรื่อง Port Number ตามมาตรฐาน IANA (well-known, Registered, Dynamic Port)

ในบทความหัวข้อการบล็อกที่ผ่านมา คุณผู้อ่านคงพอจะเข้าใจหลักวิธิการใช้ Rule เพื่อบล็อกการใช้งานอินเตอร์เน็ตด้วยการปิดพอร์ทกันแล้ว แต่วิธีการตัวอย่างที่ผมสอนนั้น มันไม่มีหลักตายตัวนะครับ ว่าจะต้องทำตามแบบผมสอนเท่านั้น จะทำเป็นแบบอื่นไม่ได้... มันไม่ไช่อย่างนั้นนะครับ เพราะมันไม่ได้มีหลักการตายตัวครับ มันขึ้นอยู่กับทักษะความเข้าใจของเรา(ทั้งเชิงเทคนิคและเชิงกลยุทธ์) คุณอาจสร้างRuleในรูปแบบอื่นก็ได้ โดยต้องพิจารณาจากวัตถุประสงค์ความต้องการครับ บางกรณีเราอาจต้องซีเรียสมากๆ บางกรณีก็อาจแค่พอหลวมๆก็พอ ซึ่งก็ขึ้นอยู่กับความเข้มงวดของเน็ตเวิร์คคุณครับ

สำหรับบางท่าน ที่อาจเคยอ่านบทความจากที่อื่นๆมาก่อน อาจสงสัยว่า แล้ว 0-1024 กะ 1025-65535 มันหายไปไหน..? เห็นที่อื่นเข้าสอนว่าต้องเซตด้วยนิ..ไม่เห็นผมสอนให้เซตเลย.!! นั้นล่ะครับ งั่นบทความนี้..เราจะมาคุยเรื่องนี้กัน


Port Number ตามมาตรฐานของ IANA
ไม่ ไช่แค่เรื่อง IP Address เท่านั้นนะครับ ที่ IANA มีหน้าที่กำหนดลักษณะมาตรฐาน ยังรวมมาถึงเรื่อง Port Number ด้วยครับ ทั้งนี้เพื่อให้การใช้งาน Port Number มีแบบแผนเดียวกัน... โดย IANA ร่างข้อกำหนดเรื่อง Port Number ไว้เป็นเอกสาร ข้อ RFC1700 (อ่านได้ที่นี่ - http://tools.ietf.org/html/rfc1700) โดยมีเนื่อหาที่เราควรรู้ดังนี้ครับ

- ให้ Port Number เป็นเลขฐานสอง 16Bit (0-65535)
แรก เริ่มเดิมทีแล้ว(RFC791:ปี1981)กำหนดแค่ 8Bit (0-255)เท่านั้น... แต่ต่อมาก็ขยายเป็น 16Bit (RFC1700:ปี่1991) เพื่อครอบคลุมการใช้งานอินเตอร์เน็ตที่หลากหลายขึ้น โดยยังกำหนดให้แบ่งช่วงเลขพอร์ทเป็นช่วงๆ ได้แก่ well-known, Registered, Dynamic Port/Private ports

- Well-known Port (0-1023)
แปลความหมายเป็นไทย ก็คงจะหมายถึง "พอร์ทที่มีการใช้งานอยู่ก่อน โดยรู้เป็นการทั่วไปแล้ว" ได้แก่พอร์ทหมายเลข 0-1023 (ไม่ไช่ 1-1024 นะครับ) เป็นพอร์ทสำหรับใช้งานทั่วไป โดย"บริการมาตรฐาน"ของอินเตอร์เน็ต จะอยู่ในช่วงนี้ทั้งหมด เช่น HTTP FTP POP3 IMAP เป็นต้น (จนบางคนเรียกว่า "พอร์ทServer")

- Registered Port
เป็นพอร์ทสำหรับให้แอพพลิเคชันต่างๆ นำไปใช้งานสือสารผ่านเน็ตเวิร์ค ได้แก่พอร์ทหมายเลข 1024-65535 (ไม่ไช่เริ่มต้นที่ 1025 นะครับ) โดย IANA พิจารณาเปิดให้ผู้พัฒนาแอพพลิเคชัน(สำคัญๆ)มาลงทะเบี่ยน ว่าใช้พอร์ทเลขนี้ แบบเป็นทางการได้... แต่หลายๆโปรแกรมก็ใช้งานอย่างไม่เป็นทางการครับ ซึ่ง IANA ก็จะพิจารณาว่าไปกระทบกับใครหรือเปล่า ถ้าไม่มีปัญหากับแอพพลิเคชันอื่น ก็แล้วไป (บางคนเรียกพอร์ทข่วงนี้ว่า "พอร์ทโปรแกรม")

- Dynamic Port หรือ Private Port
จริงๆ แล้วเป็นส่วนหนึ่งของ Registered Port ครับ(ไม่ได้แยกออกจากกันโดยสิ้นเชิง) โดยเป็นช่วงพอร์ทหมายเลข 49152-65535 ครับ เป็นพอร์ทที่ IANA กำหนดให้"แอดมิน"หรือ"ผู้ใช้" สามารถนำไปใช้งานได้อิสระ เช่น พอร์ทสือสารระหว่างคอมสองเครื่อง, พอร์ทสำหรับใช้ภายในเน็ตเวิร์ค เป็นต้น (ผมเอง เรียกว่า "พอร์ทส่วนตัว")



คราวนี้เราลองมาพิจารณากันดูครับ...
เราจะเห็นว่า พอร์ทหลักๆ ของอินเตอร์เน็ต ที่เราใช้เล่นเว็บทั้งหมด จะอยู่ในช่วง 0-1023 (อาจจะมี 3128 กับ 8080 ที่เกี่ยวข้อง โดยมันเป็นพอร์ทของ Proxy/Cache ซึ่งก็คือพอร์ทของแอพพลิเคนชั้นตัวนึ่ง)... ส่วนพวกแอพพลิเคชันอื่นๆ ไม่ว่าจะเป็นโปรแกรมแซท หรือ เกมOnline พวกมันก็จะไปอยู่ในช่วง 1025-65535 กันหมด(ยกเว้นโปรแกรมนอกคอกอย่าง Bittorrent/Torนะ)

ด้วย เหตุนี้ ถ้าเราต้องการให้บริการเฉพาะ "ให้ใช้เล่นอินเตอร์เน็ตอย่างเดียว" เราก็เปิดFirewallเฉพาะแค่ 0-1023(และ 3128 หากมีProxy) ก็พอแล้ว... นี่จึงเป็นหลักการนำไปประยุกต์Multiwanเพื่อ"แยกสายเน็ต-แยกสายเกม"นั้นเอง โดยแบ่งที่...
- พอร์ท 0-1023 เป็นพอร์ทที่ให้ไปใช้งาน "สายเน็ต"
- พอร์ท1024-65535 เป็นพอร์ทที่ให้ไปใช้งาน "สายเกม"



แล้ว Bittorrent มันจะมาใช้พอร์ท 0-1023 ไหม..
ผม ก็จะตอบว่า Bittorrent ก็มาใช้ด้วยครับ... แต่โดยปกติของโปรแกรม Bittorrent Client ทั้งไป หากเลือกให้โปรแกรมมันสุ่มพอร์ทเอง หลายโปรแกรมจะสุ่มพอร์ทอยู่ในช่วง 49151-65535 ครับ แต่ตัวผู้ใช้เองก็สามารถกำหนดระบุ เลขPortของ Bittorrent Client ที่ต้องการเองได้ครับ (ซึ่งผู้ใช้บางคนก็อาจลักไก่ ตั้งเลขPortอยู่ในช่วง 0-1023 เพื่อหลบFirewallก็มี)
ฉะนั้นการบล็อกบิตด้วยการปิดพอร์ท ก็ยังต้องปิดพอร์ทที่ไม่จำเป็นให้หมดอยู่ดี (หมายถึง เปิดใช้ 0-1023 เพียงบางพอร์ท ที่จำเป็น)

ชวมมาดูผมโหลดหนังโป๊กันครับ..!! อิๆ...

รูปนี้.. ผมได้ปิดบล็อกพอร์ท 1024-65535 ลงแล้ว โดยเปิดเฉพาะ 1-1023 ซึ่งBittorrentก็ไม่สามารถใช้งานได้(อยู่พักนึง)
แต่แล้ว..รออยู่สัก30นาทีผ่านไป ไอหมอนี่ก็โผล่ขึ้นมา.!!! ดูท่าจะเป็นโคโลซะด้วย ด้วยพอร์ทเลข 113  (ซึ่งเป็นพอร์ทของ Authentication Service)
ฉะนั้นแค่การปิดพอร์ท 1024-65535 จึงไม่เพียงพอที่จะบล็อกบิตด้วยการปิดพอร์ทครับ

Block Port Number (บล็อกเน็ต บล็อกบิท ให้ดูเว็บได้เท่านั้น)

* สำหรับท่านที่เพิ่งเข้ามาอ่านบทความ Tutorial ชุดนี้เป็นครั้งแรก... โปรดคลิกที่นี่..เพื่อไปเริ่มต้นอ่านบทความตั้งแต่ หัวข้อ 2.3. Rule - MiniTutorial เสียก่อนครับ ... ไม่งั่นท่านจะไม่เข้าใจครับ


สำหรับ บทความนี้ จะเป็นประโยชน์สำหรับท่านที่ทำ ธุระกิจหอพัก หรือ สำนักงาน ที่ประสบปัญหาผู้ใช้ โหลดบิท หรือ เล่นCanforg กันกระจาย... จนอินเตอร์เน็ตแทบล้ม(ใช้ทำงานทำการไม่ได้)... เราจะมาจัดการกับปัญหานี้กันครับ

โดยเราจะใช้การตั้งกฎ Rule เพื่อปิดพอร์ทอื่นๆที่ไม่ได้ใช้งานครับ (เท่ากับว่าเป็นการปิดประตูของ Bit กับ Camfrog ไม่ให้ติดต่อกับโลกภายนอกได้)

ซึ่งแนวทางการสร้าง Rule มีดังนี้ครับ
- สร้างกฎที่อนุญาติให้ พอร์ท ที่เกี่ยวกับการดูเว็บผ่านได้
- สร้างกฎที่อนุญาติให้ พอร์ท ที่เกี่ยวกับการรับส่งEmailและFTPผ่านได้
- สร้างกฎที่บล็อกปิด พอร์ท เลขอื่นๆที่ไม่ได้ใช้งาน...
- โดยเราจะสร้างกฎเหล่านี้ใน แท็บ Rule:Floating

ลุยกันเลย...

เข้าเมนู Firewall --> Rules ครับ



แล้วให้กดที่แท็บ Floating ครับ



เมื่อเข้าสูงแท็บ Floating แล้ว... ให้กดที่ปุ่ม "+" ที่ท้ายตารางเพื่อสร้างRuleข้อใหม่ครับ



Ruleข้อแรกที่เราจะสร้างคือ "อนุญาติให้ พอร์ท ที่เกี่ยวกับการดูเว็บผ่านได้"

กรอกตามรูปเลยครับ... (วิธีการคล้ายๆกับบทความหัวข้อ "Block ICMP" ที่ผ่านมาครับ)
โดยตรงที่เลข Port ให้เราพิมพ์ซื่อ Aliases ที่เราได้สร้างไว้แล้วครับ ในที่นี้คือ WebPort นั้งเอง
เสร็จแล้วกด Save


เมื่อกลับมาที่หน้า Floating... ให้กดปุ่ม "+" เพื่อสร้างRuleข้อต่อไปครับ



Ruleต่อไปที่เราจะสร้างคือ "อนุญาติให้ พอร์ท ที่เกี่ยวกับการรับส่งEmailและFTPผ่านได้"
กรอกตามภาพเลยครับ

แต่คราวนี้ตรงเลข Port ให้เรากรอกชื่อ Aliases ซื่อ EmailFilePort ลงไป
จากนั้นกด Save


เมื่อกลับมาที่หน้า Floating... ให้กดปุ่ม "+" เพื่อสร้างRuleข้อสุดท้ายครับ



Ruleสุดท้ายที่เราจะสร้างคือ "บล็อก ปิดพอร์ท เลขอื่นๆที่ไม่ได้ใช้งาน"

กฎข้อนี้จะแตกต่างจากข้อก่อนหน้าครับ เพราะเป็นการ Block..
- Action ให้เลือก Block ครับ
- ตรงช่องกรอกเลขพอร์ท ให้เราคลิกเลือก Any ครับ (หมายถึง ทุกพอร์ท)
เสร็จแล้วกด Save ครับ


เมือกลับมาที่หน้าแท็บ Floating... จะแสดงรายการ Rule ที่เราสร้างขึ้นครับ

ให้ จำไว้ว่า Rule ทุกข้อนั้น มันทำงานด้วยกันหมดนะครับ(ไม่ได้ทำทีล่ะข้อ) ฉะนั้นลำดับก่อนกลัง(บน-ล่าง)ของRuleจึงมีความสำคัญนะครับ ถ้าลำดับไม่ถูกต้อง ผลลัพธ์ อาจผิดพลาดครับ


เอาล่ะ...ลองเทสกันดูหน่อยซิ

สำเร็จครับ... (ในรูปนี้ผมโหลดบิตไปแล้วบางส่วนนะครับ เพื่อให้มีฐานข้อมูลPeerไว้ก่อน จะได้เทสได้ชัวร์ๆ ว่าโหลดบิตต่อใหม่อีกไม่ได้)
- ดูเว็บได้
- ใช้ FTP ได้
- Ping ไม่ได้
- และ Bittorrent เน่า... (ไชโย..เสร็จตรูแล้ว)
(*ในการบล็อกแบบนี้ มีผลกับ Canfrog ด้วยเช่นกันครับ เพราะCamfrog ก็ใช้การสุ่มPortคล้ายๆกับBittorrentเช่นกันครับ)



สำหรับ เรื่องการบล็อก Bit นั้น วิธีการนี้ ไม่ได้ผล 100% นะครับ... แต่ก็เกิน 95-98% ครับ (ที่แน่ๆคนเล่นบิตจะเกิดอารมณ์เซ็งแน่นอน) นอกจากนี้เรายังสามารถใช้ SquidGuard บล็อก URI ของ passkey ได้ด้วยอีกแรงนึง... (แต่การบล็อกPortนั้น เราใช้งานได้โดยไม่ต้องลงSquidครับ)

เอาล่ะครับ ลองเอาไปเทสกันดูนะครับ ได้ผลหรือไม่ได้ผลอย่างไร ก็มาเล่าสู่กันฟังนะครับ

Block เปิด/ปิด โปรแกรมสนทนาทางอินเตอร์เน็ต (IM ทั้งหลาย)

ก่อนอื่น ต้องอย่าลืมว่าเรายังอยู่ในหัวข้อย่อย ของการบล็อกด้วย Port Number นะครับ...

ซึ่งวิธีการบล็อกด้วยการปิดPortนั้น "จะไม่ได้ผลกับโปรแกรม IM ยุคใหม่ๆ" แล้วครับ เพราะเดียวนี้พวกมันได้พัฒนาจนเป็น Web 2.0 ไปแล้ว เช่น Windows Live กับ Yahoo IM ทั้งคู่ได้บิวอินไปอยู่ในหน้าบริการอีเมล์แล้ว นั้นหมายถึงโปรแกรมClientของพวกมันใช้ Port 80 ซึ่งเป็นพอร์ทเดียวกับการดูเว็บ ฉะนั้นตราบใดที่เรายอมเปิดพอร์ทให้ผู้ใช้ดูเว็บได้..เราก็จะบล็อกIMพวกนี้ ไม่ได้ แต่ถ้าเราปิดพอร์ดเพื่อบล็อกเว็บ โปรแกรมIMพวกนี้ก็จะโดนบล็อกพร้อมเว็บด้วยเช่นกัน... ส่วนโปรแกรม IM ที่ยังอนุรักษ์นิยม(ยังใช้Portประจำของตัวเองอยู่)พวกมัน ก็ยังสามารถบล็อกได้ด้วยการปิดพอร์ทครับ

สำหรับผู้ดูแลระบบ ภายในสำนักงาน/office เรื่องนี้ก็ต้องพิจารณานโยบายกันดีๆครับ ถ้าหน่วยเหนือ(ผู้บริหาร)มีคำสั่งลงมาว่า ให้บล็อกIMเพื่อให้พนักงานเลิกคุย(จะได้ไม่อู่งาน)... ทางออกที่เด็ดขาดที่สุดเลย คือ ให้บล็อกเว็บ(ปิดพอร์ทดูเว็บ)พร้อมกันไปด้วยเลยครับ ซึ่งพนักงานก็จะใช้งาน Hotmail, Yahoo-mail ไม่ได้(ก็จะเล่นIMในหน้าเว็บไม่ได้ด้วย เด็ดขาดไปเลย)

แต่ ถ้าทำเด็ดขาดแบบนี้ บางหน่วยงานอาจมีปัญหา หากหน่วยงานนั้นใช้บริการอีเมล์ฟรีของ Hotmail/Yahoo... ทางออกแบบกำปั้นทุบดินก็คือ ให้เปลี่ยนมาใช้อีเมล์แบบ POP3/SMTP ซะ ซึ่งมันก็แน่ล่ะครับ ว่าบางหน่วยงานอาจไม่สะดวกที่จะจัดหาServerหรือเช่าHostingเพื่อทำอีกเมล์ POP3

ฉะนั้นเรื่องนี้ ผมคิดว่า เราต้องแนะนำกลับไปให้ทางหน่วยเหนือทราบ แล้วให้พิจารณาว่าปัญหา ติดแซท-อู่งาน มันเป็นปัญหาใหญ่ขนาดไหน ถ้าเป็นปัญหาใหญ่มาก(จนกู้กมลสันดารพนักงาน ให้มีรับผิดชอบไม่ได้แล้ว)แบบนี้ก็แนะนำให้บล็อกเว็บในเวลางานด้วยไปเลย... แต่ถ้ายังเป็นปัญหาเล็กอยู่ หัวหน้างานสามารถว่ากล่าวตักเตือนพนักงานกันได้ ก็แนะนำให้ใช้พระเดชพระคุณนำไปก่อนครับ(ทางเราก็บล็อกIMบางส่วนด้วยการปิด พอร์ท ได้ผลบ่าง-ไม่ได้ผลบ่าง ก็ว่าๆกันไป... ถ้ามันกู่ไม่กลับจริงๆก็ค่อยทำเด็ดขาดที่หลังครับ)


กลับมาที่วิธีการบล็อก IM ด้วยการเปิดหรือปิดพอร์ทกันต่อ
โดย ขั้นตอนในบทความหัวข้อที่แล้ว เราได้ปิดพอร์ทอื่นๆ(นอกจากดูเว็บ, อีเมล์, FTP)ไปหมดแล้ว ซึ่งหมายความในขณะนี้ โปรแกรม IM(รุ่นเก่าๆที่ใช้Port)ก็โดนหางเลขไปด้วยพร้อมกับBittorrentแล้วครับ(ตอน นี้มันโดนบล็อกไปในตัวอยู่แล้ว)... แต่ถ้าเราต้องการอนุญาติให้ใช้โปรแกรม IM ได้ในบางเวลา และปิดบล็อกมันลงในบางเวลา เราก็จะต้องสร้าง Rule สำหรับพวกมันขึ้นมาครับ


(ผมขออนุญาติ ลดรูปประกอบที่เยิ่นเย้อลงนะครับ)

ไปที่หน้า Firewall-->Rules-->แท็บFloating

กดปุ่ม "+" เพื่อสร้าง Rule ข้อใหม่ครับ


ที่หน้าสร้างRuleใหม่ ให้กรอกข้อมูลตามภาพครับ

โดยคราวนี้ ตรงช่อง Port ให้เราเลือก Aliases ของ IM ครับ (ในที่นี้คือ IMPort)
จากนั้นกด Save


เมื่อกลับมาที่แท็บFloating จะเห็นว่าตำแหน่งบันทัดของRuleที่เราสร้างใหม่นั้น อยู่ผิดต่ำแหน่ง
ตำแหน่งที่มันจะทำงานได้ถูกต้องนั้น จะต้องอยู่ด้านบนของ"ข้อRuleที่ปิดพอร์ทอื่นทุกพอร์ท" ครับ

ก็ให้เราทำการสลับต่ำแหน่งมันครับ (ตามรูปนะ.. ให้เลือกติ๊กถูก แล้วกดปุ่มไอคอนลูกศร ตรงตำแหน่งที่เราจะแทรกมัน)

เมื่อย้ายต่ำแหน่งถูกต้องแล้ว...
ซึ่ง ในRuleข้อที่เราสร้างใหม่นั้น เราได้เลือกให้เป็น Pass คือยอมให้ผ่านได้ ผลก็คือ IM ที่ใช้งานPort ตามที่สร้างไว้ใน Aliases "IMPort" ตอนนี้จะสามารถใช้งานได้แล้วครับ


แต่ถ้าเราต้องการจะปิดหรือบล็อกโปรแกรม IM เหล่านี้.. ให้เราแก้ใข้กฎตรง Action จาก Pass ให้เป็น Block ครับ
วิธีการ ให้กดปุ่ม "e" ที่ท้าย Rule ที่เราต้องการแก้ใข



แล้วเปลี่ยนค่า Action ให้เป็น Block ครับ

จากนั้นกด Save


จะเห็นว่า ไอคอนหน้า Rule บันทัดนี้ ได้กลายเป็น "กากบาทสีแดง" หมายถึงมีสถาณะ เป็น Block ครับ



* อย่าลืมนะครับว่า วิธีการปิดพอร์นนี้ ได้ผลเฉพาะ โปรแกรม IM รุ่นเก่าๆที่ยังใช้พอร์ทประจำตัว อยู่นะครับ... แต่จะไม่ได้ผลกับ IM รุ่นใหม่ๆที่เป็น Web2.0 แล้ว...
** โปรแกรมแซทคราสสิค อย่าง IRC ทั้งหลาย... วิธีการนี้ใช้ได้ผลครับ
 

Pfsense Thailand Copyright © 2011-2012 | Powered by Blogger