block port 6881-6999 ไม่ได้ผลอะไรถ้าเจอ user หัวหมอ จากตัวอย่างดังรูป ที่ผมแนบมาใช้ BitComet
ในการติดต่อพอผม ตั้งค่าให้ใช้ port 10000 มันก็ออกได้ล่ะ ถ้า admin ไม่มีกันป้องกันที่ดี
ทางที่แนะนำ
เปิด port tcp 80 443 25 110 143 8080 53
port udp 53
โดย
80 เว็บ
443 https
25 ส่งเมล
110 pop3
143 imap
8080 proxy
53 dns
1863 msn
4000 qq
นอกนั้นปิดโลด
ผมแก้ใหม่ครับ
enable firewall
create firewall policy="office"
enable firewall policy="office" icmp_f=all
add firewall policy="office" int=vlan21 type=private (บรรทัดนี้กำหนดให้ vlan21 ที่เป็น iP จริงเป็น private)
add firewall policy="office" int=vlan25 type=public (บรรทัดนี้กำหนดให้ vlan25 ที่เป็น iP จริงเป็น pubic)
add firewall poli="office" nat=enhanced int=vlan21 gblin=vlan25 gblip=203.0.0.1 (บรรทัดนี้กำหนดให้บริการ NAT เปิดให้ Vlan21 ออกที่ Vlan25 ที่ IP 203.0.0.1 )
add firewall poli="office" ru=1 ac=allo int=vlan21 prot=tcp po=80
add firewall poli="office" ru=2 ac=allo int=vlan21 prot=tcp po=80
add firewall poli="office" ru=3 ac=allo int=vlan21 prot=tcp po=21
add firewall poli="office" ru=4 ac=allo int=vlan21 prot=tcp po=25
add firewall poli="office" ru=5 ac=allo int=vlan21prot=udp po=53
add firewall poli="office" ru=6 ac=allo int=vlan21 prot=tcp po=110
add firewall poli="office" ru=9 ac=allo int=vlan21 prot=tcp po=8080
add firewall poli="office" ru=299 ac=deny int=vlan21 prot=ALL
set firewall poli="office" ru=299 aft=08:00 bef=18:30
ที่นี้ได้แน่ครับ หรือว่ามีใครจะเสริมอีกไหมครับ ผมขอรับฟังครับ
ขอบคุณครับ
น่าจะทำ qos ด้วยน่ะครับ จะได้ผลดียิ่งขึ้นสำหรับพวกตั้งบิตใช้ port 80
ควรมีการใช้ proxy เพื่อลดภาระ b/w ครับแล้วเราจะได้คุมลูกข่ายได้ง่ายขึ้นอีกครับ
เอาแบบ มก. เลยไหม
ip ไหนมี p2p packet แม้ packet เดียว จะโยน ip นั้นเข้า group ที่ทำการ shape ไว้ เป็นเวลา 30 นาที หรือตามแต่จะตั้งไว้
ของผมปัญหามากกว่านี้อีก ข้อแม้เยอะ userรู้มากอีกต่างหาก
1. block การดาวน์โหลดไฟล์ *.torrent พวกก็โหลดไฟล์ *.torrent มาจากบ้านแล้วมาใช้เน็ทที่ทำงานโหลดตัวงาน
2. blockเน็ท ก็มีข้ออ้างอีกต้องใช้ในการทำงาน
3. บล็อก port เปิดเฉพาะ port ที่ใช้งาน พวกก็พยายามหา port ที่ออกได้
4. blockเว็บที่เป็น tracker ก็มากมายหลายที่เหลือเกินไอ้ที่เรารู้มันรู้ก็เยอะ แต่ไอ้เว็บที่มันรู้แต่เราไม่รู้นี่เยอะกว่า
5. ที่สำคัญถ้าทำให้มันโหลดกันไม่ได้อย่างเด็ดขาด โดนเขม่นแน่นอนครับ ไอ้ผมมันคนใหม่แต่พวกนั้นเค้าอยู่เก่า เดี๋ยวจะมีปัญหากับพวกมาเฟีย
6. แต่พอปล่อยให้โหลด ก็โหลดกันแบบเต็มที่ แบบว่าไม่รู้ตายอดตายอยากมาจากไหน ทั้งที่โปรแกรม Bitcomet มันสามารถจำกัดความเร็วที่ใช้ในการโหลดไฟล์ได้ แต่โลภ+เห็นแก่ตัว
ทางออกของผม
1. ใช้ PC 1 เครื่อง ลง winxp ใช้การ์ดแลน 2 ใบ ทำเป็น Gateway การ์ดแลนใบนึงต่อกับ router อีกใบต่อเข้า Local
2. ลงโปรแกรม winroute เพื่อใช้แชร์เน็ทให้เครื่องในวงแลน
3. ลงโปรแกรม Softperfect Bandwidth Manager เพื่อจำกัด Bandwidth ที่จะส่งไปแต่ละเครื่องในวงแลน จับกันที่ MAC Address เลย
4. เซ็ทค่าที่จะจำกัด Bandwidth ของแต่ละเครื่อง แถมตั้งเวลาเป็นช่วงเวลาได้ด้วย
แค่นี้แหละครับ สวยงามที่สุด ไม่โดนเขม่นเพราะไม่ได้ปิดเด็ดขาด แต่ละเครื่องจะมี Bandwidth เท่าที่ให้ ไปจัดสรรกันเอาเองตัวใครตัวมัน อยากโหลดบิทเต็มที่ก็เข้าเว็บช้า อยากเข้าเว็บเร็ว ๆ ก็ไปลดความเร็ว
บิทที่ตัวโปรแกรมกันเอาเอง
ทำมา 4 เดือนแล้ว สบายใจครับ
ของผมบล็อกง่ายๆ ที่ site office ใช้ ZyXEL รุ่น P660HW-T1 ธรรมดามากๆๆ แค่เล่น adsl
ส่วนของ firewall
Packet Direction WAN to LAN
Source IP = any
Destination IP = ช่วง ip ที่จะบล็อก หรือจะ any ก็ได้
Service = 2000 - 65535 ปรับแต่งเอาเองเลยช่วง port นี้
Action = block
Packet Direction LAN to WAN
Source IP = ช่วง ip ที่จะบล็อก หรือจะ any ก็ได้
Destination IP = any
Service = 2000 - 65535 ปรับแต่งเอาเองเลยช่วง port นี้
Action = block
ถามต่อนะครับ ตามปรกติ linux ใช้ PC ทำได้ประมาณ 200,000 session ไหมครับ
แล้วจะดูจากตรงไหนได้มั่งครับ ว่าเต็มหรือยัง (หรือว่าดูว่าแรมเต็มรึยัง )
ผมเคยเจอ firewall รุ่น soho เจ้านึงครับ ราคาหมื่นปลายๆ ให้มา 40000 session
แค่เปิดโปรแกรม bitcommet ขึ้นมาเฉยๆก็กินไปเยอะแล้ว (แนะนำให้ใช้ utorrent)
กลายเป็นว่าเข้าเน็ตได้มั่งไม่ได้มั่งครับ (session เต็ม) เลยเปลี่ยนไปใช้ linux เลย
0 comments:
Post a Comment