Endian Firewall 2.3 Rc1 - Manual Book

Endian Firewall 2.3 rc1 - Manual Book

Endian Firewall 2.3 rc1~ Manual Book ~

คู่��มื�อการติ�ดติ �งและการปร บแติ�ง Endian Firewall สำ�าหร บผู้��เร��มืติ�น


คู่�าน�า

E-book เล่�มนี้��เกิดจากิแรงบั�ล่ดาล่ใจในี้กิารทำ�า Firewall โดยม�นี้ได�เร�มต้�นี้จากิกิารทำ��เราไม�ร� �เร��องอะไรเล่ยว่�าGreen, Red, Blue, Orange ม�นี้คื�ออะไร? โดยเราร� �เพี�ยงแคื�ว่�าขอให้�เปิ%ดเคืร��อง ต้�อสาย Lan set IP Address แล่ะกิ'

ขอให้�ม�นี้ออกิเนี้'ต้ได�เทำ�านี้��นี้ แต้�ในี้โล่กิแห้�งคืว่ามเปิ(นี้จรงนี้��นี้เราจ�าเปิ(นี้ต้�องใช้� Firewall, Proxy, Load Balance

แต้�... เราจะไปิถามใคืรด�ล่�ะ ????

จนี้ม�ว่�นี้ห้นี้+�งทำ��ผมได�พีบักิ�บัเพี��อนี้ๆทำ�� ThaiAdmin เราจ+งได�ร� �ว่�าทำ��นี้��เปิ(นี้ส�งคืมแห้�งกิารแบั�งปิ.นี้จรงๆ ม�ทำ��งคืว่ามช้�ว่ยเห้ล่�อมต้รภาพี

ในี้เว่ล่าทำ��เราม�ปิ.ญห้าอะไร ThaiAdmin จะคือยเปิ(นี้เว่บัทำ��ให้�คืว่ามช้�ว่ยเห้ล่�อ ช้�ว่ยแกิ�ปิ.ญห้าให้�เราเสมอมา... นี้อกิจากิทำ��ผมจะได�ร�บักิารแกิ�ไขแล่�ว่ ย�งเปิ(นี้แห้ล่�งทำ��ส�าห้ร�บัศึ+กิษาคืว่ามร� �ให้ม�ๆ ได�ด�อ�กิด�ว่ย

แต้�เนี้��องจากิว่�า topic ต้�างๆทำ��เกิ��ยว่กิ�บั Endian Firewall นี้��นี้ย�งปิะปินี้กิ�บั Topic อ��นี้ๆ ทำ�าให้�ม�อให้ม�ทำ��ต้�องกิารจะศึ+กิษา เกิดคืว่ามส�บัสนี้ในี้กิารใช้�งานี้ Endian Firewall บัางทำ�กิ'ห้าไม�เจอ ห้ร�อเจอกิ'ไม�ต้รงปิระเด'นี้ บัางทำ�านี้ย�งต้ดต้��งไม�ได�ด�ว่ยซ้ำ��า

เพีราะไม�ได�ศึ+กิษาต้ามล่�าด�บักิารใช้�งานี้จรง จ+งทำ�าให้�ระบับั Firewall ทำ��ออกิมานี้��นี้ ไม�ม�ปิระสทำธิภาพีเอาซ้ำะเล่ย...

ผมเองกิ'ขอถ�อโอกิาสนี้��ทำ�า E-Book เกิ��ยว่กิ�บักิารต้ดต้��งแล่ะปิร�บัแต้�งข+�นี้มา โดยขอเปิ(นี้เจ�าภาพีงานี้ล่ะกิ�นี้ ทำ��งๆทำ��เปิ(นี้เปิ(ดกิ5าบัๆนี้��ล่�ะ ด�ทำ��ส6ด จะได�อย��ต้รงกิล่างระห้ว่�างคืนี้เกิ�ง แล่ะคืนี้ทำ��ไม�เกิ�ง

ส�ว่นี้เพี��อนี้ๆในี้ Thaiadmin ทำ��เกิ�ง ทำ�านี้ใดต้�องกิารจะเพี�มเต้ม จะแกิ�ไขต้รงไห้นี้ รบักิว่นี้ PM ห้ร�อ DM มาให้�ผมนี้ะคืร�บั ผมจะส�ง Link ไปิให้�ช้�ว่ยทำ�าทำ�นี้ทำ�คืร�บั คืว่ามร� �ของทำ�านี้จะเปิ(นี้ส�งทำ��คืนี้ยกิย�อง

( อยากิให้�มาช้�ว่ยกิ�นี้เยอะๆ คืนี้ล่ะเร��อง คืนี้ล่ะบัทำ ผมกิ'ด�ใจแล่�ว่.. ^o^ )

ส6ดทำ�ายนี้��... E-book อ�นี้นี้�� ไม�สงว่นี้สทำธิ7แต้�อย�างใด ใคืรจะเพี�ม ใคืรจะแกิ�ไข ใคืรจะส�าเนี้า กิ'ได�คืร�บัห�ามืน�า!! ทำ6กิๆข�อคืว่าม ห้ร�อส�ว่นี้ห้นี้+�งส�ว่นี้ใด ในี้ E-book ไปิใช้�ในี้เช้งพีาณิช้ย9 โดยเด'ดขาด...

Somhpong Ph.Soi62@ThaiAdmin

13 Oct 2009

ปิล่. ออกิต้�ว่กิ�อนี้นี้ะคืร�บั ว่�าผมไม�ใช้�เทำพี ไม�ใช้�เซ้ำ�ยนี้ แต้�อยากิให้�ทำ6กิๆคืนี้ได�มาเจอกิ�นี้ทำ��นี้��คืร�บั....

ref : http :// www . thaiadmin . org / board / index . php ? topic =112996.0

http://www.thaiadmin.org/board/index.php?topic=112996.0

















สำารบ ญ

Quality of Service Devices

Part 1 :Endian Firewall (EFW) Overview -Endian Firewall Community คื�ออะไร? (Neoboyd@Thaiadmin) -

ทำ�าไมถ+งต้�องใช้� EFW? แล่�ว่ม�นี้ด�อย�างไร? -

กิารดาว่นี้9โห้ล่ด EFW(Neoboyd@Thaiadmin)-

กิารจ�ดเต้ร�ยม Hardware (Neoboyd@Thaiadmin) - เร�มกิารต้ดต้��งโปิรแกิรม (Soi62@Thaiadmin) -

Part 2 : เร�ยนี้ร� �Network พี��นี้ฐานี้ (Neoboyd@Thaiadmin) -

กิารปิร�บัแต้�งคื�าเร�มต้�นี้ (Green & Red) (Neoboyd@Thaiadmin) - กิารออกิแบับั Network ร�ว่มกิ�บั EFW เบั��องต้�นี้ -

Green, Red, Blue แล่ะ Orange(DMZ) คื�ออะไร (Neoboyd@Thaiadmin - ขา Red ทำ��ช้าว่ ThaiAdmin ใช้�กิ�นี้บั�อยๆ ม�อะไรบั�าง? -

Part 3 : กิาร config Firewall พี��นี้ฐานี้ กิาร config system access กิาร config outgoing

Part 4 :4.1 กิารเซ้ำ'ต้ Proxy พี��นี้ฐานี้ (Neoboyd@Thaiadmin) -4.2 กิารกิ�าห้นี้ดคื�า Contentfilter เพี��อ block เนี้��อห้า, เว่'บัไซ้ำต้9ต้�างๆ (tototyt)

Part 5 : กิาร config Logging เพี��อใช้�ในี้กิารเกิ'บั Log -

กิารเล่�อกิด� Log ต้ามช้�ว่งเว่ล่า -

Part 6 : กิาร Config VPN server

Open VPN Client to Site (tototyt@thaiadmin)Open Vpn Site to Site (tototyt @ thaiadmin )

-

IPSEC

Endian Firewall 2.3 rc1 - Manual BookPart 7 : Network7.1 Interfaces : กิารเพี�มจ6ดเช้��อมต้�อ ( Link ) 7.2 Routing : กิ�าห้นี้ดเส�นี้ทำางเพี��อใช้�ในี้กิารนี้�าทำาง7.3 Edit Hosts : เพี�มห้ร�อแกิ�ไข Hosts

Part 8 : Service

8.1 DHCP : IP Address อ�ต้โนี้ม�ต้8.2 Traffic Monitoring : ต้ดต้ามคืว่บัคื6มกิารร�บัส�งข�อม�ล่ของเคืร�อข�าย ว่เคืราะห้9แล่ะรายงานี้

ด�ว่ย Ntop 8.3 Quality of Service Devices (QOS) : กิารจ�ดกิารคื6ณิภาพีบัรกิารในี้อนี้เทำอร9เนี้'ต้

Part 9 :FAQ -

Part 10 :Appendix (ภาพีผนี้ว่กิ) -Credits (รายนี้ามผ��ร �ว่มจ�ดทำ�า) -


Part 1 :

Endian Firewall (EFW) Overview

First Sceen (Dashboard)


Dashboard Quality of Service and Bandwidth Management


Intrusion Prevention System Group-based content filtering & enhanced Web Security

Enhanced Network Address Translation (NAT)

Other....- Traffic-based Hotspot tickets and automatic user generation- Event handling and notification- SNMP support- Revamped Mail Security

Endian Firewall 2.3 rc1 - Manual Book- Sophos Anti-Virus (optional)- Commtouch RPD (optional)


Endian Firewall Community คู่�ออะไร?

Endian Firewall Community คื�อ ล่�นี้6กิซ้ำ9ปิระเภทำห้นี้+�งทำ��ออกิแบับัมาเพี��อคืว่ามปิล่อดภ�ย ซ้ำ+�งถ�กิเปิล่��ยนี้ทำ6กิ ระบับัเพี��อมาเปิ(นี้ อ6ปิกิรณิ9ทำางด�านี้คืว่ามปิล่อดภ�ยของเคืร�อข�ายด�ว่ยกิารทำ�างานี้แบับั Unified Threat Management

(UTM)* ต้�ว่ซ้ำอฟทำ9แว่ร9ถ�กิออกิแบับัให้�ใช้�งานี้ได�ง�าย ง�ายต้�อกิารต้ดต้��งใช้�งานี้แล่ะกิารจ�ดกิาร โดยคื6ณิล่�กิษณิะทำ��เพี�มเข�ามาได�แกิ�...

1. Stateful packet inspection firewall**

2. Application-level proxies for various protocols (HTTP, FTP, POP3, SMTP) with Antivirus support

3. Virus and spamfiltering for email traffic (POP and SMTP)4. Content filtering of Web traffic5. VPN solution (based on OpenVPN)

ข�อด�ทำ��ส�าคื�ญของ Endian Firewall คื�อเปิ(นี้ software แบับั Open source สนี้�บัสนี้6นี้โดย บัรษ�ทำ Endian S.r.l.

* Network firewall + E-mail spam filtering + Anti-virus capability + IDS or IPS = UTM** Stateful packet inspection firewall

ทำ�าไมืถึ!งติ�องใช้� EFW? แล�วมื นด%อย่�างไร?

1. ทำ�านี้ไม�ต้�องเส�ยเงนี้ซ้ำ��อ Firewall จากิคื�ายด�งๆ ในี้ราคืาแพีงๆ เพีราะ EFW ทำ�าได�ห้มด แล่ะเปิ(นี้ OpenSource 2. ทำ�านี้ไม�จ�าเปิ(นี้ต้�องร� �คื�าส��ง Linux มากิมายห้ร�อข+�นี้ส�ง เพีราะทำ�านี้สามารถ config ทำ6กิอย�างได�จากิ Web Browser***

3. ไม�จ�าเปิ(นี้ต้�องจ�ดห้า จ�ดซ้ำ��อเคืร��องให้ม�ๆ เคืร��องแรง เพีราะเราไม�ต้�องกิารใช้�งานี้มากิมายขนี้าดปิระมว่ล่ผล่ 3D เคืร��องทำ�� ม�ๆ อย6�กิ' เพี�ยงพีออย��แล่�ว่

4. ทำ�านี้ไม�ต้�องจ�าง consult, ไม�ต้�องจ�างใคืรมาต้ดต้��งให้� แล่ะเบั��อทำ��ต้�องให้�คืนี้อ��นี้ config แล่ะกิ'ไม�ต้รงต้ามคืว่ามต้�องกิาร ปิ.ญห้าเห้ล่�านี้��จะห้มดไปิ เพีราะทำ�านี้จะเปิ(นี้คืนี้ทำ�าเอง แกิ�ไขเอง ไม�ม�คื�าใช้�จ�าย

5. ม�แห้ล่�ง community ด�ๆ ทำ�� ThaiAdmin อย��แล่�ว่ ไม�ต้�องกิล่�ว่ ว่�าทำ�านี้จะอย��คืนี้เด�ยว่ อย�างเด�ยว่ดาย

" ถึ�าน บข้�อด%ได�คู่รบทำ �ง 5 ข้�อแล�ว เรามืาเร��มืก นเลย่ด%กว�าคู่ร บ ^o^ "

***Web Browser : โปิรแกิรมทำ��ใช้�ในี้กิารเปิ%ดเว่บัต้�างๆ เช้�นี้ Internet Explorer, FireFox, Safari, Chrome, etc...

การ Download EFW ในี้ปิ.จจ6บั�นี้ Endian Firewall ได�พี�ฒนี้ามาถ+ง version 2.3 rc1 แล่ะย�งคืงพี�ฒนี้าอย�างต้�อเนี้��องซ้ำ+�งย�งคืงม�ออกิมาอย�าง

ต้�อเนี้��อง โดยเราสามารถดาว่นี้9โห้ล่จากิเว่'บัไซ้ำต้9ทำ��...

Endian Firewall Community 2.3 Release Candidate

https://sourceforge.net/projects/efw/files/Development/EFW-2.3-RC1/EFW-COMMUNITY-2.3-rc1-200909171932.iso/download






http://www.thaicert.nectec.or.th/paper/firewall/stateful.php




Endian Firewall 2.3 rc1 - Manual Book ซ้ำ+�งม�ขนี้าด 123 MB. ซ้ำ+�งห้ล่�งจากิ download เราจะได�เปิ(นี้ไฟล่9 ISO ให้�ใช้�โปิรแกิรมทำ��สามารถเข�ยนี้ไฟล่9 ISO ได� เข�ยนี้ล่ง

แผ�นี้ CD เทำ�านี้��นี้ ซ้ำ+�งคืว่ามเร'ว่ทำ��ใช้�ในี้กิารเข�ยนี้ CD ต้รงนี้�� คืว่รใช้� speed ทำ��ไม�ต้�องส�งมากิเ�พี��อปิ=องกิ�นี้กิารอ�านี้แผ�นี้ไม�ได� ผม แนี้ะนี้�าทำ�� 4x ~ 12X คืร�บัจะผดพีล่าดนี้�อย

การจั ดเติร%ย่มื Hardware พื้��นฐาน

คืว่ามต้�องกิารระบับัของ Endian Firewall Community Edition ม�ด�งนี้��1. กิาร9ดแล่นี้ต้ามจ�านี้ว่นี้ Zone ทำ��เราม� ซ้ำ+�งจะพี�ดถ+งอ�กิคืร��งต้อนี้ทำ��เราทำ�ากิารออกิแบับัระบับั network

2. ต้�ว่อ6ปิกิรณิ9ฮาร9ดแว่ร9ทำ��ม�คืว่ามเข�ากิ�นี้ได�กิ�บั Linux operating system ซ้ำ+�งสามารถด�ได�ทำ��นี้�� Linux . com article for more details . คื6ณิสามารถทำดล่องต้รว่จสอบัคืว่ามเข�ากิ�นี้ได�ของระบับัด�ว่ยกิารทำดล่องต้ดต้��ง

CentOS 4.6 operating system . ถ�ากิารต้ดต้��ง CentOS สามารถต้ดต้��งได�อย�างปิกิต้ แล่ะสามารถใช้�งานี้ ระบับัเคืร�อข�าย ซ้ำ�ด�รอม แล่ะเปิ%ดใช้�งานี้ทำ��เกิ'บัข�อม�ล่ต้�างๆ ได�อย�างนี้��นี้ถ�อได�ว่�าต้�ว่อ6ปิกิรณิ9ของคื6ณิม�คืว่ามเข�ากิ�นี้ได�กิ�บั

ระบับัเปิ(นี้อย�างด� ปิ.ญห้าส�ว่นี้ให้ญ�ในี้กิารต้ดต้��งอ6ปิกิรณิ9เกิดข+�นี้จากิ driver ไม�ม�มาให้�ในี้ version ทำ��เปิ(นี้ของ linux แต้�คื6ณิกิ'สามารถห้ล่�กิเล่��ยงปิ.ญห้าด�งกิล่�าว่ด�ว่ยกิารใช้�กิาร9ดแล่นี้ทำ��ม� chipset เปิ(นี้ของทำาง Realtek ห้ร�อ Intel

กิาร9ดจอแบับัออนี้บัอร9ดทำ��เปิ(นี้ของ intel ห้ร�อ Nvidia แล่ะพียายามห้ล่�กิเล่��ยงกิารใช้�ซ้ำอฟทำ9แว่ร9 Raid ย�งไงกิาร เล่�อกิใช้� hardware ให้�นี้+กิถ+งคืว่ามเปิ(นี้จรงในี้กิารออกิแบับัระบับัว่�า เราจะต้�องเพี�มอ6ปิกิรณิ9 แล่ะคืว่ามต้�องกิารมากิ

นี้�อยแคื�ไห้นี้ ข+�นี้อย��กิ�บักิารใช้�งานี้เปิร�ยบัเทำ�ยบักิ�บัขนี้าดของระบับัทำ��จะต้�องรองร�บั

การน�าอ+ปกรณ์- Computer เก�าเพื้��อน�ามืาติ�ดติ �ง Endian Firewall

ถ�าคื6ณิม�อ6ปิกิรณิ9คือมเกิ�า คื6ณิสามารถนี้�าม�นี้มาใช้�ต้ดต้��งส�าห้ร�บัระบับั Network ขนี้าดเล่'กิโดยอาจจะม�ผ��ใช้�ส�กิ 25 คืนี้ร�ว่ม กิ�บักิารเช้��อมต้�อ Vpn 5 connection โดยระบับัด�งกิล่�าว่ม�ด�งนี้��...

Recommend Spec :● Pentium 3.1 GHz.

● 512 MB. RAM● 8 GB. Hard Disk Drive

● 1 x 100 Mb. Network Cards (Green & Red ในี้ขาเด�ยว่กิ�นี้)● พี�ดล่มทำ��ม�แรงล่มด�แล่ะรองร�บักิารทำ�างานี้ 24 hrs. x 365 days

ส�าห้ร�บัระบับัขนี้าดกิล่างทำ��ม�ผ��ใช้� 50 คืนี้ข+�นี้ไปิแล่ะกิารเช้��อมต้�อ vpn 10 connections ขอแนี้ะนี้�าให้�เปิ(นี้เสปิ(คืด�งนี้��:

Performance Spec :● Pentium4 2.8 GHz. up

● 1~4 GB. RAM up● 20~80 GB. Hard Disk Drive (Caching, Logging)*

● 4 x 100 Mb. Network Cards (Green, Red, Blue, Orange ต้ามกิารใ�ข�งานี้)● พี�ดล่มทำ��ม�แรงล่มด�แล่ะรองร�บักิารทำ�างานี้ 24 hrs. x 365 days

*Caching : คื�อกิารช้�ว่ยล่ดภาระกิารดาว่นี้9โห้ล่ดไฟล่9ต้�างๆจากิ ISP โดยต้รง Client จะดาว่นี้9โห้ล่ดข�อม�ล่ต้�างๆจากิ EFW กิ�อนี้ไปิดาว่นี้9โห้ล่ดทำ�� ISP โดยต้รง

*Logging : กิารเกิ'บั Log ในี้ EFW เนี้��องจากิต้าม พีรบั. ต้�องเกิ'บัอย�างนี้�อย 90 ว่�นี้ ซ้ำ+�งอาจจะต้�องใช้�เนี้��อทำ��มากิ...

http://centos.org/

http://centos.org/

http://centos.org/

http://centos.org/

http://www.linux.com/feature/118497







Endian Firewall 2.3 rc1 - Manual Bookเร��มืการติ�ดติ �งโปรแกรมื

1. ข��นี้แรกิให้�ทำ�ากิารต้ดต้��งโดยใส�แผ�นี้ CD ทำ��ไรทำ9มาจากิห้�ว่ข�อทำ��แล่�ว่ล่งในี้ CD-Rom Drive แล่�ว่เปิ%ดเคืร��องจะปิรากิฎด�งร�ปิ ถ�าไม�ข+�นี้แบับันี้��แสดงว่�าทำ�านี้ย�งไม�ได�ต้��ง Boot ทำ�� CD-Rom Drive ให้�ไปิปิร�บัแต้�งให้�ถ�กิต้�อง....

2. เม��อกิด Enter เข�ามาจะพีบัห้นี้�าจอแบับัด�านี้ล่�างนี้��คืร�บั ในี้ทำ��นี้��เราเล่�อกิภาษาอ�งกิฤษนี้ะคืร�บั แล่�ว่กิด Enter ไปิข��นี้ต้อนี้ต้�อไปิ..


3. เม��อพีบัห้นี้�าจอนี้�� เปิ(นี้ห้นี้�าจอต้�อนี้ร�บั เพี��อเร�มกิารต้ดต้��ง กิด Enter ผ�านี้ไปิได�เล่ยคืร�บั


4. ห้นี้�านี้��ส�าห้ร�บัแจ�งทำ�านี้ว่�า ห้ล่�งจากิล่ง EFW ข�อม�ล่ในี้ HDD ของทำ�านี้จะส�ญห้ายทำ��งห้มด เพีราะ Endian จะทำ�ากิารแบั�งเนี้��อทำ��ให้ม�ทำ��งห้มด ให้�เล่�อกิ Yes แล่�ว่กิด Enter ต้�อไปิได�เล่ยคืร�บั

5. ห้นี้�านี้��ต้�องกิารบัอกิทำ�านี้ว่�าต้�องกิารใช้�งานี้ console ผ�านี้ Serial ห้ร�อไม� ถ�าเราใช้�กิ' Yes แต้�ในี้ทำ��นี้��ผมไม�ได�ใช้�นี้ะคืร�บั เพีราะเราด�ผ�านี้ ขา Green อย��แล่�ว่.... ผมจ+งเล่�อกิ No แล่�ว่กิด Enter ไปิเล่ยคืร�บั.....


6. ถ�าข+�นี้ห้นี้�าจอแบับันี้�� ให้�รอส�กิปิระมาณิ 5-10 นี้าทำ�คืร�บั ระบับัล่�งต้ดต้��ง ช้�ว่งนี้��เดนี้เล่�นี้กิ�อนี้ได�คืร�บั


7. ถ�ามาถ+งต้รงนี้��แล่�ว่ เขาต้�องกิารให้�กิ�าห้นี้ด IP Address ของว่งในี้ ห้ร�อทำ��เราเร�ยกิว่�าขอ Green คืร�บั เปิล่��ยนี้ต้ามทำ��ทำ�านี้ ต้�องกิารได�เล่ย แต้�ถ�าย�งไม�ร� 'ว่�าจะต้��งว่�าอะไรด� กิ'ต้��งต้ามผม(ในี้ร�ปิด�านี้ขว่า)ได�คืร�บั.... แล่�ว่กิ'กิด Enter ต้�อไปิ ให้�เร�ยบัร�อย...


8. เม��อกิ�าห้นี้ด IP Address ไปิแล่�ว่ ระบับัจะทำ�ากิาร Eject แผ�นี้ CD ให้�คืร�บั... แต้�ถ�าถาดไม�ออกิ แล่ะม�ข�อคืว่ามแบับันี้��ไม� ต้�องต้กิใจคืร�บั EFW ต้�องกิารให้�เราเอาแผ�นี้ออกิ เพีราะระบับัจะทำ�ากิารร�บั�ต้ให้ม�คืร�บั

9. EFW ถ�กิต้ดต้��งเสร'จสมบั�รณิ9แล่�ว่ กิด Enter เพี��อ Reboot ระบับัให้ม�อ�กิคืร��ง...


10. ระบับัจะ Shutdown อ�ต้โนี้ม�ต้ ให้�รอปิระมาณิ 10 ว่นี้าทำ� ไม�ต้�องทำ�าอะไรคืร�บั

11. ห้ล่�งจากิร�บั�ต้ข+�นี้มาให้ม�แล่�ว่ จะพีบัห้นี้�าต้าแบับันี้�� ถ�าไม�ข+�นี้ให้�เช้'คืด�แผ�นี้ CD คืร�บั ว่�าเอาออกิร+ย�ง.... ? ส�ว่นี้ห้นี้�าจอนี้��เราไม�ต้�องกิดอะไรเพี�มคืร�บั รออย�างเด�ยว่


12. ระบับักิ�าล่�งโห้ล่ด config ต้�างๆข+�นี้มาต้ามล่�าด�บัคืร�บั


13. ห้ล่�งจากิทำ��บั�ต้เร�ยบัร�อยแล่�ว่ จะพีบัห้นี้�าต้าแบับัด�านี้ล่�างคืร�บั ในี้ห้นี้�าจอจะบัอกิว่�า ขา Green IP อะไร.... 0-Shell : คือมมานี้ด9 ส�าห้ร�บัคืนี้ทำ��เกิ�งๆ linux กิ'สบัายไปิคืร�บั ใคืรทำ��ไม�เกิ�งห้ร�อไม�ร� � ไม�ต้�องกิล่�ว่คืร�บั เด�Aยว่เราม�

ว่ธิ�เข�าแบับัง�ายๆในี้บัทำต้�อไปิ 1-Restore Factory : เว่ล่าทำ��เรา config ผด แล่�ว่ทำ�าให้�ไม�สามารถเข�า EFW ได� เราไม�ต้�องล่งให้ม�ทำ��งห้มดนี้ะ

คืร�บั ให้�เล่�อกิข�อนี้�� ระบับัจะ Clear ทำ6กิอย�างให้�เห้ม�อนี้กิ�บัต้อนี้ล่งเสร'จให้ม�ๆ เล่ยคืร�บั 2-Reboot : ใช้�เว่ล่าทำ�� EFW แฮงคื9ห้ร�อม�ปิ.ญห้า เรากิ'เล่�อกิข�อนี้��เพี��อให้�ระบับั ร�บั�ต้ให้ม�ได�ทำ�นี้ทำ�คืร�บั


14. ถ�าทำ�านี้ต้�องกิารทำดสอบั EFW Shell ทำ�านี้ต้�องใช้� username=root ; password=endian ด�งร�ปิ...

แล่ะถ�าต้�องกิารออกิมาย�งเมนี้�เดมให้�พีมพี9คื�าว่�า exit แล่�ว่กิดปิ6Bม Enter คืร�บั...

จบักิารต้ดต้��งคืร�บั....

Endian Firewall 2.3 rc1 - Manual Bookการปร บแติ�งคู่�าเร��มืติ�น

ห้ล่�งจากิทำ��ต้ดต้��ง Endian Firewall แล่�ว่เราจะเข�ามาส��กิาร Config ซ้ำ+�งจะทำ�าผ�านี้ทำางห้นี้�าเว่'บัโดยให้�เราพีมพี9 http:// ต้าม ด�ว่ย ip ทำ��เรากิ�าห้นี้ดในี้ข��นี้ต้อนี้ทำ�� 7 ของกิารต้ดต้��งแล่ะกิ�าห้นี้ด IP ของ Green กิ'จะได�ห้นี้�าต้�างต้ามร�ปิข�างล่�างนี้��

1. ให้�เรากิดปิ6Bม >>> เพี��อเร�มกิาร config เล่ยนี้ะคืร�บั

2. กิ�าห้นี้ดคื�าต้ดต้��งภาษาเปิ(นี้ English(English) แล่ะเขต้เว่ล่า Asia/Bangkok

3. คืล่Cกิทำ�� Accept License เพี�มยอมร�บัในี้สทำธิ7ของกิารใช้�ซ้ำอฟทำ9แว่ร9


4. ในี้ข��นี้ต้อนี้นี้��จะเปิ(นี้กิารทำ�า Restore จากิไฟล่9 Backup ในี้กิรณิ�ทำ��คื6ณิเคืยต้�ดต้��ง Endian Firewall ไว่�กิ�อนี้แล่�ว่ สามารถ Restore ต้�ว่ระบับัให้�กิล่�บัมาทำ�างานี้ได�อ�กิคืร��งทำ�นี้ทำ� แต้�ถ�าเปิ(นี้กิารต้ดต้��งให้ม�ให้�เล่�อกิ NO แล่ะกิดทำ��ปิ6Bม >>>

ในี้กิรณิ�ทำ��เปิ(นี้กิาร Restore ให้�เล่�อกิต้�ว่เล่�อกิเปิ(นี้ Yes แล่ะกิดปิ6Bม >>> จากินี้��นี้ระบับัจะให้� Browse เพี��อใส�ไฟล่9 Config ทำ��ได� Backup ไว่�แล่ะเร�มต้�นี้ระบับัต้�อได�ในี้ทำ�นี้ทำ�

5. จากินี้��นี้ให้�ทำ�ากิารกิ�าห้นี้ดรห้�สผ�านี้เพี��อใช้�ในี้กิารเข�าเว่'บัแล่ะกิาร Remote โดยใช้� SSH เพี��อกิารต้��งคื�าระบับั ทำ��งนี้��กิารต้��งคื�า รห้�สต้�องม�คืว่ามยาว่ไม�นี้�อยกิว่�า 6 ต้�ว่อ�กิษรนี้ะคืร�บั เม��อต้��งคื�าเสร'จแล่�ว่ให้�กิดปิ6Bม >>>


6. ข��นี้ต้อนี้ในี้กิารกิ�าห้นี้ดปิระเภทำของ Red Interface ทำ��ใช้�ในี้กิารต้�อ Internet ซ้ำ+�งร�ปิแบับัของคื6ณิเปิ(นี้แบับัไห้นี้ ซ้ำ+�งสามารถอธิบัายได�ด�งนี้��

1. Ethernet Static เปิ(นี้กิารกิ�าห้นี้ด IP ให้�กิ�บักิาร9ดแล่นี้โดยระบั6เล่ขห้มาย IP แบับัถาว่ร2. Ethernet Dhcp เปิ(นี้กิารกิ�าห้นี้ด IP ให้�กิ�บักิาร9ดแล่นี้โดยได�ร�บั IP จากิ DHCP Server ห้ร�ออ6ปิกิรณิ�7ทำ��จ�าย IP ได�3. PPPOE เปิ(นี้กิารเช้��อมต้�อ internet แบับั Adsl ร�ปิแบับัห้นี้+�งทำ��จะต้�องใส� username password แล่ะได�ร�บั IP

จากิ ISP ซ้ำ+�ง IP ทำ��ได�ร�บัจะข+�นี้อย��กิ�บักิารบัรกิารทำ��สม�คืรใช้�อาจจะเปิ(นี้ Fix ห้ร�อ Dynamic กิ'ได�4. Adsl แบับั USB ห้ร�อ PCI คื�อ adsl ทำ��ม� interface ทำ��เปิ(นี้ usb ห้ร�อ pci กิาร9ดซ้ำ+�งจะต้�างจากิข�อ 3 ต้รงทำ��จะม�ข� �นี้

ต้อนี้ในี้กิารใส� driver ของต้�ว่อ6ปิกิรณิ9เพี�ม5. ISDN เปิ(นี้ร�ปิแบับักิารต้�อโมเด'มช้นี้ดห้นี้+�งทำ��ม�ล่�กิษณิะแบับั digital ไม�คื�อยได�ร�บัคืว่ามนี้ยมเพีราะม�คืว่ามเร'ว่นี้�อย แต้�

ม�คืว่ามเสถ�ยรมากิ6. Analog/UMTS Modem เปิ(นี้ร�ปิแบับักิารเช้��อมต้�อแบับัโมเด'มอนี้าล่5อกิรว่มถ+งกิารเช้��อมต้�อแบับั UMTS* ซ้ำ+�งพีบั

ในี้กิารเช้��อมต้�อส�าห้ร�บัโทำรศึ�พีทำ9ม�อถ�อ7. Gateway เปิ(นี้กิารกิ�าห้นี้ดให้� Endian เปิ(นี้ทำางผ�านี้ส�าห้ร�บักิารเช้��อมต้�อ Internet โดยห้นี้�าทำ��ของกิาร Nat จะไปิ

อย��ทำ�� router

*UMTS ย�อมาจากิ "Universal Mobile Telecommunication System" เปิ(นี้เคืร�อข�ายในี้ย6คื 3G ทำ��ม�พี�ฒนี้ากิาร มาจากิเคืร�อข�าย GSM, GPRS แล่ะ EDGE ซ้ำ+�งห้ล่าย ๆ คืร��งอาจเร�ยกิได�ว่�าเปิ(นี้เคืร�อข�าย W-CDMA โดยม�จ6ดม6�งห้มายเพี��อ

ต้อบัสนี้องคืว่ามต้�องกิารใช้�งานี้ด�านี้กิารร�บั- ส�งข�อม�ล่ทำ��มากิ ข+�นี้ของล่�กิคื�า เคืร�อข�าย UMTS นี้��นี้จะม�คืว่ามเร'ว่ในี้กิารร�บัส�ง ข�อม�ล่ส�งถ+ง 2 Mbit/sec ซ้ำ+�งม�คืว่ามเร'ว่ในี้กิารร�บั- ส�งข�อม�ล่ทำ��มากิกิว่�าเคืร�อข�าย EDGE ทำ��ใช้�บัรกิารในี้ปิ.จจ6บั�นี้ถ+ง 4 เทำ�า


7. กิารกิ�าห้นี้ดร�ปิแบับัของระบับัเคืร�อข�ายว่�าม� Network Zone ไห้นี้บั�างซ้ำ+�งในี้ข��นี้ต้อนี้นี้��จะม� Zone ทำ��เกิ��ยว่ข�องระห้ว่�างBlue กิ�บั Orange ซ้ำ+�งสามารถอธิบัายได�ด�งนี้��...

1. Orange Zone ส�ว่นี้ให้ญ�จะใช้�ในี้กิารทำ�า DMZ เพี��อใช้�ในี้กิารว่าง Server เพี��อให้�บัรกิารต้�างๆ ด�ว่ยกิาร Map กิ�บัPublic IP ทำ��ได�ร�บัจากิ ISP

2. Blue Zone ส�ว่นี้ให้ญ�ใช้�ในี้กิารทำ�า Wifi Zone เพี��อให้�ปิล่อดภ�ยกิ�บักิารใช้�งานี้

* ส�าห้ร�บับัทำนี้�� เราจะข�ามเร��อง Blue & Orange ออกิไปิกิ�อนี้นี้ะคืร�บั เพีราะปิ=องกิ�นี้คืว่ามส�บัสนี้ของทำ6กิทำ�านี้ ให้�เล่�อกิเปิ(นี้ None ไปิกิ�อนี้แล่�ว่กิดปิ6Bม >>>


8. ข��นี้ต้อนี้กิารกิ�าห้นี้ดกิารเข�าใช้�งานี้ Internet

8.1 Red interface เปิ(นี้แบับั Ethernet Static1. IP address ให้�ใส�คื�า ip ทำ��อย��ในี้ช้�ว่งทำ��เราได�ร�บัมาซ้ำ+�งสามารถออกิ Internet ไ�ด�ซ้ำ+�งส�ว่นี้ให้ญ�จะเปิ(นี้กิารเช้��อม

ต้�อปิระเภทำ Leased Line แบับัต้�างๆ ห้ร�อ Adsl ทำ��เปิ(นี้แบับั Fixed IP โดยให้� Ip 1 เบัอร9ระบั6ในี้ช้�อง IP address พีร�อมระบั Subnet Mask ในี้ช้�องด�านี้ข�าง

2. Add additional Addresses(One IP/Netmask or IP/CIDR perline): คื�อกิารระบั6IP ทำ��ได�ซ้ำ+�งอย�� ในี้ช้�ว่ง ยกิต้�ว่อย�างเช้�นี้ในี้กิารออกิแบับัระบับัคื6ณิได�ต้ดต้��ง Leased Line ซ้ำ+�งม� IP 8 เบัอร9 1 เบัอร9ส�าห้ร�บั

Network Class, 1 เบัอร9 ส�าห้ร�บั Router, 1 เบัอร9ส�าห้ร�บั ฺEBroadcasting แล่ะอ�กิ 1 เบัอร9ส�าห้ร�บัEndian Firewall ทำ�นี้��เบัอร9 IP ทำ��เห้ล่�อ อ�กิ 4 เบัอร9ให้�คื6ณินี้�ามาใส�ในี้ช้�อง เพี��อทำ��จะนี้�ามา Map เข�าไปิในี้Orange Zone เพี��อให้�บัรกิาร Server ในี้แบับัต้�างๆ ซ้ำ+�งร�ปิแบับักิารใส�อาจจะเปิ(นี้172.16.1.10/255.255.255.0 ห้ร�อ 172.16.1.10/24 ทำ�ล่ะบัรรทำ�ดจนี้คืรบั

3. เล่�อกิ Interface ห้ร�อกิาร9ดแล่นี้ใบัทำ��ใช้�เช้��อมต้�อ4. Default Gateway ทำ��เราใช้�ออกิ Internet


8.2 Red interface เปิ(นี้แบับั Ethernet DHCP

1. ให้�เล่�อกิ Interface ทำ��ใช้�ในี้กิารต้�อ Internet แบับั DHCP2. MTU เปิ(นี้กิารกิ�าห้นี้ดคื�านี้าดของ packet ทำ��ให้ญ�ทำ��ส6ดทำ��สามารถส�งได� ถ�าไม�ใส�จะใช้�คื�ามาต้รฐานี้3. Spoof Mac address with อ�นี้นี้��ให้�ใส� Mac address ของกิาร9ดแล่นี้ จะไม�ใส�กิ'ได�คืร�บัเพีราะระบับัต้รว่จ

เจอเอง

Endian Firewall 2.3 rc1 - Manual Book4. ระบั6 Dns ม�2 แบับั แบับัอ�ต้โนี้ม�ต้ คื�า Dns server จะกิ�าห้นี้ดโดย ISP แต้�ถ�า Manul เราสามารถกิ�าห้นี้ด

คื�า Dns server ได�เอง5. จากินี้��นี้กิดปิ6Bม >>> ไปิข��นี้ต้อนี้ถ�ดไปิ

8.3 Red interface เปิ(นี้แบับั PPPOE

1. ให้�เล่�อกิ Interface ทำ��ใช้�ในี้กิารต้�อ Internet

Endian Firewall 2.3 rc1 - Manual Book2. ในี้ช้�อง Add additional Addresses(One IP/Netmask or IP/CIDR perline): ในี้กิรณิ�ทำ��คื6ณิม�

Adsl แบับั Corporate ห้ร�อแบับั Premium ทำ��ได� IP มามากิกิว่�า 1 ip ให้�ทำ�ากิารระบั6ล่งในี้ช้�องนี้�� ซ้ำ+�งConcept ต้รงนี้��ให้�มองว่�าเราใส� username แล่ะ password เพี��อ authen แล่ะเช้��อมโยง IP ทำ��ได�ใส�ไว่�

ในี้ช้�อง Add additional Addresses(One IP/Netmask or IP/CIDR perline): เพี��อทำ�ากิารOnline ระบับั แต้�ถ�าในี้กิรณิ�ใช้� Adsl แบับัทำ��ว่ๆไปิทำ�� IP เปิ(นี้แบับั Dynamic กิ'ไม�ต้�องใส�ล่งไปิกิ'ได�คืร�บั

3. กิ�านี้ด Username4. Password5. Authentication ปิกิต้บั�านี้เราใช้� PAP or Chap6. คื�า MTU เปิ(นี้กิารกิ�าห้นี้ดคื�านี้าดของ packet ทำ��ให้ญ�ทำ��ส6ดทำ��สามารถส�งได� ถ�าไม�ใส�จะใช้�คื�ามาต้รฐานี้7. ระบั6 Dns ม�2 แบับั แบับัอ�ต้โนี้ม�ต้ คื�า Dns server จะกิ�าห้นี้ดโดย ISP แต้�ถ�า Manul เราสามารถกิ�าห้นี้ด

คื�า Dns server ได�เอง8. Service ระบั6ช้��อผ��ให้�บัรกิารอาจจะเปิ(นี้ช้��อ ISP9. Concentractor Name โดยปิกิต้จะระบั6ช้��อผ��ด�แล่10. จากินี้��นี้กิดปิ6Bม >>> เพี��อไปิข��นี้ต้อนี้ถ�ดไปิ



8.4 Adsl (USB,PCI) กิารเช้��อมต้�อ Adsl โดยใช้� Modem ทำ��ม�กิารเช้��อมต้�อแบับั USB ห้ร�อ ร�ปิแบับัทำ��เปิ(นี้กิาร9ดPCI

1. ให้�ทำ�ากิารเล่�อกิปิระเภทำของ Modem ทำ��เราใช้� จากินี้��นี้กิดปิ6Bม >>>

2. ให้�ทำ�ากิารเล่�อกิร�ปิแบับักิารเช้��อมต้�อ ซ้ำ+�ง ISP ส�ว่นี้ให้ญ�ในี้ปิระเทำศึไทำยใช้�ร�ปิแบับั PPPOE จากินี้��นี้กิดปิ6Bม >>>


3. ให้�กิ�าห้นี้ดคื�าในี้ช้�อง VPI / VCI ซ้ำ+�งคื�าด�งกิล่�าว่จะม�ด�งนี้�� 3.1 ให้�ใส�คื�า VPI ( ด�ได�จากิต้ารางข�างล่�าง เล่�อกิต้าม ISP ทำ��ใช้�) 3.2 ให้�ใส�คื�า VCI ( ด�ได�จากิต้ารางข�างล่�าง เล่�อกิต้าม ISP ทำ��ใช้�) 3.3 Encapsulation เปิ(นี้แบับั LLC ซ้ำ+�งส�ว่นี้ให้ญ�จะใช้�กิารเข�ารห้�สแบับันี้�� 3.4 MTU เปิ(นี้กิารกิ�าห้นี้ดคื�านี้าดของ packet ทำ��ให้ญ�ทำ��ส6ดทำ��สามารถส�งได� ถ�าไม�ใส�จะใช้�คื�ามาต้รฐานี้ 3.5 Add additional Addresses(One IP/Netmask or IP/CIDR perline): ในี้กิรณิ�ทำ��คื6ณิม� Adsl

แบับั Corporate ห้ร�อแบับั Premium ทำ��ได� IP มามากิกิว่�า 1 ip ให้�ทำ�ากิารระบั6ล่งในี้ช้�องนี้�� ซ้ำ+�ง Concept ต้รง นี้��ให้�มองว่�าเราใส� username แล่ะ password เพี��อ authen แล่ะเช้��อมโยง IP ทำ��ได�ใส�ไว่�ในี้ช้�อง Add

additional Addresses(One IP/Netmask or IP/CIDR perline): เพี��อทำ�ากิาร Online ระบับั แต้�ถ�าในี้ กิรณิ�ใช้� Adsl แบับัทำ��ว่ๆไปิทำ�� IP เปิ(นี้แบับั Dynamic กิ'ไม�ต้�องใส�ล่งไปิกิ'ได�คืร�บั

3.6 ให้�ใส� Username 3.7 Password 3.8 Authentication ปิกิต้บั�านี้เราใช้� PAP or Chap 3.9 Dns ม�2 แบับั แบับัอ�ต้โนี้ม�ต้ คื�า Dns server จะกิ�าห้นี้ดโดย ISP แต้�ถ�า Manul เราสามารถกิ�าห้นี้ดคื�า Dns server ได�เอง เม��อเสร'จแล่�ว่ให้�กิดปิ6Bม >>>

ต้ารางคื�า VPI / VCI แต้�ล่ะ ISP

ISP VPI VCI


Cslox 0 35

Samart 0 35

TOT 1 32

True 0 100

TT&T 0 33

CATTELECOM 0 33

Buddy BB 0 35


8.5 ISDN

1. ให้�ทำ�ากิารเล่�อกิ Modem ทำ��ใช้�ในี้กิารต้�อ ISDN2. ใส�ห้มายเล่ขโทำรศึ��าพีทำ9ทำ��ใช้�ในี้กิารต้�อ Internet

Endian Firewall 2.3 rc1 - Manual Book3. ใส�ห้มายเล่ขโทำรศึ�พีทำ9ในี้ระบับัของเรา4. ระบั6 Usename5. ระบั6 Password6. ระบั6ร�ปิแบับักิาร Authen ซ้ำ+�งส�ว่นี้ให้ญ�จะใช้� PAP or CHAP อย��แล่�ว่7. Add additional Addresses(One IP/Netmask or IP/CIDR perline): ในี้กิรณิ�ทำ��คื6ณิม� ISDN

แบับั Corporate ห้ร�อแบับั Premium ทำ��ได� IP มามากิกิว่�า 1 ip ให้�ทำ�ากิารระบั6ล่งในี้ช้�องนี้�� ซ้ำ+�ง Concept ต้รงนี้��ให้�มองว่�าเราใส� username แล่ะ password เพี��อ authen แล่ะเช้��อมโยง IP ทำ��ได�ใส�ไว่�ในี้ช้�อง Add

additional Addresses(One IP/Netmask or IP/CIDR perline): เพี��อทำ�ากิาร Online ระบับั แต้� ถ�าในี้กิรณิ�ใช้� ISDN แบับัทำ��ว่ๆไปิทำ�� IP เปิ(นี้แบับั Dynamic กิ'ไม�ต้�องใส�ล่งไปิกิ'ได�คืร�บั

8. MTU เปิ(นี้กิารกิ�าห้นี้ดคื�านี้าดของ packet ทำ��ให้ญ�ทำ��ส6ดทำ��สามารถส�งได� ถ�าไม�ใส�จะใช้�คื�ามาต้รฐานี้9. Dns ม�2 แบับั แบับัอ�ต้โนี้ม�ต้ คื�า Dns server จะกิ�าห้นี้ดโดย ISP แต้�ถ�า Manul เราสามารถกิ�าห้นี้ดคื�า

Dns server ได�เอง เม��อเสร'จแล่�ว่ให้�กิดปิ6Bม >>>


8.6 Analog /UMTS Modem 1. ทำ�ากิารกิ�าห้นี้ด Port ทำ��ใช้�ในี้กิารต้�อโทำรศึ�พีทำ9ซ้ำ+�งส�ว่นี้ให้ญ�จะเปิ(นี้ /dev/ttyS0/ 2. ให้�ทำ�ากิารเล่�อกิปิระเภทำของ Modem ในี้ระบับั โทำรศึ�พีทำ9ม�อถ�อทำ��คื6ณิใช้� จากินี้��นี้กิดปิ6Bม >>>


3. ให้�กิ�าห้นี้ดคืว่ามเร'ว่ในี้ช้�องส�ญญาณิของสาย 4. ให้�กิ�าห้นี้ดช้��อของ Access Point ซ้ำ+�งคื�าต้รงนี้��ถามได�จากิผ��ให้�บัรกิารระบับัโทำรศึ�พีทำ9ม�อถ�อ 5. ระบั6 Username 6. ระบั6 Password 7. ระบั6ร�ปิแบับักิาร Authen ซ้ำ+�งส�ว่นี้ให้ญ�จะใช้� PAP or CHAP อย��แล่�ว่ 8. Add additional Addresses(One IP/Netmask or IP/CIDR perline): ในี้บั�านี้เราม�กิารใช้�งานี้ในี้

ร�ปิแบับั Personal Use เทำ�านี้��นี้เพีราะฉนี้��นี้ในี้ส�ว่นี้นี้นี้��ไม�ต้�องใส�กิ'ได�เพีราะย�ง IP ทำ��ได�ร�บัจากิ ISP นี้�าจะเปิ(นี้แบับัDynamic 9. MTU เปิ(นี้กิารกิ�าห้นี้ดคื�านี้าดของ packet ทำ��ให้ญ�ทำ��ส6ดทำ��สามารถส�งได� ถ�าไม�ใส�จะใช้�คื�ามาต้รฐานี้ 10. Dns ม�2 แบับั แบับัอ�ต้โนี้ม�ต้ คื�า Dns server จะกิ�าห้นี้ดโดย ISP แต้�ถ�า Manul เราสามารถกิ�าห้นี้ดคื�าDns server ได�เอง เม��อเสร'จแล่�ว่ให้�กิดปิ6Bม >>>


8.7 Gateway ให้�ระบั6 IP ทำ��ใช้�ในี้กิารเช้��อมต้�อออกิ Internet จากินี้��นี้ให้�กิดปิ6Bม >>>


9. ระบั6ห้มายเล่ข DNS Server ทำ��ง 2 ช้6ด ( ถ�าทำ�านี้ย�งไม�ทำราบัว่�าของทำ�านี้ต้�องกิ�าห้นี้ดคื�าใด ให้�ใช้�คื�า DNS ของทำร�ด�งในี้ร�ปิไปิกิ�อนี้) จากินี้��นี้กิดปิ6Bม >>>


ถ�า DNS Server ของเจ�าอ��นี้ๆ กิ'ม�ด�งนี้��คืร�บัHiNet by CAT : DNS : 202.129.27.135 / 61.19.245.246 / 61.19.254.134

HiNet by TTT DNS : 202.129.27.135 / 61.19.245.246 / 61.19.254.134

TTT ( 3BB ) DNS : 202.69.137.137 / 202.69.137.138

TOTDNS : 203.113.127.199 / 203.113.24.199

TrueDNS: 203.144.207.29 / 203.144.207.49

10. เปิ(นี้กิารกิ�าห้นี้ดในี้ส�ว่นี้ของกิารแจ�งเต้�อนี้ทำางอ�เมล่ โดยให้�ใส�ต้ามล่�าด�บัด�งนี้��...1. Email ของ ผ��ด�แล่ระบับั2. Email ของ Endian ทำ��เรากิ�าห้นี้ดไว่�3. smtp server ของเรา

จากินี้��นี้กิด >>>


11. จากินี้��นี้กิ'ให้�กิดปิ6Bม OK, Apply Configuration เพี��อย�นี้ย�นี้คื�าทำ��เรากิ�าห้นี้ด

12.จากินี้��นี้ระบับัจะทำ�ากิารต้��งคื�าทำ�าห้มดแล่�ว่เร�มต้�นี้ระบับัข+�นี้มา


13. จากินี้��นี้ให้�เปิ%ด Browser ข+�นี้มาให้ม�แล่�ว่ให้�พีมพี9 http:// ต้ามด�ว่ย IP Green Zone จะได�ต้ามร�ปิ

14. ให้�ใส�รห้�ส login โดย default ในี้ส�ว่นี้ของ Webconfig User จะเปิ(นี้ Admin ส�ว่นี้ password จะเปิ(นี้ต้ามทำ��เรา กิ�าห้นี้ดในี้ข��นี้ต้อนี้ทำ�� 5


15. แล่ะเม��อรห้�สผ�านี้ถ�กิต้�องคื6ณิกิ'จะได�พีบัห้นี้�า Dash Board ต้ามห้นี้�าจอข�างล่�างด�งนี้��

~ กิ'จะจบัในี้ส�ว่นี้ของกิารเร�มต้�นี้ระบับันี้ะคืร�บั ~



Part 2 : เร%ย่นร��Network พื้��นฐาน

การออกแบบ Network ร�วมืก บ EFW เบ��องติ�น

จากิคื�านี้ยามในี้กิารแบั�ง Zone Linux Firewall ในี้ร�ปิแบับัต้�าง สามารถแบั�ง Zone ออกิเปิ(นี้ 4 Zone ได�ด�งนี้��1. RED : ซ้ำ+�งใช้�ส�าห้ร�บัเช้��อมต้�อกิ�บัเคืร�อข�ายภายนี้อกิ (untrusted network ห้ร�อ Internet)2. GREEN : ซ้ำ+�งใช้�เช้��อมต้�อกิ�บัเคืร�อข�ายภายในี้ (trusted network ห้ร�อ Intranet(Lan))3. ORANGE : ซ้ำ+�งใช้�เช้��อมต้�อกิ�บัส�ว่นี้ทำ��ให้�บัรกิารงานี้ด�านี้ต้�างๆ ของ Server (DMZ ห้ร�อ Server Zone)4. BLUE : ซ้ำ+�งใช้�เช้��อมต้�อกิ�บัเคืร�อข�ายทำ��เปิ(นี้ระบับัไร�สาย ( เคืร��อข�ายไร�สาย ห้ร�อ Wireless )

ซ้ำ+�งกิารนี้�ามาใช้�งานี้จรงๆ ไม�จ�าเปิ(นี้ว่�าคื6ณิจะต้�องย+ดต้ดว่�า Zone ไห้นี้ทำ�าห้นี้�าทำ��อะไรได�เพี�ยงอย�างเด�ยว่ ม�นี้อย��ทำ��กิารนี้�ามาใช้�มากิกิว่�าเช้�นี้จากิร�ปิต้�ว่อย�างด�านี้ล่�าง

ติ วอย่�างทำ%� 1 : การน�า Endian มืาใช้�งานเป/น Server Firewall Nat Proxy เพื้��อ Management และเก0บ log ทำ �วไป


ติ วอย่�างทำ%� 2 : การน�า Endian มืาแบ�งการเข้�าถึ!ง Server โดย่การแบ�ง Zone DMZ เป/น 2 วง


ติ วอย่�างทำ%� 3 : การน�า Endian มืาใช้�ในร�ปแบบทำ%�มื% Zone คู่รบทำ �ง 4 Zone ติามืคู่�าน�ย่ามืข้อง Endian Firewall


ติ วอย่�างทำ%� 4 : การน�า Endian Firewall มืาใช้�ในการทำ�าหน�าทำ%�เป/น Gateway เพื้��อด�แลและจั ดการในระบบเคู่ร�อ ข้�าย่เช้�น การจั ดเก0บ log ก�าหนดสำ�ทำธ์-ในการใช้�งาน internet หร�อการทำ�า Traffic Mornitor รวมืถึ!งการร กษา

คู่วามืปลอดภั ย่ในการเข้�าใช้�งาน internet



เนี้��องจากิทำางทำ�มงานี้ได�ปิร+กิษากิ�นี้แล่�ว่แล่ะม�คืว่ามเห้'นี้มาจบัต้รงทำ��จะทำ�า Manual ในี้กิารเช้��อมต้�อแบับั1Wan(RED) + 1 Lan(Green) โดย ทำ��ม�จะเปิ(นี้ Leased Line ห้ร�อ Adsl นี้ะคืร�บั ด�งนี้��นี้จากิจ6ดนี้��ไปิ ร�ปิทำ��งห้มดในี้กิาร Config จะอ�างองจากิ Requirement ด�งนี้�� ถ�าเปิ(นี้กิารใช้�งานี้ทำ��เปิ(นี้ล่�กิษณิะ Adsl ทำ��ง 2 เส�นี้ ขอให้�ผ��อ�านี้นี้�าเอา Config

ของ Adsl อ�กิสายมาใช้�ในี้กิารกิ�าห้นี้ดคื�านี้ะคืร�บั โดยในี้ส�ว่นี้ของกิารกิ�าห้นี้ดคื�าเบั��องต้�นี้ ทำ6กิคืร��งห้ล่�งจากิทำ��เราล่งโปิรแกิรมเสร'จแล่�ว่ แล่ะเปิ%ดเข�ามาทำ��ห้นี้�าเว่'บั ต้�ว่ Endian

จะให้�เราทำ�ากิาร Config Red ซ้ำ+�งจะเปิ(นี้อะไรกิ'แล่�ว่แต้� นี้��นี้ถ�อว่�าเปิ(นี้ Main Uplink ห้ร�อ Internet สายห้ล่�กิ ซ้ำ+�งในี้กิารทำ�าInternet สายส�ารองนี้��นี้เราจะมากิ�าห้นี้ดกิ�นี้อ�กิทำ� ซ้ำ+�งข��นี้ต้อนี้ด�งกิล่�าว่ม�ด�งนี้��

1. เม��อ Login ระบับัเข�ามาทำ��ห้นี้�า Dashboard แล่�ว่ให้�ต้รว่จเช้'คืระบับั ของเราด�กิ�อนี้ว่�า Interface ทำ��งห้มด อย��ในี้ สถานี้ะ UP ทำ��งห้มดห้ร�อย�ง เพีราะนี้��นี้ห้มายคืว่ามว่�าระบับักิ�าล่�ง Online อย��เพี��อทำ��จะได�ทำ�ากิาร Config ระบับัต้�อไปิ

พีร�อมทำ��งต้รว่จสอบักิารทำ�างานี้ของระบับัพี��นี้ฐานี้เช้�นี้ CPU MEMORY HDD ว่�าเปิ(นี้ไงบั�าง ซ้ำ+�งในี้ version นี้��ย�งม� ปิ.ญห้าเร��องกิารเกิ'บั log อาจจะต้�องรอ build ถ�ดไปิในี้กิารแกิ�ปิ.ญห้า จ6ดทำ��ส�งเกิต้6ต้�อไปิคื�อ Uplinks ของทำ�านี้อย��ในี้

สถานี้ะ Connect ห้ร�อย�ง ให้�ต้รว่จเช้'คืให้�เร�ยบัร�อย

2. โดยปิกิต้พีว่กิเราห้ล่ายๆคืนี้กิ'อยากิจะทำ�าให้�เนี้'ต้ใช้�ได�กิ�อนี้กิ'ให้�ไปิทำ�ากิารเทำส เร��องของ internet ว่�าเข�าเว่'บัได�ไห้ม ถ�าได�

เราจะต้�องเกิ'บั log พีร�อมทำ�า Authentication โดยอย�างแรกิให้�เราด�ทำ��คืว่ามต้�องกิารระบับัพี��นี้ฐานี้กิ�อนี้ว่�า ระบับัเดมทำ��ใช้� เคืร��องคือมพีว่เต้อร9ในี้เคืร�อข�ายนี้��นี้ ใช้�งานี้ IP ระบับัไห้นี้อย�� ซ้ำ+�งส�ว่นี้ให้ญ�จะม�อย�� 2 แบับัคื�อ Fix แล่ะ Dynamic IP ถ�า

เคืร��องล่�กิข�ายม�กิาร Set เปิ(นี้แบับั Fix ไว่� คื6ณิอาจจะไม�ใช้�งานี้ในี้ส�ว่นี้ของ DHCP กิ'ได� แต้�ถ�าคื6ณิมองว่�าในี้กิรณิ�ทำ��เคืร��องล่�กิม�

Endian Firewall 2.3 rc1 - Manual Book ปิ.ญห้าเร��อง IP แล่ะอยากิให้�แกิ�ไขได�จากิทำ�� Endian ผมขอแนี้ะนี้�าให้�ใช้�เปิ(นี้ DHCP จะด�กิว่�าซ้ำ+�งในี้คื��ม�อจะเปิ(นี้เพี�ยงกิารสอนี้ในี้

กิารต้ดต้��งอย�างง�าย ส�ว่นี้ข��นี้ต้อนี้ในี้เช้งล่+กิจะนี้�าเสนี้ออ�ทำ�นี้ะคืร�บั

ไปิทำ�� Service -> DHCP-SERVER จากินี้��นี้ทำ�ากิารกิ�าห้นี้ดคื�าของ DHCP เพี��อให้�เคืร��อง Client สามารถ ออนี้ไล่นี้9 โดยให้�ใช้� IP ทำ��กิ�าห้นี้ดโดย Endian Firewall โดยในี้ช้�อง Start Address ให้�ใส� IP แรกิในี้ช้�ว่งของ DHCP แล่ะ End

address คื�อ IP ส6ดทำ�ายของ IP จากินี้��นี้ส�งทำ��ต้�องกิ�าห้นี้ดกิ'คื�อ Primary Dns แล่ะ Secondary Dns ให้�ใส�ล่งไปิ ในี้ส�ว่นี้ ของ NTP ให้�ระบั6 IP ของ Time-server นี้ะคืร�บั แล่�ว่อย�าล่�มทำ�าเคืร��องห้มาย Enable แล่�ว่ Click Save นี้ะเทำ�านี้��ระบับักิ'

จะทำ�ากิารแจกิ IP ให้�เคืร��องล่�กิข�ายแล่�ว่ ซ้ำ+�งจะม�ผล่ต้�อกิารด�แล่ระบับั แล่ะง�ายต้�อกิารทำ�า policy

ในี้ Version ให้ม�นี้��ได�เพี�มคืว่ามสามารถในี้กิารแจกิ IP โดยปิกิต้ Dhcp server จะทำ�ากิารแจกิ IP ทำ��อย��ในี้ช้�ว่งของNetwork ทำ��เรากิ�าห้นี้ดไว่� ห้ากิแต้�ว่�า Version ให้ม�นี้��สามารถกิ�าห้นี้ดให้�แจกิ IP ให้�อ�ต้โนี้ม�ต้เฉพีาะเคืร��องทำ��เราทำ�ากิาร Fixed Lease ยกิต้�ว่อย�าง Ex.: ผมถ�อ Notebook นี้�ามาเช้��อมต้�อเข�าเคืร�อข�ายโดยทำ�� set tcp/ip เปิ(นี้แบับั Optain auto ระบับัจะทำ�ากิารถามIP เปิ(นี้ทำ�� Dhcp ของ Endian แต้�เนี้��องจากิผมได�เปิ%ด Function ทำ��ช้��อว่�า Allow only fixed lease ซ้ำ+�งในี้ส�ว่นี้นี้��ระบับัจะ

แจกิ IP ให้�กิ�บัเคืร��องทำ��ม�รายกิารอย��ในี้ Current Fixed lease ด�งนี้��นี้ Notebook ผมจะไม�สามารถออนี้ไล่นี้9เพีราะไม�ได�ร�บั IP จากิ Endian ต้�องไปิกิ�าห้นี้ด manual เอาเองในี้ tcp/ip properties ของ windows ว่ธิ�แกิ�ไขกิ'แคื�ทำ�ากิาร Add fixed lease ของ notebook ผมโดยด�คื�า Mac address จากิกิาร9ดแล่นี้ โดยใช้�คื�าส��ง ipconfig /all แล่�ว่นี้�าคื�า ทำ��ได�ไปิเพี�มในี้ Add a Fixed Lease พีร�อมกิ�าห้นี้ด IP แล่ะระบั6ช้��อเคืร��อง จากินี้��นี้กิ'save แล่ะทำ�ากิารเช้��อมต้�อให้ม�กิ'จะได�ร�บั IP ทำ��กิ�าห้นี้ดไว่�อ�ต้โนี้ม�ต้

จากินี้��นี้ถ�าส�งเกิต้6ให้�ด�จะม�เมนี้� Add a Fixed Lease คื�อกิารทำ�าให้�เคืร��องล่�กิข�ายจากิเดม ทำ��ได� Dynamic IP จากิDHCP-server ของ Endian ถ�กิกิ�าห้นี้ดคื�า IP ต้ายต้�ว่แล่ะเปิล่��ยนี้แปิล่งไม�ได� ทำ6กิคืร��งทำ��ระบับัออนี้ไล่นี้9ข+�นี้มา ถ�า user ไม��

ได�เปิล่��ยนี้ IP เองแล่ะย�งคืงใช้� Config แบับั Dhcp เราสามารถกิ�าห้นี้ด ห้มายเล่ข IP ให้�คือมพีว่เต้อร9เคืร��องนี้��นี้ๆได� โดยไม� ต้�องไปิ set ด�ว่ยต้�ว่เองทำ��เคืร��องคือมพีว่เต้อร9นี้��นี้ๆ


ว่ธิ�กิารทำ�า Static DHCP ให้�เรากิดทำ��ปิ6Bม Add a fied lease จากินี้��นี้ ส�งทำ��จ�าเปิ(นี้ในี้กิารทำ�า Fixed lease ม�อย�� 3 อย�างคื�อ

1. Computer Name เพี��อกิ�ากิ�บัว่�าเปิ(นี้คือมพีว่เต้อร9เคืร��องไห้นี้2. Mac Address เพี��อทำ��จะได�ร� �ว่�าคือมพีว่เต้อร9ทำ��เรากิ�าห้นี้ดนี้��นี้มาจากิเคืร��องไห้นี้ แล่ะจะง�ายข+�นี้เม��อเราใส�ช้��อ

เคืร��อง3. IP เม��อร� �Mac address แล่ะช้��อเคืร��องกิ'ถ+งคืราว่ทำ��เราจะระบั6 IP ว่�าต้�องกิารให้�เคืร��องคือมพีว่เต้อร9นี้��นี้ได� IP

อะไร ข�อกิ�าห้นี้ดของว่ธิ�นี้��

1. ผ��ใช้�ไม�สามารถแกิ�ไขเร��องของกิาร Setup Tcp/Ip เองได�2. Mac address 1 ช้6ด สามารถม� IP ได�แคื� 1 เล่ข3. IP ทำ�� Set manual ไม�คืว่รอย��ในี้ช้�ว่ง ทำ��เราได�ใช้�ในี้กิารกิ�าห้นี้ด Dhcp แบับั Fix Lease4. ในี้ Version ให้ม�นี้��จะม� Function Allow only Fixed lease ถ�าใช้�คื�าส��งนี้��ห้�ามล่�มไปิแอดในี้ส�ว่นี้ของ

Current fixed lease


*** รอใส�ร�ปิ Cap มาย�งไม�คืรบั ***

*** ต้�องเพี�มในี้ส�ว่นี้ของกิาร update DNS เพีราะระบับัส�ว่นี้ให้ญ�ใช้� Windows Server ซ้ำ+�งจะม�ผล่มากิถ�า Client เปิ(นี้ Dynamic แต้�ไม�ได�ใช้� Dhcp ทำ�� Window server เราจะแกิ�ย�งไงให้� Dns server ของ Window สามารถ ร� �ได�ว่�าต้อนี้นี้��

ip ของเคืร��อง client ช้��อนี้��นี้ๆ ip อะไร ให้�ด�ว่ธิ�กิารแกิ�ไขจากิ Faq ข�อ 2***

3. โดย Default ขององคื9ปิระกิอบัในี้กิารออกิแบับั Internet เม��อเคืร��อง Client ม� IP ช้�� Gateway ไปิทำ��เช้��อมไปิย�ง Internet ได�กิ'จะสามารถเปิ%ดเว่'บัต้�างๆได� แต้�เราต้�องกิารให้�ระบับัทำ��งห้มดทำ��เช้��อมออกิไปิ internet ว่�งผ�านี้ Proxy ด�งนี้��นี้

เราจะต้�องทำ�ากิารแกิ�ไขไม�ให้�เคืร��อง Client ว่�งออกิไปิทำ�� internet ได�โดยต้รงด�ว่ยกิารไปิต้��งคื�าทำ�� Firewall

แล่�ว่ Firewall ม�นี้คื�ออะไร Firewall เปิร�ยบัเสม�อนี้เคืร��องกิรองช้นี้ดห้นี้+�ง ทำ��จะกิรองเอาเฉพีาะข�อม�ล่ทำ��เราต้�องกิารให้� ผ�านี้ทำ��งเข�าแล่ะออกิไปิย�งเคืร�อข�ายของเราไปิทำ�� internet ห้ร�อ กิล่�บัเข�ามาทำ��เคืร�อข�ายภานี้ในี้ของเรา เนี้��องจากิว่�า Endian

Firewall ออกิแบับัทำ��ม�ล่�กิษณิะง�ายต้�อผ��ใช้� แต้�อาจจะยากิส�าห้ร�บัคืนี้ทำ��ไม�ม�พี��นี้ฐานี้ในี้เร��อง Iptable routing port สามารถ ทำ��จะกิ�าห้นี้ดคื�า firewall ได�ง�ายข+�นี้ ห้ากิเราส�งเกิต้6ทำ��ห้�ว่ของต้าราง Port Forwarding/Nat แล่ะ Outgoing Firewall

จะม�คื�าศึ�พีทำ9ปิระมาณิเนี้��ย

Source? --> Destination? Service? Policy? Actions

แปิล่ได�ว่�า จ6ดเช้��อมต้�อเร�มจากิทำ��ไห้นี้ ปิล่ายทำางไปิทำ��ไห้นี้ ด�ว่ยร�ปิแบับักิารเช้��อมต้�อว่ธิ�ไห้นี้ อนี้6ญาต้ห้ร�อไม� ม�ผล่ย�งไง ซ้ำ+�งทำ6กิคืร��ง ในี้กิารต้��งกิฎ ขอให้�เอาแนี้ว่คืดนี้��ใช้�ในี้กิาร กิ�าห้นี้ดนี้โยบัายต้�างๆ ในี้กิารเช้��อมระบับันี้ะคืร�บั จะทำ�าให้�ง�ายข+�นี้

*** รอ update ร�ปิ concpet กิาร forward ให้� server ห้ร�อ client ให้�บัรกิารร�ปิแบับัต้�าง ***

กิารต้��งคื�าทำ�� Firewall -> Port Forwarding/Nat ในี้ส�ว่นี้นี้��จะขอนี้�ากิล่�บัมาพี�ดอ�กิคืร��งห้ล่�งจากิทำ��ระบับัได�ทำ�ากิาร กิ�าห้นี้ดกิารใช้�งานี้ Internet พี��นี้ฐานี้กิ�อนี้ เพีราะ Port Forwarding/Nat เปิ(นี้กิารให้�บัรกิารระบับัต้�างๆของ Server

ภายในี้เคืร��อข�ายให้�สามารถ online โดยม�กิารปิ=องกิ�นี้ด�ว่ย Endian Firewall

*** รอ update ร�ปิ concpet กิารว่�งออกิ internet ***


Part 3 : การ Config Endian Firewall เบ��องติ�นแบบหล กสำ�ติรเร�งร ด

กิารต้��งคื�าทำ�� Firewall -> Outgoing Traffic เปิ(นี้กิารออกิกิฎ ในี้กิารเช้��อมต้�อออกิไปิทำ�� Internet เนี้��องจากิว่�า คื��ม�อนี้��พียายามให้�ข� �นี้ต้อนี้ Config นี้�อยทำ��ส6ด โดยให้�ไปิคืล่Cกิ Disable port 80 แล่ะ 443 เพี��อทำ�ากิารบัล่5อกิไม�ให้� user

เล่�นี้เนี้'ต้ได�ในี้กิรณิ�ทำ��ย�งไม�ทำ�ากิารย�นี้ย�นี้ต้นี้ พีร�อมทำ��งปิ=องกิ�นี้ปิ.ญห้าทำ��ว่�า user ทำ�ากิารแกิ�ไข proxy ทำ��เคืร��องเพี��อจะเล่�นี้เนี้'ต้โดยไม�ย�นี้ย�นี้ต้นี้

*** จับในสำ�วนข้อองการ Config Endian Firewall เบ��องติ�นแบบหล กสำ�ติรเร�งร ด ***


Part 4 : Proxy

4.1 การเซ็0ติ Proxy พื้��นฐาน (Neoboyd@Thaiadmin)

Proxy กิารเกิ'บัข�อม�ล่ทำ��เราได� download เปิ%ดด� ห้ร�อใดๆกิ'ต้ามทำ��มาจากิ internet มาเกิ'บัไว่�ในี้เคืร��อง Proxy server ซ้ำ+�งเปิ(นี้อ�กิ 1 คืว่ามสามารถทำ�� Endian ทำ�าได� โดยกิ�อนี้ทำ��เราจะเร�มใช้�งานี้ Proxy ระบับัจะต้�องม�คืว่ามพีร�อมด�งนี้��

1. เคืร��อง Client ออนี้ไล่นี้9แล่ะสามารถปิ%งมาย�ง เคืร��อง Endian ได�เร�ยบัร�อยแล่�ว่2. กิารกิ�าห้นี้ดคื�า Proxy ทำ��เคืร��อง Client ว่ธิ�กิารข+�นี้อย��กิ�บั Browser ทำ��ใช้�แต้� Concept ทำ6กิ Browser

เห้ม�อนี้กิ�นี้คื�อจะต้�องร� � IP แล่ะ Port ของ Proxy-Server3. ในี้ระบับั Endian Firewall version 2.3 rc1 ได�นี้�าคืว่ามสามารถ Automatic Configuration

Script มาใช้�ในี้กิารช้�ว่ยต้��งคื�าโดยกิารใช้�งานี้ไฟล่9 proxy.pac ซ้ำ+�งข�างในี้จะปิ(นี้ Script ในี้กิารช้�ว่ยต้��งคื�าproxy ให้�อ�ต้โนี้ม�ต้ ซ้ำ+�งว่ธิ�กิารกิ'ง�ายเพี�ยงแคื�กิ�าห้นี้ดคื�า address ของ ไฟล่9 proxy.pac เช้�นี้http://Ip ของเคืร��อง endain/proxy.pac ซ้ำ+�งถ�าเปิ(นี้ระบับั Domain สามารถนี้�าไปิเพี�มได�ในี้ Group Policy ได�เล่ย ซ้ำ+�งปิระโยช้นี้9ของม�นี้คื�อ คื6ณิไม�ต้�องเดนี้ไปิ set proxy ให้�เคืร��อง client ทำ6กิเคืร��องทำ��ม�

เปิ(นี้กิารล่ดภาระให้�กิ�บั Admin แล่ะ support

*** กิาร Set Proxy ในี้ Group Policy ของ Domain ในี้ Windows Server ****1. ให้�ไปิทำ�� User Configuration2. Windows Settings3. Internet Explorer Maintenance4. Connection5. Proxy Setting double click ข+�นี้มา6. Enable proxy settings ใส�คื�า ip ของ endian ทำ��ช้�อง http แล่ะ port7. ต้Cกิถ�กิทำ�� Use the same proxy server for all addresse

*** กิาร Set Proxy ในี้ Group Policy ของ Windows server ให้� Disable ห้�ามเปิล่��ยนี้คื�า Proxy ในี้ IE ***

1. ไปิทำ�� Start เล่�อกิ Run พีมพี9 gpedit.msc 2. ไปิทำ�� User Configuration > Administrative Templets > Windows components > Internet Explorer 3. ห้า Disable Changinging proxy settings 4. เล่�อกิ Enabled แคื�นี้��กิ'แกิ�ไม�ได�แล่�ว่คืร�บั

*** Msn เล่�นี้ผ�านี้ proxy ไม�ได�� ***

1. ให้�ไปิใส�คื�า proxy ในี้ msn2. กิ�าห้นี้ดคื�า username แล่ะ password ของ user ทำ��จะใช้�3. ทำดสอบัอ�กิคืร��งคืว่รจะใช้�งานี้ได�แล่�ว่


เร�มต้�นี้ให้�ไปิทำ�� Proxy แล่�ว่ทำ�ากิาร Enable proxy เพี��อให้�ม�นี้ทำ�างานี้

5. เม��อระบับั Proxy เร�มต้�นี้ทำ�างานี้แล่�ว่จะได�ห้นี้�าต้าอย�างภาพีข�างล่�าง จากินี้��นี้ทำ��ช้�อง ของ Green Orange ห้ร�อBlue ให้�เราเล่�อกิ

1. Not Transparent ซ้ำ+�งแล่�ว่แต้�ว่�า Zone ไห้นี้ทำ��ต้�องกิารทำ�า Authentication2. Transparent ในี้กิรณิ�ทำ��เราต้�องกิารให้�ออกิ internet ได�เล่ยโดยทำ��ไม�ม�กิารทำ�า Authentication

จากินี้��นี้เข�าส�� Proxy Setting

1. ในี้ช้�อง Port Used by Proxy เปิ(นี้กิารกิ�าห้นี้ดคื�า Port ของ Proxy server2. Error Langauge กิารแจ�งเต้�อนี้ Error ต้�างๆว่�าเปิ(นี้ภาษาอะไร3. Visible Hostname เปิ(นี้กิารกิ�าห้นี้ด ช้��อเคืร��อง Proxy-server นี้ะคืร�บั4. Email Used For notification อ�นี้นี้��เปิ(นี้อ�เมล่9ของผ��ด�แล่ระบับั เอาไว่�แจ�งเว่ล่างานี้เข�า5. minimum download size ขนี้าดทำ��เล่'กิทำ��ส6ดทำ��อนี้6ญาต้ให้� download6. Maximum upload Size คื�อขนี้าดทำ��ให้ญ�ทำ��ส6ดทำ��อนี้6ญาต้ให้� upload ได�7. Allowed port คื�อ port ทำ��อนี้6ญาต้ให้�เช้��อมต้�อผ�านี้ proxy รว่มถ+งในี้ส�ว่นี้ SSL8. Log Settings ให้�ทำ�าเคืร��องห้มายทำ��งห้มด เพีราะ log ทำ��เกิ'บัจะเช้��อมโยงถ+งกิ�นี้ ซ้ำ+�งในี้ข��นี้ต้อนี้นี้��จะม�ต้�ว่ทำ��ทำ�า

ห้นี้�าทำ��เกิ'บักิารใช้�งานี้ของผ��ใช้�คื�อ log user agent

Endian Firewall 2.3 rc1 - Manual Book9. By pass tranparent proxy เนี้��องจากิในี้ร�ปิแบับักิาร config ของเราใช้�เปิ(นี้แบับัต้�อง

Authentication เพีราะฉนี้��นี้ในี้ส�ว่นี้นี้��จ+งไม�ได�ใช้�งานี้นี้ะคืร�บั10. Cache Size on harddisk อ�นี้นี้��เราจะกิ�าห้นี้ดขนี้าดของ proxy ในี้ harddisk ย�งมากิกิ'เกิ'บัได�มากิแต้�

ด�ว่ยคืว่ามทำ��ข�อม�ล่มากิ กิารทำ��จะด+งห้นี้�าเว่'บัในี้ cache ข+�นี้มาแสดงจ+งช้�าต้ามไปิด�ว่ย ขอให้�ด�คืว่ามเห้มาะสมในี้ เร��อง Harddisk ทำ��ใช้� จ�านี้ว่นี้ user แล่ะล่�กิษณิะของ cache ว่�าเปิ(นี้อะไร

11. Cache Size within Memory เปิ(นี้ขนี้าด Cache ทำ��จะเข�าไปิพี�กิข�อม�ล่อย��ในี้ Ram ปิกิต้ต้รงจ6ดนี้��คื�อคืร+�งห้นี้+�งของแรมทำ��งห้มดทำ��ม�

12. Maximum Object Size ขนี้าดของไฟล่9ทำ��ให้ญ�ทำ��ส6ดทำ��จะถ�กิจ�ดเกิ'บัในี้ proxy กิ�าห้นี้ดให้ญ�มากิไปิ กิ'ม�ผล่ ในี้กิารทำ�าให้�เปิ%ดเว่'บัได�ช้�าล่ง เพีราะส�ว่นี้ให้ญ�ทำ��ทำ�า cache เพี��อให้�เปิ%ดเว่'บัได�เร'ว่ข+�นี้ คืงไม�ได�ม6�งเนี้�นี้ให้�โห้ล่ดไฟล่9

จากิ cache ได�เร'ว่ข+�นี้ถ�กิไห้มคืร�บั แต้�ห้ากิส�งเกิต้6ในี้ร�ปิด�ๆ ในี้ version นี้��นี้�าจะใส�ห้นี้�ว่ยในี้ส�ว่นี้ของต้�ว่เว่'บัมา ผด ทำ��ถ�กิต้�องเปิ(นี้ KB

13. Minimum Object size ขนี้าดของไฟล่9ทำ��เล่'กิทำ��ส6ดทำ��จะถ�กิจ�ดเกิ'บัในี้ proxy ปิกิต้ผมจะเกิ'บัไฟล่9เล่'กิ มากิกิว่�าไฟล่9ให้ญ� เพีราะข�อม�ล่ในี้ internet เนี้'ต้ส�ว่นี้ให้ญ�จะเปิ(นี้ไฟล่9 jpg swf html ซ้ำ+�งขนี้าดกิ'ไม�นี้�าจะเกินี้

1024Kb. ห้ร�อ ปิระมาณิ 1 Mb. แต้�ห้ากิส�งเกิต้6ในี้ร�ปิด�ๆ ในี้ version นี้��นี้�าจะใส�ห้นี้�ว่ยในี้ส�ว่นี้ของต้�ว่เว่'บัมา ผด ทำ��ถ�กิต้�องเปิ(นี้ KB

14. Clear Cache ในี้กิรณิ�ทำ��ใช้�ๆ ไปิแล่�ว่เปิ%ดเว่'บัได�ช้�าระบับัเร�ม อ�ดมากิๆ นี้านี้ๆทำ�กิ'ให้� Clear cache ส�กิคืร��งจะ ได�ล่�าง index ทำ�าให้� squid ทำ�างานี้ได�ด�ข+�นี้

15. Enable Offline mode ใช้�ในี้กิรณิ�ทำ��ระบับัของ offline ระบับัจะส�งข�อม�ล่ออกิจากิ cache ไปิอย�างเด�ยว่ ทำ�าให้�ผ��ใช้�ไม�ทำราบัว่�าในี้ขณิะนี้��นี้ internet ขาดกิารเช้��อมต้�ออย��

16. Do not cache this destinations คื�อ ให้�เราระบั6 url ทำ��ไม�ต้�องกิารให้�ระบับัทำ�ากิารเกิ'บั cache นี้ะคืร�บั17. Upstream Proxy คื�อกิารเอา Proxy ของเราไปิเกิาะกิ�บั proxy ของทำ��อ��นี้ซ้ำ+�งอาจจะม� speed แล่ะขนี้าด

ของ cache ทำ��ด�กิว่�า ให้ญ�กิว่�า แล่ะเร'ว่กิว่�าโดย ว่ธิ�กิารกิ�าห้นี้ดคื�า คื�อใส� ip:port username password นี้ะคืร�บั จากินี้��นี้ให้� Click Save ไปิข��นี้ต้อนี้ถ�ดไปิ



6. จากินี้��นี้ให้�ไปิทำ��เมนี้� Antivirus เพี��อจะกิ�าห้นี้ดคื�าขนี้าดของกิารแสกินี้เพีราะต้รงจ6ดนี้�� ถ�าเราต้��งคื�าต้�ว่เล่ขมากิห้มายถ+ง ขนี้าดของไฟล่9ทำ��เว่ล่าเราเปิ%ดห้นี้�าเว่'บัแล่�ว่ม�กิารโห้ล่ดไฟล่9นี้ามสกิ6ล่ใดๆกิ�ต้ามจะต้�องถ�กิแสกินี้ไว่ร�สซ้ำ+�งจะทำ�าให้�ช้�ามากิ ถ�าเคืร��อง

ไม�แรงจรงๆ ต้รงนี้��คืว่รจะกิ�าห้นี้ดให้�นี้�อยเข�าไว่�จะช้�ว่ยได�มากิ

7. เข�าส��ข� �นี้ต้อนี้กิารทำ�า Authentication ว่ธิ�กิารย�นี้ย�นี้ต้�ว่ต้นี้ในี้ระบับัทำ��เราใช้�กิ�นี้จะม�กิ�นี้อย��ห้ล่ายว่ธิ� ซ้ำ+�งจะม�แบับัLocal ทำ��ใช้�กิารกิ�าห้นี้ด username password ทำ��เคืร��อง Endian เล่ยโดยต้รง ห้ร�อแบับั Windows Authentication คื�อกิารใช้� Ldap ของ Window Domain ในี้กิารต้รว่จสอบัสทำธิ7ของผ��ใช้� ห้ร�อแบับั Radius Server

ทำ��จะต้�องเช้��อมเคืร��อง Endian ให้�ว่�งไปิถาม Username แล่ะ Password จากิเคืร��อง Radius Server แล่ะทำ�ากิารย�นี้ย�นี้ต้�ว่ต้นี้

จากิในี้ร�ปินี้��จะเปิ(นี้ว่ธิ�กิารกิ�าห้นี้ด Authentication แบับั Local เพี��อให้�ง�าย สดว่กิรว่ดเร'ว่ในี้กิาร ข+�นี้ระบับัให้ม�โดยให้�ทำ�าต้ามข��นี้ต้อนี้ด�งนี้��

1. Authentication Realm ต้รงนี้��คื6ณิอาจจะใช้�เปิ(นี้ช้��อให้�เข�าใจว่�า ผ��ใช้�กิ�าล่�ง login เข�ามาในี้ระบับัของproxy เรานี้ะคืร�บั

2. Number of Child Authentication children กิ'คื�อจ�านี้ว่นี้คืร��งทำ�� login ซ้ำ��าเข�ามาได�กิ��ห้นี้�าจอ3. Number of different ips per user กิ'คื�อจ�านี้ว่นี้ของ IP ทำ��ต้�างกิ�นี้ ของ user คืนี้เด�ยว่กิ�นี้นี้��ทำ��ใช้�

เช้��อมต้�อเข�ามาได�มากิส6ดกิ�� IP เช้�นี้ user ไปิ login ใช้� comupter ได�ห้ล่ายเคืร��องพีร�อมๆ กิ�นี้ทำ�นี้��เรา ต้�องกิารจ�ากิ�ดให้� user ทำ�� login ว่�งมาจากิทำ��เคืร��องเด�ยว่กิ'ให้�ใส�แคื� 1 ในี้ช้�องนี้��

Endian Firewall 2.3 rc1 - Manual Book4. Authentication cache TTL คื�อเว่ล่าห้ล่�งจากิทำ�� user login เข�ามาในี้ระบับัแล่�ว่จะอย��ได�นี้านี้แคื�ไห้นี้5. User/IP Cache TTL คื�อระยะเว่ล่าทำ�� user ใช้� IP จากิทำ��ต้�างๆ กิ�นี้นี้��นี้นี้านี้แคื�ไห้นี้ซ้ำ+�งปิกิต้กิ'จะให้�นี้านี้เทำ�ากิ�บั

ข�อ 46. Min Password Lenght กิ�าห้นี้ดคืว่ามยาว่ต้�ว่อ�กิษรว่�าจะใช้�กิ��ต้�ว่ ขอให้�ทำ�าจ6ดนี้��กิ�อนี้เพีราะจะได�ไม�ม�ปิ.ญห้า

ต้อนี้ต้��งรห้�สผ�านี้ของ user7. Manage User คื�อส�ว่นี้ทำ��เข�าไปิต้��งรห้�สผ�านี้ให้�กิ�บั user8. Manage Group คื�อกิาร จ�ดกิล่6�มโดยกิารกิ�าห้นี้ด User ว่�าอย��ในี้กิล่6�มไห้นี้

ห้นี้�าต้�างข��นี้ต้อนี้กิารเพี�ม USER เม��อ Click ทำ�� Add NCSA user


จะได�ห้นี้�าต้�างข�างล่�างนี้�� จากินี้��นี้กิ'ใส� user password จากินี้��นี้กิด create user


จากิร�ปิต้�ว่อย�างผม Create User มา 2 คืนี้คื�อ Admin กิ�บั User จากินี้��นี้ให้�กิล่�บัมาทำ��ห้นี้�า Authentication


เม��อกิล่�บัมาทำ��ห้นี้�า authentication ให้� click ทำ��ปิ6Bม Manage Group เพี��อกิ�าห้นี้ดกิล่6�ม


เม��อเข�ามาแล่�ว่กิ'จะปิรากิฎห้นี้�าต้�างต้ามร�ปิข�างล่�าง


ผมได�ทำ�ากิารเพี�ม Group admin แล่ะทำ�ากิาร add user admin เข�าไปิในี้ Group Admin แล่ะเม��อเสร'จเร�ยบัร�อยให้�กิด Create Group เม��อ add ทำ6กิ User แล่ะ ทำ6กิ Group แล่�ว่จะได�ด�งภาพีถ�ดไปิ


add ทำ6กิ User แล่ะ ทำ6กิ Group แล่ะจ�ดกิารเร��อง Group แล่�ว่ ให้�กิด Apply


กิ'จะเสร'จส�นี้กิารกิ�าห้นี้ด User แล่ะ Group


กิารกิ�าห้นี้ด Group Policy ให้�ม�ผล่ต้�อกิารใช้�งานี้ Internet แบับัง�ายๆ1. ให้�เข�ามาทำ�� Proxy -> Access Policy จากินี้��นี้ให้�ล่บั Policy เกิ�าทำ�งทำ��งห้มด2. แล่�ว่ให้�กิดปิ6Bม Add Access Policy ให้ม�จะได�เห้ม�อนี้ร�ปิถ�ดไปิ


3. ทำ�ากิารกิ�าห้นี้ด Policy โดยไล่�ต้ามช้�องไปิเล่ยนี้ะคืร�บั1. Source Type เปิ(นี้ต้�ว่กิ�าห้นี้ดจ6ดเร�มต้�นี้ของ Policy ในี้ต้�ว่อย�างผมเล่�อกิเปิ(นี้ Any เพีราะต้�องกิารให้�

Authentication ทำ6กิเคืร��องทำ��ว่�งออกิไปิ Internet เล่ย2. Destination ทำ��เราต้�องกิารให้�ว่�งออกิไปิผม เล่�อกิ Any เช้�นี้กิ�นี้เพีราะต้�องกิารทำ�า Authenticaiton กิ�บั user ทำ��

ว่�งออกิ internet3. Authentication ร�ปิแบับักิารเช้��อมต้�อนี้��ม�ผล่ย�งไง แบับัไห้นี้ คื�อเปิ(นี้แบับัองกิล่6�ม ห้ร�อรายบั6คืคืล่ กิ'ให้�กิ�าห้นี้ดในี้ช้�อง

Allowed Users4. Time Restriction ผล่ของคื�าส��งนี้��จะทำ�างานี้ช้�ว่งเว่ล่าใด ให้�เราเปิ%ดปิ%ดกิารทำ�างานี้เร��องเว่ล่าทำ��ต้รงนี้��5. Active Days ถ�าข�อ 4 เปิ%ดใช้�งานี้ กิ'ให้�กิ�าห้นี้ดในี้ช้�อง Active Days ว่�าว่�นี้ไห้นี้บั�างให้�ม�ผล่ของ policy6. Start Hours, Start Minutes, Stop Hours แล่ะ Stop Minutes ถ�าข�อ 4 เปิ%ดใช้�งานี้ จะต้�องกิ�าห้นี้ดล่งไปิ

ช้�ว่งเว่ล่าทำ��ม�ผล่ของ policy7. User Agents ให้�ม�กิารจ�ากิ�ดกิารใช้� Browser ห้ร�อไม� ถ�าเราจะกิ�าห้นี้ดให้� click เล่�อกิว่�าใช้� Browser อะไรได�บั�าง8. Access Policy ให้�เล่�อกิเปิ(นี้ Allow เพีราะเราจะอนี้6ญาต้ให้�ใช้�เนี้'ต้ได�ห้ล่�ง Authentication9. Filter Profile ในี้ส�ว่นี้นี้��คื6ณิอาจจะให้� Endian ทำ�ากิาร Filter เฉพีาะ Virus อย�างเด�ยว่กิ'ได�10. Position ต้รงนี้��กิ�าห้นี้ดล่�าด�บัของ Policy11. Enable Policy Rule คื�อเปิ%ดใช้�งานี้ policy ต้�ว่นี้��ห้ร�อไม� จากินี้��นี้กิดปิ6Bม Update Policy

จะได�ด��งร�ปิถ�ดไปิ



จากินี้��นี้ให้�กิด Apply เพี��อย�นี้ย�นี้ Policy ทำ��เราได�กิ�าห้นี้ดไว่�ให้�ทำ�างานี้ เม��อกิด apply จะได�ด��งร�ปิถ�ดไปิ

ระบับักิ'จะแสดง Policy แบับัสร6ปิทำ��เราได�กิ�าห้นี้ดไปิ ห้ล่�งจากินี้��นี้ให้�คื6ณิ Reboot ระบับัอ�กิส�กิคืร��งจากินี้��นี้กิ'ให้� ทำดล่องเปิ%ดเว่'บัแล่ะ login ด�ว่ยรห้�สแล่ะรห้�สผ�านี้ทำ��กิ�าห้นี้ดไว่�ว่�าใช้�งานี้ได�ไห้ม


ถ+งจ6ดนี้�� user ทำ��งห้มดทำ��เรา Set ไว่�จะไม�สามารถเล่�นี้ internet ได� จนี้กิว่�าจะ login ทำ�� browser ด�ว่ย username แล่ะpassword ทำ��เรากิ�าห้นี้ดไว่�

4.2 การก�าหนด Contentfilter เพื้��อ block เน��อหา,เว0บไซ็ติ-ติ�างๆ (tototyt@thaiadmin) * เนี้��อห้าต้รงนี้��ทำ�าเพี��อเปิ(นี้ร�ปิแบับัคืร�าว่ๆ เทำ�านี้��นี้ อ�างอง Endian Firewall Community release 2.3.0 (c) 2004-2009

แล่ะห้นี้�าของจรงจะเปิ(นี้ภาษาอ�งกิฤษ แต้�ทำ��นี้�ามาให้�ด�แปิล่เปิ(นี้ภาษาไทำย เพี��อให้�ด�แล่ะเข�าใจง�าย( ห้ร�อจะด�ยากิกิว่�าเดมกิ'ไม�ร� � )

1. สร�าง Profile โดยกิารคืล่Cกิทำ�� Create a Profile ห้ร�อจะทำ�ากิารแกิ�ไข Profile เดมทำ��ม�อย��กิ'ได� ( content1 )

1.1 ต้��งช้��อ Profile Name : * ผมแกิ�ไขของเดมทำ��ม�อย�� จ+งไม�ต้�องแกิ�ไข 1.2 Activate antivirus scan * ส�งเกิต้นี้ดนี้+งนี้ะคืร�บัต้รง activate antivirus scan ห้ากิใช้�ไปิ

แล่�ว่ม�ปิ.ญห้าระบับัช้�า ล่องต้Cกิต้�ว่นี้��ออกิกิ�อนี้นี้ะคืร�บั 1.3 Platform for Internet Content Selection 1.4 Max. score for phrases (50-300) * 1.5 ในี้ส�ว่นี้ของกิารทำ�างานี้จะแบั�งออกิเปิ(นี้ 3 ส�ว่นี้ด�ว่ยกิ�นี้

Endian Firewall 2.3 rc1 - Manual Book - Filters pages containing phrases of the following categories.

(Content Filtering)

ส�ว่นี้นี้��คื�อ ห้นี้�ากิรองทำ��ม�ว่ล่�ปิระเภทำด�งต้�อไปินี้�� (Content Filtering)

- Filter pages known to have content of the following categories. ( URL Blacklist )

ส�ว่นี้นี้��คื�อ หน�า Filter ร��จั กมื%เน��อหาประเภัทำด งติ�อไปน%� ( URL Blacklist )


- Custom black- and whitelists

ส�ว่นี้นี้��คื�อ Custom บ ญช้%ข้าวและสำ%ด�า

1.6 ห้ล่�งจากิกิ�าห้นี้ดคื�าต้�างๆ เร�ยบัร�อยแล่�ว่ให้�ทำ�ากิาร Create profile ห้ร�อ Update profile

1.7 ห้ล่�งจากิสร�าง Contenfilter Profile เสร'จเร�ยบัร�อยให้�ทำ�ากิารสร�าง Prolicy ทำ�� Tab Access Policy เพี��อกิ�าห้นี้ดให้�กิล่6�มห้ร�อผ��ใช้�งานี้ต้�างๆ เม��อต้�องกิารให้�ใช้�� เง��อนี้ไขต้ามทำ��กิ�าห้นี้ดไว่� โดยม�ข��นี้ต้อนี้กิารเพี�ม Add access

policy ต้ามทำ��กิล่�าว่มากิ�อนี้ห้นี้�านี้�� จะแต้กิต้�างเฉพีาะในี้ส�ว่นี้ของ Filter profile ให้�เล่�อกิเง��อนี้ไข ห้ร�อ Profile ทำ��เราสร�าง ข+�นี้ ด�งต้�ว่อย�าง ร�ปิทำ��


หมืาย่เหติ+ : ห้ล่�งจากิทำ��ม�กิารสร�างห้ร�อกิ�าห้นี้ดคื�า Policy ให้ม� ต้�องพีจารณิาเร��องล่�าด�บัข��นี้ต้อนี้กิารทำ�างานี้ให้�ด�เพีราะจะม�ผล่ ต้�อกิารทำ�างานี้ได� โดยปิกิต้จะต้รว่จสอบัห้ร�อทำ�างานี้จากิบันี้ล่งล่�างเม��อเข�าเง��อนี้ไขห้ร�อทำ�างานี้แล่�ว่จะไม�ทำ�างานี้ข�อถ�ดไปิ

**** กิ�าล่�ง Update ****


Part 5 : การ config Logging เพื้��อใช้�ในการเก0บ Log

การติรวจัเช้0คู่ว�าระบบทำ�างานได�สำมืบ�รณ์-หร�อย่ งโดย่ใช้� Live log และ Proxy log

*** รอ update ***

*** รอ update ***

การ Backup Configuration และการ Restore Configuration*** รอ update ***

Endian Firewall 2.3 rc1 - Manual BookFAQ

Q: ทำ�าไมห้ล่�งจากิทำ��เราล่ง EFW เสร'จแล่�ว่ ม�นี้ข+�นี้ "GRUB Loading Stage 2 ......" แล่�ว่ เคืร��องไม�ยอมบั�ต้เข�า EFW ?A: ห้ล่�งจากิทำ��ทำ�านี้ได�ต้ดต้��งแล่�ว่ แต้� EFW ไม�บั�ต้เข�าระบับั แล่�ว่ข+�นี้ข�อคืว่ามด�งกิล่�าว่ ม�สาเห้ต้6มาจากิ ต้อนี้ทำ��ทำ�านี้ต้ดต้��งทำ�านี้ได�

ไปิเล่�อกิกิารใช้�งานี้ console ผ�านี้ Serial port ของเคืร��อง แต้�เคืร��องโดนี้ปิ%ด port ด�งกิล่�าว่เอาไว่� ว่ธิ�แกิ�คื�อ...ทำ�านี้ต้�องร� บั�ต้เคืร��อง แล่�ว่เข�าไปิเปิ%ด Serial port ในี้ ฺEBIOS เพี�ยงเทำ�านี้��ระบับั EFW จะบั�ต้เข�าได�เปิ(นี้ปิกิต้คืร�บั

Q: DNS server ของ Window Server ม�ปิ.ญห้ากิ�บัเคืร��อง Client ทำ��เปิ(นี้ Dynamic ทำ��ได�ร�บั IP จากิ Endian firewall เราจะแกิ�ย�งไงให้� Dns server ของ Window ม� ip ต้รงกิ�นี้กิ�บัเคืร��อง client ช้��อนี้��นี้ๆA: ในี้ส�ว่นี้ของ Windows Server ทำ��ทำ�าห้นี้�าทำ��เปิ(นี้ Dns Server ของ Domain ให้�ไปิกิ�าห้นี้ดคื�า Allow Dynamic update แบับั Non-secure and Secure นี้ะคืร�บั จากินี้��นี้กิ'ไปิเร�งในี้ส�ว่นี้ของกิารล่บัคื�า Dns ทำ��ไม� update ในี้ส�ว่นี้ของ Aging Scavenge

Q: A:

Q: A:

Q: A:


Part 6 Config Open VPN

6.1 Open VPN Client to Site

การคู่อนฟิ7ก OpenVPN แบบ Host-to-Net ( Client to Site ) บน Endian Firewall Community 2.3 RC1

โดย อดศึร ขาว่ส�งข9

( ปร บปร+งโดย่ ไพื้รสำาร สำ%เทำา: tototyt , แก�ไข้ภัาพื้และเร%ย่บเร%ย่งโดย่ อ ศเรศ เทำพื้นร�นทำร-:Noktualek )

จ�ดทำ�าเม��อ 2/07/2008 (ปร บปร+ง 27/10/2009)ทำดล่องบันี้ efw 2.3 RC1

บทำน�า

เมื��อเราติ�ดติ �ง Endian Firewall Community แล�ว ก0จัะมื%แอพื้พื้ล�เคู่ช้ นทำ%�เป/น OpenVPN ทำ%�สำามืารถึพื้ร�อมืใช้�งานได� ทำ �งแบบ net-to-net และ host-to-net ซ็!�งในทำ%�น%�จัะกล�าวถึ!งการใช้�งานแบบ host-to-net

การเช้��อมืติ�อ VPN แบบ host-to-net จัะเป/นด งร�ปทำ%� 1 โดย่ด�านซ็�าย่ข้องร�ปก0เป/นเคู่ร�อข้�าย่ภัาย่ใน (LAN) ทำ%�อย่�� ในองคู่-กรข้องเราและมื%การเช้��อมืติ�อก บเคู่ร�อข้�าย่ Internet เพื้��อให�เคู่ร�อข้�าย่ LAN ข้องเราสำามืารถึติ�ดติ�อไปย่ งโลก

ภัาย่นอกทำ%�เป/นอ�นเติอร-เน0ติได� แติ�โลกภัาย่นอก (Internet) ไมื�สำามืารถึทำะล+ผู้�านเข้�าไปสำ��เคู่ร�อข้�าย่ LAN ข้องเราได�โดย่ง�าย่ เพื้ราะติ�ดเร��องข้องระบบคู่วามืปลอดภั ย่และเทำคู่น�คู่การออกแบบเคู่ร�อข้�าย่ ด งน �นถึ�าจัะให�โลกภัาย่นอก

สำามืารถึทำะล+ผู้�านเข้�าไปย่ งเคู่ร�อข้�าย่ LAN ได�โดย่มื%คู่วามืปลอดภั ย่ก0จัะติ�องประย่+กติ-เอาระบบ VPN มืาใช้�งาน


ร�ปิทำ�� 1 กิารเช้��อมต้�อ VPN แบับั host-to-net ห้ร�อ client to site

สำ��งทำ%�จั�าเป/นสำ�าหร บการทำ�า VPN 1. Public IP แบับั Fix IP ส�าห้ร�บัสาขาห้ล่�กิ Site A 2. ถ�าไม� Fix IP ให้�ใช้� Dynamic DSN คืร�บั

3. IP ว่งแล่นี้ส�าห้ร�บัสาขาห้ล่�กิ แล่ะ IP ว่งแล่นี้ส�าห้ร�บัเคืร��องทำ��จะ VPN เข�ามาคืว่รอย��คืนี้ล่ะ Subnet เ�ช้�นี้ ทำ��สาขาห้ล่�กิ ว่ง 192.168.1.0/24 ส�าห้ร�บัเคืร��องทำ��จะ remote เข�ามาคืว่รเปิ(นี้ 192.168.121.0/24 ทำ��ต้�อง

กิ�าห้นี้ดคื�าให้�ต้�างกิ�นี้เพี��อปิ=องกิ�นี้กิารส�บัสนี้นี้ะคืร�บั เพีราะห้ากิคือนี้ฟ%กิทำ��สาขาห้ล่�กิ 192.168.1.1/24 เปิ(นี้ Endian Firewall แล่�ว่เคืร��องทำ�� Remote จากิอ�กิทำ��ห้นี้+�งม� ADSL Router เปิ(นี้ 192.168.1.1/24 จะพีบัว่�า IP Address

เห้ม�อนี้กิ�นี้ เม��อทำ�ากิารเช้��อมต้�อ VPN เข�ามาจะเกิดคืว่ามย6�งยากิในี้กิารจ�ดกิาร

การคู่อนฟิ7กฝั่:� ง Server

1. เช้��อมต้�อไปิย�ง Endian Firewall Community ผ�านี้ Web Browser (https :// server _ ip _ address :10443)

2. ไปิทำ��เมนี้� vpn ด�านี้บันี้ แล่ะเล่�อกิเมนี้�ย�อยเปิ(นี้ Openvpn Server ด�านี้ซ้ำ�ายม�อ แล่ะ Tab Server configuration

https://219.2.2.1:10443/cgi-bin/openvpn_server.cgi



3. ปิ=อนี้คื�า Dynamic IP pool start address แล่ะ Dynamic IP pool end address ซ้ำ+�งคื�อ IP Address ของเคืร�อข�ายภายในี้ (LAN) ทำ��จะจ�ายให้�กิ�บัเคืร��อง ( Roadwarrior ) ทำ��จะเช้��อมต้�อเข�ามานี้��นี้เอง

คืล่Cกิทำ�� checkbox ของ OpenVPN Server enabled ให้�ม�เคืร��องห้มายถ�กิ กิ�าห้นี้ดว่ง IP ส�าห้ร�บัล่�กิข�ายทำ��

จะทำ�ากิาร VPN เข�ามาโดยไม�ให้�ซ้ำ��ากิ�บั DHCP ในี้ร�ปิคื�อแจกิ IP 192.168.1.151-219 ด�งร�ปิ

4. คืล่Cกิปิ6Bม Save and restart ของร�ปิทำ�� 2

5. คืล่Cกิแทำบั Accounts ด�งต้�ว่อย�างในี้ร�ปิ แล่�ว่คืล่Cกิปิ6Bม Add account


6. ใส� Username แล่ะ Password คืล่Cกิทำ�� checkbox ของ Direct all client traffic through the VPN server ให้�ม�เคืร��องห้มายถ�กิ ด�งต้�ว่อย�างในี้ร�ปิ แล่�ว่คืล่Cกิปิ6Bม Save

* หากติ�องการให�เคู่ร��องทำ%� connect เข้�ามืาแล�ว Fix IP ก0ให�ป;อน IP ติรง Static ip addresses

7. คืล่Cกิทำ��ปิ6Bม Restart OpenVPN server ด�งร�ปิทำ�� 5

8. คืล่Cกิแทำบั Advanceed ปิ=อนี้คื�าต้�างๆ ด�งต้�ว่อย�างในี้ร�ปิทำ�� 6 เสร'จแล่�ว่คืล่Cกิปิ6Bม Save and restart


ร�ปิทำ�� 6 Advanced

9. คืล่Cกิล่งคื9 Download CA Certificate เพี��อนี้�าไฟล่9 XXX.cer ไปิใช้�งานี้ทำ�� Client ด�งต้�ว่อย�างในี้ ร�ปิทำ�� 7 ( ในี้ข��นี้ต้อนี้นี้��ให้�ส�งเกิต้6ว่�าบัางคืร��งห้ากิใช้� IE 8 จะได�ไฟล่9 xxx.cer (xxx คื�อช้��อเคืร��องทำ��เรากิ�าห้นี้ดไว่�ต้อนี้

ต้ดต้��ง) แต้�ห้ากิใช้� Firefox ห้ร�อ Google Chrome กิ'จะได�ไฟล่9 xxx.pem

ว่ธิรต้รว่จสอบัว่�า Service VPN Server ว่�าทำ�างานี้ห้ร�อย�ง ให้�ล่องต้รว่จสอบั Status ของ Services ห้ากิ สถานี้ะย�งเปิ(นี้ STOPED ให้�กิล่�บัไปิทำ�ากิารแกิ�ไขให้ม� ต้ามข��นี้ต้อนี้ข�างต้�นี้จนี้กิว่�าสถานี้ะเปิ(นี้ RUNNING คืร�บั

การคู่อนฟิ7กฝั่:� ง Client1. ดาว่นี้9โห้ล่ดโปิรแกิรม OpenVPN GUI for Windows ได�จากิ http://openvpn.se/ เล่�อกิเมนี้�

Download ด�านี้ซ้ำ�ายม�อ แล่ะเล่�อกิเมนี้� Stable เล่�อกิดาว่นี้9โห้ล่ดโปิรแกิรมทำ��เปิ(นี้ Installation Package ซ้ำ+�งในี้ขณิะทำ�� เข�ยนี้บัทำคืว่ามนี้��ม�ช้��อไฟล่9เปิ(นี้ openvpn -2.0.9- gui -1.0.3- install . exe

http://www.tkc.ac.th/osunun/technology/linux/efw/ovpn_host_to_net/files/install_packages/openvpn-2.0.9-gui-1.0.3-install.exe








2. ต้ดต้��งโปิรแกิรมทำ��ดาว่นี้9โห้ล่ดมาล่งในี้เคืร��องทำ��ต้�องกิารจะให้�เปิ(นี้ OpenVPN client โดยของผ��เข�ยนี้ต้ดต้��งเปิ(นี้ แบับั Default คื�อไม�ได�เล่�อกิ Options เพี�มเต้มใด ๆ ซ้ำ+�งกิารต้ดต้��งจะต้ดต้��งไฟล่9ไว่�ในี้ต้�าแห้นี้�ง C:\Program

Files\OpenVPN

3. เม��อต้ดต้��งโปิรแกิรมแล่�ว่จะปิรากิฏ Icon อย��บันี้ Taskbar ด�านี้ล่�างขว่า ด�งร�ปิ

4. ส�าเนี้าไฟล่9 client.ovpn จากิโฟล่เดอร9C:\Program Files\OpenVPN\sample-config ไปิไว่�ในี้ ต้�าแห้นี้�ง C:\Program Files\OpenVPN\config โดยใช้�ช้��อไฟล่9เปิ(นี้ช้��อเดม ห้ร�ออ��นี้ๆ ต้ามทำ��ต้�องกิารกิ'ได�

5. คืล่Cกิเมาส9ขว่าบันี้ VPN Icon ต้ามร�ปิทำ�� 9 แล่�ว่เล่�อกิเมนี้� Edit Config ห้ร�อจะเปิ%ดไฟล่9คือนี้ฟ%กิจากิต้�าแห้นี้�ง ไฟล่9โดยต้รงนี้��นี้คื�อไฟล่9 C:\Program Files\OpenVPN\config\client.ovpn

6. แกิ�ไขเพี�มเต้มไฟล่9คือนี้ฟ%กิด�งกิล่�าว่ให้�ม�คื�าต้�อไปินี้�� อย��ในี้ไฟล่9 ( ห้ร�อ ล่บั config คื�าเกิ�าให้�ห้มดแล่�ว่ copy คื�าconfig ด�านี้ล่�างทำ��เปิ(นี้ต้�ว่ห้นี้า โดยแกิ�ไขให้�เห้มาะสมกิ�บักิารใช้�งานี้

clientdev tapproto udpremote site-001a.dyndns.org ห้ร�อ xxx.xxx.xxx.xxx 1194 resolv-retry infinitenobindpersist-keypersist-tunca cacert.pem ( ต้��งคื�าให้�ส�มพี�นี้ธิ9กิ�บัข�อ 9)auth-user-passcomp-lzo

หมืาย่เหติ 6 ห้ล่�งคื�าว่�า remote เราสามารถกิ�าห้นี้ดให้�เปิ(นี้ช้��อ Domian เช้�นี้ site-001a.dyndns.org หร�อ กิ�าห้นี้ดเปิ(นี้คื�า IP Address ของ OpenVPN Server กิ'ได� ซ้ำ+�ง เล่ข IP จะต้�องเปิ(นี้เล่ขทำ��ได�จากิ Public IP ห้ร�อ IP สาธิารณิะ แล่�ว่กิ'ใส�คื�า port 1194

ห้ล่�งคื�าว่�า ca สามารถระบั6 path ของไฟล่9ได� ( ในี้กิรณิ�ไฟล่9 CA ว่างไว่�ทำ��ต้�าแห้นี้�งอ��นี้)


7. ให้� disable คื�าว่�า cert client.crt แล่ะ key client.key ในี้ไฟล่9 client.ovpn ด�ว่ยกิารเอาเคืร��องห้มาย";" ไปิไว่�ข�างห้นี้�า( ข�อนี้��ไม�ต้�องทำ�าห้ากิทำ�าข�อ 6 โดยกิารเคืร�ยคื�าเกิ�าทำ�งไปิแล่�ว่)8. ส�าเนี้าไฟล่9 CA (xxxx.cer) ทำ��ดาว่นี้9โห้ล่ดมาจากิ OpenVPN Server ( ในี้ข��นี้ต้อนี้ทำ�� 9 ของกิารคือนี้ฟ%กิฝั่.� งServer) ไปิไว่�ทำ��ต้�าแห้นี้�ง config ของโปิรแกิรมคื�อ C:\Program Files\OpenVPN\config

การเช้��อมืติ�อใช้�งาน

1. เล่�อกิเมนี้� Connect บันี้ Icon ของ OpenVPN Client แล่�ว่จะม�กิารถาม user แล่ะpassword ด�งร�ปิทำ�� 10

ร�ปิทำ�� 10

2. เม��อ Connect ได�แล่�ว่ OpenVPN Icon บันี้ Taskbar จะเปิล่��ยนี้ส�เปิ(นี้ส�เข�ยว่ด�งร�ปิทำ��11


3. เม��อต้รว่จสอบัด� IP Address ทำ��ได�ร�บัจากิ Server กิ'จะต้รงกิ�บัช้�ว่งของ IP pool ทำ��ได�เซ้ำ'ต้ ไว่�ด�งร�ปิทำ�� 12



4. ทำ��ฝั่.� งของ OpenVPN Server เม��อทำ�ากิารมอนี้เต้อร9ด�สถานี้ะกิารเช้��อมต้�อกิ'จะเห้'นี้ user ทำ��กิ�าล่�งเช้��อมต้�อใช้� งานี้อย��ด�งร�ปิทำ�� 13 ซ้ำ+�งสามารถทำ��จะ kill กิารใช้�งานี้ได�



กิารใช้�งานี้กิ�บั user ห้ล่ายคืนี้สามารถทำ�าให้�สะดว่กิมากิข+�นี้ด�ว่ยกิารส�าเนี้าไฟล่9คือนี้ฟ%กิต้�นี้แบับัทำ��ทำ�ากิารปิร�บัแต้�งเร�ยบัร�อย แล่�ว่ พีร�อมไฟล่9 CA ทำ��ดาว่นี้9โห้ล่ดมาจากิ Server ส�งให้�คืนี้อ��นี้ ๆ

ป:ญหาทำ%�พื้บและแนวทำางการแก�ไข้ ( แบบสำ�วนติ <วสำ�วนติ ว )

1. เคืร��อง Server แจกิ IP ให้�แต้� Client ไม�ร�บัส�งเกิต้ได�จากิไม�ม� IP ข+�นี้มา

ผมไม�ทำราบัสาเห้ต้6นี้�ะคืร�บั แต้�ผมแก�ป:ญหาโดยใส� IP เองต้ามทำ��เรากิ�าห้นี้ดช้�ว่งไว่�ในี้ Dynamic IP pool start address แล่�ว่ Restart เคืร��องให้ม�อ�กิคืร��ง


ล่อง Connect ให้ม�อ�กิคืร��ง กิ'จะได� IP ต้ามร�ปิแล่�ว่คืร�บั


2. Connect ได�แต้�ใช้�งานี้บัางอย�างไม�ได� ให้�ต้รว่จสอบัในี้ส�ว่นี้ของ Firewall ต้รง VPN traffic ห้ากิเปิ%ดใช้�งานี้ Enable VPN Firewall อย��จะไม�สามารถทำ�างานี้บัางอย�างได�


แก�ป:ญหา โดยให้�ยกิเล่กิกิารทำ�างานี้ม�นี้กิ�อนี้ห้ากิย�งไม�กิ�าห้นี้ดคื�า rule ใดๆ

ติ วอย่�างข้องการใช้�งาน Open VPN1. เราสามารถเข�า Webconfig ของ Endian จากิภายนี้อกิได�เล่ยโดยไม�ต้�องทำ�า Forward ผ�านี้ Router


2. Ping Private IP Address จากิ VPN Client ไปิย�ง IP Address ของสาขาได�

3. Remote Admin File Sharing Printer Sharing แล่ะอ��นี้ๆ กิ'ใช้�งานี้ได� เห้ม�อนี้อย��ในี้ว่งเนี้ต้เว่รคืเด�ยว่กิ�นี้คืร�บั


ข้�อจั�าก ด VPN Client to Site โดย่ใช้� ADSL 1. คืว่ามเร'ว่ส�งส6ดทำ��ทำ�าได�ข+�นี้อย��กิ�บัคืว่ามเร'ว่ต้��าส6ด ADSL ของเคืร��อง client ห้ร�อ endian server

2. ไม�เห้มาะกิ�บักิารแช้ร9ไฟล่9เปิ(นี้ Database โดยกิาร Map drive เช้�นี้โปิรแกิรมบั�ญช้� Express เพีราะกิารปิระมว่ล่ผล่จะเกิดข+�นี้ทำ��เคืร��องทำ��เปิ(นี้ VPN Client เข�าไปิ ด�งนี้��นี้จ+งต้�องด+งข�อม�ล่จ�านี้ว่นี้มากิมาใช้�จากิ Site ทำ��แช้ร9

งานี้ไว่� จ+งเกิดข�อจ�ากิ�ดในี้กิารใช้�งานี้ กิารแกิ�ไข คืว่รใช้�งานี้แบับั Terminal ห้ร�อ Remote Desktop 3. โปิรแกิรม Open VPN ส�าห้ร�บัเคืร��อง Client(Open VPN 2.0.9) ย�งม�ปิ.ญห้ากิารใช้�งานี้กิ�บั

Windows 7 4. กิารใช้�งานี้ Internet บันี้เคืร��องทำ��เปิ(นี้ VPN Client ในี้กิารเข�าเว่ปิไซ้ำต้9ต้�างๆ จะว่�งผ�านี้ต้�ว่

gateway Endian Server ทำ�าให้�จะได�คืว่ามเร'ว่เทำ�ากิ�บั ขา Upload ของ Endian Server (ใคืรม�ว่ธิ�แกิ�บั�างคืร�บั) 5. จากิข�อ 4 ห้ากิในี้เคืร�อขาย LAN ของสาขาต้��ง Policy Firewall ต้�างๆไว่� เคืร��องทำ�� VPN เข�ามาอาจจะไม�ได�อย��

ในี้ Policy นี้��นี้ๆ จ+งอาจัจัะเก�ดคู่วามืไมื�ปลอดภั ย่ติ�อเคู่ร�อข้�าย่ได� 6. ไม�สามารถใช้�งานี้เปิ(นี้ช้��อเคืร��องได� แนี้ะนี้�าให้�ระบั6เปิ(นี้ IP Address 7. ห้ากิใช้�งานี้บัางอย�างไม�ได�เช้�นี้กิาร Sharing folder ให้�เปิล่��ยนี้ Protocal จากิ UDP เปิ(นี้ TCP

ในี้ร�ปิทำ�� 6 แล่ะกิารคือนี้ฟ%กิคื�า client ในี้ข�อทำ�� 6 8. อ6ปิกิรณิ9 เคืร�อข�ายบัางต้�ว่อาจจะม�ปิ.ญห้ากิ�บัว่ง IP Class A เช้�นี้ 10.0.0.0/24 ผมทำดล่องกิ�บั Endian 2.2

ปิรากิฏว่�าม�นี้ไม�แจกิ IP ว่งนี้��ให้�กิ�บั Client VPN คืร�บั แต้�พีอเปิล่��ยนี้มาเปิ(นี้ว่ง 192.168.0.0/24 สามารถทำ�างานี้ต้าม ปิกิต้ ด�ว่ยเห้ต้6นี้��อาจจะเปิ(นี้สาเห้ต้6เ��ด�ยว่กิ�บัในี้ห้�ว่ข�อปิ.ญห้าทำ��พีบัแล่ะว่ธิ�กิารแกิ�ไขข�างต้�นี้ กิ'เปิ(นี้ไปิได� ซ้ำ+�งอาจจะเปิ(นี้ Bug ของ

โปิรแกิรม

* ทำ��เห้ล่�อกิ'อย��ทำ��ว่�าใคืรจะกิ�าห้นี้ด Rule ให้�ทำ�างานี้อะไรได�บั�างแล่ะอ��นี้ๆ ทำ��ย�งไม�กิล่�าว่ถ+ง ขอให้�โช้คืด�ทำ6กิทำ�านี้คืร�บั

6.2 Open VPN Site to Site ห้ร�อ แบบ Net-to-Net บน Endian Firewall

โดย อดศึร ขาว่ส�งข9เข�ยนี้เม��อ 25/11/2006 ( ปิร�บัปิร6งโดย : นี้ายไพีรสาร ส�เทำา )

ทำดล่องบันี้ Endian Firewall 2.3

บทำน�า

Endian Firewall 2.3 rc1 - Manual Book ผ��เข�ยนี้ได�ทำดล่องใช้�งานี้ OpenVPN แบับั Net-to-Net บันี้ Endian Firewall 2.3 ซ้ำ+�งเซ้ำ'ต้ง�ายด�คืร�บั กิ'เล่ยได�เอามา

แนี้ะนี้�ากิ�นี้ ซ้ำ+�งกิารใช้�งานี้ VPN แบับั net-to-net อาจจะเร�ยกิอ�กิช้��อเปิ(นี้แบับั Site-to-Site ห้ร�อบัางทำ��กิ'อาจจะเร�ยกิว่�าIntranet VPN

คู่วามืติ�องการข้องระบบ กิารทำดล่องในี้ทำ��นี้��สมม6ต้ว่�าองคื9กิรของเราม�ส�านี้�กิงานี้อย�� 2 แห้�ง เปิ(นี้ Site A แล่ะ Site B ด�งร�ปิ ซ้ำ+�งในี้คืว่ามเปิ(นี้จรงแล่�ว่

อาจจะม�จ�านี้ว่นี้ Site มากิกิว่�านี้�� แต้�กิารปิระย6กิต้9ใช้�งานี้ กิ'ใช้�ห้ล่�กิกิารทำ��จะกิล่�าว่ถ+งนี้��ได�คืร�บั แล่ะทำ��งสอง Site ได�เช้�าใช้�บัรกิารอนี้เต้อร9เนี้'ต้จากิผ��ให้�บัรกิารเร�ยบัร�อยแล่�ว่ นี้��นี้ห้มายถ+งทำ��งสอง Site สามารถใช้�งานี้อนี้เต้อร9ได� แต้�ม�คืว่ามต้�องกิารเพี�มเต้ม

คื�อ ต้�องกิารให้�เคืร�อข�ายภายในี้ทำ��ใช้� IP เปิ(นี้ Private IP ของทำ��งสอง Site สามารถเช้��อมต้�อกิ�นี้ได�โดยม�คืว่ามปิล่อดภ�ยของข�อม�ล่ทำ��นี้�าเช้��อถ�อได�

ทำางออกิในี้ทำ��นี้��คื�อกิารใช้�ระบับั VPN โดยเล่�อกิเปิ(นี้ OpenVPN เพีราะเปิ(นี้ Open Source ทำ��ไม�ต้�องล่งทำ6นี้ซ้ำ��อ แล่ะเล่�อกิทำ�� จะใช้� OpenVPN บันี้ Endian Firewll คืร�บั

ร�ปิทำ�� 1 กิารเช้��อมต้�อ VPN แบับั host-to-hots

ข้ �นติอนการเซ็0ติมื%ด งน%� ในี้ทำ��นี้��ผ��เข�ยนี้ขอแสดงต้�ว่อย�างกิารเซ้ำ'ต้ทำ�� Site A ส�ว่นี้ Site B กิ'ใ�ห้�ใ�ช้�ห้ล่�กิกิารเซ้ำ'ต้ทำ��เปิ(นี้แบับัเด�ยว่กิ�นี้ด�งนี้��

การคู่อนฟิ7กฝั่:� ง Server Site A * ข้ �นติอนเหมื�อนก นก บทำ�าแบบ Host-to-Net หร�อ Client To Site น �นเอง หากทำ�านทำ�าไปแล�วก0ข้�ามืข้ �นติอนน%�ได�เลย่

1. ต้ดต้��ง Endian Firewall ทำ��ง 2 Site

2. เช้��อมต้�อไปิย�ง Endian Firewall Community ผ�านี้ Web Browser (https://server_ip_address:10443)

3. ไปิทำ��เมนี้� vpn ด�านี้บันี้ แล่ะเล่�อกิเมนี้�ย�อยเปิ(นี้ Openvpn Server ด�านี้ซ้ำ�ายม�อ แล่ะ Tab Server configuration




4. ปิ=อนี้คื�า Dynamic IP pool start address แล่ะ Dynamic IP pool end address ซ้ำ+�งคื�อ IP Address ของเคืร�อข�ายภายในี้ (LAN) ทำ��จะจ�ายให้�กิ�บัเคืร��อง( Roadwarrior ) ทำ��จะเช้��อมต้�อเข�ามานี้��นี้เอง

คืล่Cกิทำ�� checkbox ของ OpenVPN Server enabled ให้�ม�เคืร��องห้มายถ�กิ ด�งร�ปิทำ�� 2

ร�ปิทำ�� 2 กิารคือนี้ฟ%กิ Server configuration

5. คืล่Cกิปิ6Bม Save and restart ของร�ปิทำ�� 26. คืล่Cกิแทำบั Accounts ด�งต้�ว่อย�างในี้ร�ปิทำ�� 3 แล่�ว่คืล่Cกิปิ6Bม Add account




ร�ปิทำ�� 3 Accounts

7. ใส� Username แล่ะ Password คืล่Cกิทำ�� checkbox ของ Direct

all client traffic through the VPN server ให้�ม�เคืร��องห้มายถ�กิ ด�งต้�ว่อย�างในี้ร�ปิทำ�� 4 แล่�ว่คืล่Cกิปิ6Bม Save


ร�ปิทำ�� 4 Add new user

8. คืล่Cกิทำ��ปิ6Bม Restart OpenVPN server ของร�ปิทำ�� 5



9. คืล่Cกิแทำบั Advanceed ปิ=อนี้ต้�างๆ ด�งต้�ว่อย�างในี้ร�ปิทำ�� 6 เสร'จแล่�ว่ คืล่Cกิปิ6Bม Save and restart


ร�ปิทำ�� 6 Advanced

10. คืล่Cกิล่งคื9 Download CA Certificate เพี��อนี้�าไฟล่9 XXX.cer ไปิใช้�งานี้ทำ�� Server Site B ด�งต้�ว่อย�างในี้ร�ปิทำ��

ร�ปิทำ�� 7 Download CA Certification

ล่องต้รว่จสอบั Status แล่ะ Services กิ�อนี้ว่�าทำ�างานี้ห้ร�อย�งคืร�บั ห้ากิสถานี้ะย�ง เปิ(นี้ STOPED ให้�กิล่�บัไปิทำ�ากิารแกิ�ไขให้ม� ต้ามข��นี้ต้อนี้ข�างต้�นี้จนี้กิว่�าสถานี้ะเปิ(นี้

RUNNING คืร�บั ด�งต้�ว่อย�างในี้ร�ปิทำ�� 7.1


ร�ปิทำ�� 7.1 Open VPN Server Status

การคู่อนฟิ7กฝั่:� ง Server Site B

1. ในี้ส�ว่นี้ของ Site B ให้�ทำ�ากิารเพี�มในี้ส�ว่นี้ของ OpenVPN client (Gw2Gw) คืล่Cกิปิ6Bม Add tunnel configuration

ร�ปิทำ�� 8 OpenVPN client (Gw2Gw)

2. จากินี้��นี้ให้�ปิ=อนี้ข�อม�ล่ของกิารสร�าง Add VPN tunnel ด�งร�ปิทำ�� 9 โดยคื�าส�าคื�ญเปิ(นี้ด�งนี้��

- Connection Name : ปิ=อนี้ช้��อต้ามทำ��ต้�องกิาร- Connection to : ระบั6 Public IP ของ VPN Server ฝั่.� ง Site A- Upload ca file : ใช้�ไฟล่9 CA ทำ��ดานี้ว่9โห้ล่ดมาจากิ VPN Server ฝั่.� ง Site A- Username : ระบั6 username ของ VPN Server ฝั่.� ง Site A- Password : ระบั6 password ของ VPN Sever ฝั่.� ง Site A- Remark : ปิ=อนี้คื�าอธิบัายอะไรกิ'ได�


ร�ปิทำ�� 9 Add VPN tunnel3. คืล่Cกิปิ6Bม Advanced tunnel configuration เพี��อ ปิร�บัแต้�งคื�าเพี�มเต้ม ต้ามร�ปิทำ�� 10

Connection configuration

- Fallback VPN servers : ต้รงนี้��อ�านี้เอาเอง นี้�ะ คืร�บัผมกิ'แปิล่ไม�ออกิ ปิระมาณิว่�าเกิ��ยว่กิ�บั Prot เราใช้�พี��นี้ฐานี้ของ

ม�นี้ล่�ะกิ�นี้ (1194) เรากิ'ไม�ต้�องใส�อะไร

- Connection type: Routed

- Bridge to : GREEN

- Block DHCP responses coming from tunnel:

- NAT : * ติรงน%�ให�ติ�<ก หากติ�องการให�ให�สำองฝั่:� งPing หาก นเจัอและอ��นๆ


- Protocol: UDP

HTTP proxy configuration * ต้รงนี้��ผมไม�ใส�คืร�บั นี้�าจะเกิ��ยว่กิ�บั ผ�านี้ Proxy

HTTP proxy :

Proxy username :

Proxy password :

Forge proxy user-agent :

ร�ปิทำ�� 10 Advanced tunnel configuration

4. เม��อทำ�ากิารบั�นี้ทำ+กิคื�าแล่ะให้�ล่องเข�าไปิด� (แกิ�ไข) จะเห้'นี้ CA ด�งร�ปิทำ�� 11


ปิทำ�� 11 Advanced tunnel configuration

5. เม��อม�กิารเช้��อมต้�อมาจากิเคืร��องฝั่.� งต้รงข�าม Siate A ได�แล่�ว่ จะแสดง ผล่ในี้ส�ว่นี้ของ Connection status and control ด�งร�ปิทำ�� 12 ซ้ำ+�งจะ

เห้'นี้ว่�าเคืร��องฝั่.� งเราได�จ�าย IP Address ทำ��เปิ(นี้ในี้ช้�ว่งทำ��เรากิ�าห้นี้ดในี้ Global settings ให้�กิ�บั VPN Server ฝั่.� ง Site B แล่ะ Status ทำ�� Site B จะเปิ(นี้ established ด�งร�ปิทำ�� 13 ซ้ำ+�งเม��อม�กิารเช้��อมต้�อแบับันี้��ส�าเร'จแล่�ว่ทำ��งสองด�านี้ จะทำ�าให้�เคืร��อง Client ทำ��อย��ด�านี้ห้ล่�งของ VPN Server ของทำ��งสองด�านี้สามารถต้ดต้�อถ+งกิ�นี้ได�


ติ วอย่�างสำถึานะ Site A

ร�ปิทำ�� 12 Connection status and control ทำ�� Site A

ติ วอย่�างสำถึานะ Site B

ร�ปิทำ�� 13 Status ทำ�� Site B

* หากติ�องการให� Site A สำามืารถึใช้�งานฝั่:� ง Site B ได�ก0มื%หล กการเหมื�อนก นติามืทำ%�กล�าวมืา


ป:ญหาทำ%�พื้บและแนวทำางการแก�ไข้

1. Connect ได�แล่�ว่ ( Status เปิ(นี้ established ) แต้� Ping ห้ากิ�นี้ไม�เจอ

การติรวจัและแก�ไข้

- ให้�ต้รว่จสอบัต้รง Advanced tunnel configuration ล่�มต้Cกิ NAT ห้ร�อเปิล่�า - ต้รง Filewall / VPN firewall configuration ห้ากิย�งไม�กิ�าห้นี้ด Rule ใด ๆ ให้�ยกิเล่กิกิารทำ�างานี้ไปิกิ�อนี้(Disable) - Ping จากิ Site B เจอ Site A แต้� Ping จากิ Site A กิล่�บัไม�เจอ Site B ให้�ต้รว่จสอบัว่�าล่�มทำ�าข��นี้ต้อนี้ทำ��งห้มดทำ��ฝั่.� งต้รงข�ามห้ร�อเล่�า ซ้ำ+�งทำ��งสองข�างสถานี้ะจะต้�องเปิ(นี้ established 2. Connect สองฝั่.� งได�แล่�ว่ ( Status เปิ(นี้ established ) Ping ห้ากิ�นี้เจอแต้�ออกิเนี้'ต้แล่�ว่ม�ปิ.ญห้า

การติรวจัและแก�ไข้

- รอปิร�บัปิร6ง......


Part 7 : Network

7.1 Interfaces : การเพื้��มืจั+ดเช้��อมืติ�อ ( Link )

7.1.1 Uplinks manage คื�อกิารเพี�มจ6ดเช้��อมต้�อภายนี้อกิเพี�มเต้ม * ในี้กิรณิ�นี้��ผ��เข�ยนี้ใช้�เพี��อเพี�มกิารเช้��อมต้�อกิ�บัภายนี้อกิ ซ้ำ+�งเปิ(นี้ระบับั Intranet ภายในี้กิล่6�มธิ6รกิจรถยนี้ต้9ทำ��ว่ปิระเทำศึ

โดยจะม�กิารใช้�งานี้โปิรแกิรมบัางอย�างผ�านี้ระบับันี้��ซ้ำ+�งไม�เกิ��ยว่ข�องกิ�บักิารใช้�งานี้อนี้เต้อร9เนี้'ต้แต้�อย�างได ส�ว่นี้ทำ�านี้อาจนี้�าไปิใช้� ในี้ล่�กิษณิะของกิารทำ�าอนี้เต้อร9เนี้'ต้สองเส�นี้ห้ร�อมากิกิว่�า อย�างทำ��เราเร�ยกิกิ�นี้ว่�า Loadbalance นี้��นี้แห้ล่ะ กิ�อนี้ทำ�าทำ�านี้ต้�อง

ทำ�ากิารเพี�ม Lan Card แล่ะต้ดต้��ง Drivers ให้�เร�ยบัร�อยกิ�อนี้ ซ้ำ+�ง Lan Card ให้�เพี�มต้ามจ�านี้ว่นี้ทำ��ต้�องกิารเพี�ม Route ในี้ต้�ว่ Endian Firewall

1. ไปิทำ��เมนี้� Interfaces เล่�อกิ TAB Uplink editor กิดปิ6Bม Create an uplink ด�งร�ปิทำ�� 7.1.1-1

ร�ปทำ%� 7.1.1-1 2. ปิ=อนี้ข�อม�ล่ต้ามห้นี้�าจอเพี��อกิ�าห้นี้ดคื�าต้�างๆ ให้�กิ�บัล่งคื9ให้ม�


3. ห้ล่�งจากิทำ�ากิารปิ=อนี้คื�าต้�างๆ เร�ยบัร�อยแล่�ว่ให้�ทำ�ากิารกิดปิ6Bม Create Uplink

7.1.2 VLAN manager คู่�อ ..

7.2 Routing : ก�าหนดเสำ�นทำางเพื้��อใช้�ในการน�าทำาง

ในี้ส�ว่นี้นี้��เปิ(นี้กิารกิ�าห้นี้ดเส�นี้ทำางเพี��อใช้�ในี้กิารนี้�าทำาง ว่�าเราต้�องกิารต้�องให้�เม��อม�กิารร�องขอเส�นี้ทำางปิล่ายทำาง เราจะให้�ว่�งออกิทำ��เส�นี้ทำางให้นี้ แล่ะสามารถกิ�าห้นี้ดนี้โยบัายต้�างๆ ( Policy Routing ) ในี้กิารใช้�เส�นี้ทำางได�อ�กิด�ว่ยว่�าจะให้�

ใคืรทำ�าอะไรได�บั�างบันี้เส�นี้ทำางนี้�� เร�มทำ�ากิารเพี�มโดยไปิทำ�� Routing 7.2.1 เพื้��มืเสำ�นทำางใหมื� ( Static Routing Editor ) 1. คืล่Cกิ Tab Static Routing / Add a new route จัะปรากฎหน�าจัอด งร�ปทำ%� 7.2.1-1

ร�ปทำ%� 7.2.1-1 2. ทำ�ากิารปิ=อนี้คื�ต้�างๆ ต้ามห้นี้�าจอ

http://docs.google.com/cgi-bin/policy_routing.cgi

http://docs.google.com/cgi-bin/policy_routing.cgi

Endian Firewall 2.3 rc1 - Manual Book 3. ห้ล่�งจากิปิ=อนี้คื�าต้�างๆ คืรบัแล่�ว่ให้�ทำ�ากิารกิดปิ6Bม Add Route เพี��อบั�นี้ทำ+กิรายกิาร

7.2.2 หนดนโย่บาย่ ( Policy Routing Editor )

1. ทำ�ากิารแกิ�ไขรายกิารทำ��ม�กิารเพี�มในี้ห้�ว่ข�อทำ�� 7.2.1 ไปิกิ�อนี้ห้นี้�านี้��แล่�ว่ โดยกิดปิ6Bมแกิ�ไข (ร�ปิดนี้สอ) แล่�ว่ทำ�ากิารปิ=อนี้คื�าเพี��อ กิ�าห้นี้ดนี้โยบัายห้ร�อกิฏต้�างๆ ต้ามทำ��ต้�องกิาร ด�งร�ปิทำ�� 7.2.2-1

ร�ปทำ%� 7.2.2-1

2. ห้ล่�งจากิทำ��ม�กิารทำ�ากิ�าห้นี้ดคื�าต้�างๆ เร�ยบัร�อยแล่�ว่ให้�ทำ�ากิารกิดปิ6Bม Update Rule

* ผ��ใช้�งานี้อาจปิระย6กิต้9ใช้�งานี้ ในี้ร�ปิแบับัทำ��แต้กิต้�าง ๆ กิ�นี้ออกิไปิ เช้�นี้ ทำ�า Multi WAN , Internet Load Balance ฯ ข+�นี้ อย��กิ�บัว่�ต้ถ6ปิระสงคื9ในี้กิารใช้�งานี้เส�นี้ทำาง ( Route ) นี้��

7.3 Edit Hosts : เพื้��มืหร�อแก�ไข้ Hosts ต้รงนี้��ไม�ม�ผล่กิ�บัไฟล่9 Hosts ทำ��กิ�าห้นี้ดไว่�ทำ��เคืร��อง Client จะเพี�มห้ร�อไม�เพี�มกิ'ได�แต้�จะม�ผล่ต้�อกิารด� Report ในี้ Log ต้�างๆ

เช้�นี้ในี้ Ntop ถ�าไม�ได�กิ�าห้นี้ดไว่�จะแสดงเปิ(นี้ เล่ข IP แต้�ถ�ากิ�าห้นี้ดห้ร�อเพี�มไว่�กิ'จะแสดงเปิ(นี้ช้��อ Hosts ทำ��เรากิ�าห้นี้ดไว่�แทำนี้ ซ้ำ+�งเว่ล่าด� กิ'จะง�ายแล่ะเข�าใจมากิกิว่�าเปิ(นี้เล่ข IP คืร�บั


Part 8 : Serveice

8.1 DHCP : IP Address อ ติโนมื ติ� ( Dynamic Host Configuration Protocol )

DHCP คู่�อ โปรโติคู่อลทำ%�ใช้�ในการก�าหนด IP Address อ ติโนมื ติ�แก�เคู่ร��องล�กข้�าย่บนระบบ

8.2 Traffic Monitoring : ติ�ดติามืคู่วบคู่+มืการร บสำ�งข้�อมื�ลข้องเคู่ร�อข้�าย่ ว�เคู่ราะห-และราย่งานด�วย่ Ntop NTOP คื�อ .... 8.2.1. การเป7ดใช้�งาน NTOP ( Enable Traffic Monitoring ) ไปิทำ�� Service / Traffic Monitoring แล�วคู่ล�<กป+>มื Enable Traffic Monitoring เพี��อทำ�ากิาร

เปิ%ดกิารทำ�างานี้ต้�ว่ NTOP สามารถต้รว่จสอบัว่�าทำ�างานี้ห้ร�อไม�ต้รงทำ�� ปิ6Bมจะเปิ(นี้ส�เข�ยว่ แสดงว่�าทำ�างานี้แล่�ว่ หร�อติรงบรรทำ ด The Traffic Analyzer module is active: access to the administration interface 8.2.2 การเข้�าด� NTOP ( Access to the NTOP By : administration interface ) เม��อต้�องกิารเข�าด�กิารทำ�างานี้ให้�คืล่Cกิต้รง administration interface จะแสดงห้นี้�าจอด�งร�ปิ 8.2.2-1

https://219.2.2.1:3001/

https://219.2.2.1:3001/

https://219.2.2.1:3001/

https://219.2.2.1:3001/

https://219.2.2.1:3001/

https://219.2.2.1:3001/


ร�ปทำ%� 8.2.2-1

8.3 Quality of Service Devices (QOS) : การจั ดการคู่+ณ์ภัาพื้บร�การในอ�นเทำอร-เน0ติ

8.3.1 : เพื้��มืราย่การอ+ปกรณ์-การร�การ : Quality of Service Devices

8.3.2 : ก�าหนดคู่+ณ์ภัาพื้ข้องช้ �นการบร�การ : Quality of Service Classes


8.3.3 : ก�าหนดกฏคู่+ณ์ภัาพื้ข้องการบร�การ Quality of Service Rules


Part 9 : QQ

Tip 1. ห้ากิล่งระบับัให้ม�เม��อ Restart เข�าใช้�งานี้ไม�ได�แกิ�ไขได�โดย - ข��นี้ต้อนี้กิารกิ�าห้นี้ด password คืร��งแรกิให้�ใช้� password เปิ(นี้คื�าว่�า "endain" ( ใช้�คื�าในี้ " ") ไปิกิ�อนี้คื�อยมาแกิ�ไขทำ�ห้ล่�ง - เม��อเข�าใช้�งานี้แล่�ว่ต้�องกิารเปิล่��ยนี้ password ของ root ใช้�คื�าส��ง # passwd ในี้ห้นี้�า control แล่�ว่ใส� password ทำ��ต้�องกิาร - ต้�องกิารเปิล่��ยนี้ password ของ admin เพี��อเข�าไปิ config ในี้ web ใช้�คื�าส��ง # htpasswd /var/efw/auth/users admin - ส�าห้ร�บัเคืร��องทำ�� update ไปิแล่�ว่ เข�าใช้�งานี้ผ�านี้ห้นี้�าเว่'บัไม�ได�ให้�ทำ�าด�งต้�อไปินี้�� " ไปิล่บัคื�าทำ�� configure ไว่�เดมทำ��เมนี้�Tools -> Options -> Advance -> Encryption -> View Certificates คืล่กิทำ��แทำ'บั Servers แล่�ว่ไปิคืล่กิทำ��ip address ของ endian firewall ทำ��เปิ(นี้คื�าเดมแล่�ว่ล่บัทำ�ง แล่ะเปิล่��ยนี้จากิแทำ'บั Servers เปิ(นี้ Authorities เล่��อนี้ล่ง

ไปิจนี้เจอ efw-xxxxxx ต้ามทำ��ต้� �งช้��อไว่� กิ'ให้�ล่บัทำ�ง"

ขอขอบัคื6ณิ NinNin ทำ��มา http://www.thaiadmin.org/board/index.php?topic=121955.0

รว่บัรว่มโดย Noktualek

http://www.thaiadmin.org/board/index.php?action=profile;u%3D15287

http://www.thaiadmin.org/board/index.php?action=profile;u%3D15287


Part : 10

Referrence ขอขอบัคื6ณิผ��จ�ดทำ�าเว่ปิไซ้ำต้9ด�านี้ล่�างด�ว่ยคืร�บั

http :// www . easyzonecorp . net / network / view . php ? ID =241 http :// www . itwizard . info / technology / linux / efw / ovpn _ host _ to _ net / efw _ ovpn _ host _ to _ net . html

http :// samba - beginner . blogspot . com /2009/01/ setup - openvpn - endian - firewall . html http :// samba - beginner . blogspot . com /2009/02/ openvpn - endian - firewall . html

http://samba-beginner.blogspot.com/2009/02/openvpn-endian-firewall.html

















http://samba-beginner.blogspot.com/2009/01/setup-openvpn-endian-firewall.html



















http://www.itwizard.info/technology/linux/efw/ovpn_host_to_net/efw_ovpn_host_to_net.html

































http://www.easyzonecorp.net/network/view.php?ID=241
















Documents

Endian Firewall 2.3 Rc1 - Manual Book