Thaiadmin

มีท่านใดที่ปิดพอร์ต 443 แล้วสามารถเปิดเช็คเมลล์ ของ hotmail yahoo ได้บ้าง

0 สมาชิก และ 1 บุคคลทั่วไป กำลังดูหัวข้อนี้

ออฟไลน์ pongton

  • *
  • 10
  • 0
มีท่านใดที่ปิดพอร์ต 443 แล้วสามารถเปิดเช็คเมลล์ ของ hotmail yahoo ได้บ้าง ถ้าท่านได้ทำได้ ผมนับถือเป็นปรมาจารย์เลยครับ


on-reply

มีท่านใดที่ปิดพอร์ต 443 แล้วสามารถเปิดเช็คเมลล์ ของ hotmail yahoo ได้บ้าง ถ้าท่านได้ทำได้ ผมนับถือเป็นปรมาจารย์เลยครับ



แล้วมีเหตุอันใดที่ต้องปิดมันหละท่าน  ใช้มันอะดีแล้ว

ออฟไลน์ pongton

  • *
  • 10
  • 0
แล้วมีเหตุอันใดที่ต้องปิดมันหละท่าน  ใช้มันอะดีแล้ว

ประเด็น คือผมต้องการ Block Ultrasurf น่ะครับ

พอปิดพอร์ตนี้ ปรากฏว่า block ได้จริง แต่..

เว็บ hotmail yahoo gmail ดันใช้ port นี้ด้วย จึงเหมือนกับว่า นอกจากจะ block ultrasurf แล้ว ยัง lock เว็บข้างต้นอีก

เฮ้อ ไม่รู้จะแก้ยังไง ใครก็ได้ช่วย ทีครับ  :'(

ออฟไลน์ Keigo

  • *****
  • 1,845
  • 29
  • เพศ: ชาย
  • TH@min Membership
ใช้ GOP แล้วกำหนด restricting executables ครับ

ทำแบบอื่นโดนด่ากระจาย (HTTPS ใช้ไม่ได้ ^^") จะ block URL ก็เยอะเหลือเกิน ได้ยินแว่วๆมาว่า Antivirus สมัยนี้มี options ในการ block applications ที่พยายาม bypass Firewall ด้วย พวก AVG หรือ AntiVir

Believe it or not ต้องลองครับ
<b>When we wake up in the morning, we have two simple choices. Go back to sleep and dream, or wake up and chase those dreams.</b>

ออฟไลน์ Nai_Toto

  • **
  • 383
  • 5
  • เพศ: ชาย
ประเด็น คือผมต้องการ Block Ultrasurf น่ะครับ

พอปิดพอร์ตนี้ ปรากฏว่า block ได้จริง แต่..

เว็บ hotmail yahoo gmail ดันใช้ port นี้ด้วย จึงเหมือนกับว่า นอกจากจะ block ultrasurf แล้ว ยัง lock เว็บข้างต้นอีก

เฮ้อ ไม่รู้จะแก้ยังไง ใครก็ได้ช่วย ทีครับ  :'(


ก็ใช้กฏเข้ามาจับสิท่าน

1.  ห้ามพนักงานทุกท่านออกประตู   443  โดยไม่ได้รับอนุญาติ
2.  อนุญาติให้พนักงาน นาย A,B,C  และ D  สามารถออกไปส่ง Mail  ที่ร้านชื่อ  Hotmail,yahoo  ได้ ร้านอื่นๆ  ไม่อนุญาติ
3.  ผู้ดูแลระบบสามารถออกประตู  443  ได้ 
ฯ 

เรียงลำดับกฏก่อน - หลังดีๆ   น่าจะได้น่ะ   แต่ส่วนตัวยังไม่ได้ลอง  ฮิฮิ   ;D       
<= Open Source  เกือบทั้งระบบ =>
Firewall =>  Endian Firewall 2.4.0 (ขึ้นระบบ 21/09/2553 )
Fax Server => Ubuntu Server + Hylafax + AvanFax 
Mail Sever => Ubuntu Server + Postfix + Squirrelmail (Web Mail)
โปรแกรมจัดเก็บไฟล์เอกสาร   => IntraVersion เรียกชื่อใหม่  DMSWeb
โปรแกรมจัดการด้านเอกสาร   => OpenOffice 3
โปรแกรมบริการงานด้าน  IT  => GLPI  เรียกชื่อใหม่  ITWeb
ของฟรีมันมีเท่าที่อยากให้เราใช้ ซึ่งเราก็ต้องใช้เท่าที่มันมี
* รับติดตั้งจานดาวเทียม และงาน Freelance ระบบ

ออฟไลน์ pongton

  • *
  • 10
  • 0
ใช้ GOP แล้วกำหนด restricting executables ครับ

ทำแบบอื่นโดนด่ากระจาย (HTTPS ใช้ไม่ได้ ^^") จะ block URL ก็เยอะเหลือเกิน ได้ยินแว่วๆมาว่า Antivirus สมัยนี้มี options ในการ block applications ที่พยายาม bypass Firewall ด้วย พวก AVG หรือ AntiVir

Believe it or not ต้องลองครับ

มันคืออะไรหรือครับท่าน GOP

ช่วยขยายความทีครับ ผมไม่ทราบจริงๆ


ออฟไลน์ pongton

  • *
  • 10
  • 0
ก็ใช้กฏเข้ามาจับสิท่าน

1.  ห้ามพนักงานทุกท่านออกประตู   443  โดยไม่ได้รับอนุญาติ
2.  อนุญาติให้พนักงาน นาย A,B,C  และ D  สามารถออกไปส่ง Mail  ที่ร้านชื่อ  Hotmail,yahoo  ได้ ร้านอื่นๆ  ไม่อนุญาติ
3.  ผู้ดูแลระบบสามารถออกประตู  443  ได้ 
ฯ 

เรียงลำดับกฏก่อน - หลังดีๆ   น่าจะได้น่ะ   แต่ส่วนตัวยังไม่ได้ลอง  ฮิฮิ   ;D       

ประเด็น คือ Block port 443 ทุกๆคนครับ ไม่ว่าใครก็ตาม

แต่การ Block 443 ทุกคน แล้วให้เข้า hotmail กับ yahoo ได้น่ะ ผมยังหาวิธีไม่ได้เลยครับ

 :'(

ออฟไลน์ sf_alpha

  • *****
  • 3,936
  • 89
  • เพศ: ชาย
  • The SF-Alpha
    • My Profiles
free email และเวบอื่น ๆ มากมายที่ใช้ HTTPS (port 443) ในการ login ครับ และแน่นอน Proxy filter URL ให้ไม่ได้เพราะว่ามัน Encrypt

เปิดไปเถอะครับ แล้วลองหา ip ของเจ้า ultrasuft มา block แทนจะง่ายกว่า

ออฟไลน์ Keigo

  • *****
  • 1,845
  • 29
  • เพศ: ชาย
  • TH@min Membership
มันคืออะไรหรือครับท่าน GOP

ช่วยขยายความทีครับ ผมไม่ทราบจริงๆ

ผิดเองครับ typo, GPO (Group Policy) ครับผม  :'(
<b>When we wake up in the morning, we have two simple choices. Go back to sleep and dream, or wake up and chase those dreams.</b>

ออฟไลน์ pongton

  • *
  • 10
  • 0
free email และเวบอื่น ๆ มากมายที่ใช้ HTTPS (port 443) ในการ login ครับ และแน่นอน Proxy filter URL ให้ไม่ได้เพราะว่ามัน Encrypt

เปิดไปเถอะครับ แล้วลองหา ip ของเจ้า ultrasuft มา block แทนจะง่ายกว่า

ลองแล้วครับ ผมเอาไม่อยู่

ผิดเองครับ typo, GPO (Group Policy) ครับผม  :'(

ตาม พรบ. บอกว่า ต้องเก็บ log ทุกคน ครับ ฉะนั้น ผมจึงอนุญาตให้เข้าได้เป็นบางคนไม่ได้เพราะว่า

เมื่อมีคนใช้ Ultrasurf มันจะไม่มี Log ใน /var/squid/access.log ครับ พูดง่ายๆ คือมันวิ่งผ่าน squid ไปเลยครับ

แต่สิ่งที่ผมคิดว่า Work ที่สุด หลังจากที่ตาม block เว็บ ultrareach.com ultrasurf.com มาหลายวัน หลายอาทิตย์

ก็ลองผิดอยู่หลายครั้งหลายครา แต่คำสั่งเดียว ที่สามารถ Block Ultrasurf แบบอยู่หมัดคือ คำสั่งนี้

iptables -A FORWARD -p tcp -m tcp --dport 443 -j DROP

แต่ติดปัญหาตรงที่ เว็บใดๆก็ตามที่ใช้พอร์ต https จะเข้าไม่ได้เลย เช่น Hotmail yahoo gmail ฯลฯ

ตรงนี้ขอเถอะครับ ท่านใดมีประสบการณ์ หรืออยากแชร์ มวลความรู้ ตลอดจนทัศนะ

ช่วยกันคิด ช่วยกันแก้ไข

ถ้าผมทำตัวนี้ไม่ได้ เว็บโป้เอย เว็บต่างๆที่ไม่เหมาะสม จะไม่มีทางแก้ไขได้ ถึงแม้ว่า จะเขียน acl squid blockโน่น blockนี้ ดีแค่ไหนก็ตาม..

ถ้าเจอโปรแกรม Ultrasurf รับรองว่า ทะลุ Block ทุกตัวครับ

ดังนั้น ผมจึงขอความกรุณาทีครับ ท่านใดที่ลองแล้วได้ ช่วยให้คำตอบทีครับ หรือวิเคราะห์ช่วยๆกันก็ได้ครับ

 :'(


ออฟไลน์ sf_alpha

  • *****
  • 3,936
  • 89
  • เพศ: ชาย
  • The SF-Alpha
    • My Profiles
ถ้าบังคับให้ใช้ HTTPS ผ่าน proxy (ไม่ทำ transparent) อย่างน้อยคุณก็ log ได้ว่าใครใช้ port 443 บ้าง

เพราะใน log ของ squid ต้องขึ้น CONNECT อยู่แล้วครับ

แต่ถ้าปกติ 443 ไม่ผ่าน proxy แล้ว block เอาที่ firewall ก็ 1000% ที่หลายเวบจะไม่สามารถ login ได้เลยครับ

คงต้องทำในทางลึก เช่นศึกษาว่าโปรแกรมมันทำงานยังไง เช่นมันอาจจะไปเรียกรายชื่อ proxy จากที่ไหนมาผ่าน DNS/web
ก็ไป filter เอาตรงนั้นแทนล่ะมั้ง

ออฟไลน์ NokTualek

  • *****
  • 2,554
  • 3
  • เพศ: ชาย
software ฟรี ๆ คงยังอยู่ในขั้นพัฒนาครับ แต่หากไปลองเล่นพวก Enterprise คิดว่าสามารถ blcok ได้สบาย เพราะพวกนี้มีการ update รูปแบบของ package ต่าง ๆอยู่ตลอดเวลา (ลองดูพวก ips  ids snort และอีกหลาย ๆ ค่าย )

ยังไงก็คงพอรู้ขอบเขตของ opensource สักนิดว่าอาจจะใช้งานใน option ที่ใช้งานกันทั่ว ๆ ไป แต่หากต้องการให้ทำได้ทุกอย่าง ณ เวลานี้ คงยังไม่สามารถทำได้ คงต้องใช้พวก hardware ระดับราคา แสนต้น ๆ ในการ manage

ส่วนกรณีที่ลักไก่ได้คือ
ตั้ง policy firewall ใหม่ครับ ซึ่งเรารู้แล้วว่ากฏข้อบนสุดทำงานก่อน ดังนั้น

1 ตั้งให้  accept  port 443 ที่ไป ip  hotmail   yahoo หรือเว็บที่เราต้องการใช้งาน
2 block 443 ทุกตัว


ที่นี้ ip พวก hotmail yahoo และเว็บอื่น ๆ อาจจะมีเยอะ ก็ตอ้งนั่งไล่หากันเอง ถามว่าเยอะมั๊ยก็เยอะนะครับ แต่หากมีงบก็ต้อง hardware


ส่วนกังวลเรื่องพรบ
มันก็ต้องเก็บ log หมดอยู่แล้วนะครับไม่จำเป็นว่าต้อง squid เท่านั้น ลองนึกดูว่า มีใครสักคนทำ telnet จากเน็ตเวิร์คเรา ไปยัง server บริษัทอื่นจนล่ม เขาจับได้ว่ามาจากบริษัทเรา แล้วอย่งนี้เราจะรู้ได้ไงว่า ใครเป็นคนทำ.... ดังนั้นหากจะตอบโจทย์พรบ เรื่อง port 443 ก็น่าจะตอบโจทย์อื่น ๆ ที่อันตรายกว่า port 443 อีกนะครับ

ขอบคุณครับ

noktualek
ไม่มีเป้าหมาย บางทีเราก็ไม่เริ่มต้น ^_^
"ชีวิตดีขึ้นได้ ด้วย วิธีคิดและวิธีพูดที่ดี"

ออฟไลน์ hardxman

  • *
  • 862
  • 2
ผมว่า 80 กับ 443 ยังไงก็ต้องเปิดให้ใช้งานนะครับ

แต่สำหรับคนที่ทำอะไรนอกเหนือกฎ แล้ว เราทำอะไรไม่ได้ ก็ต้อง แจ้งไปยังคนที่มีอำนาจสั่งการ แล้วก็ให้ออกเป็นกฎ
ถ้ารู้ว่าใครใช้งานแบบนี้ ก็มีความผิด
ประมาณนั้นครับ
อันตัวข้า เล็กน้อย ด้อยปัญญา
จึงหวังพึ่ง วิชา จากพวกท่าน
อันความรู้ ข้าน้อย ช่างต่ำตัน
จึงปรึกษา พวกท่าน เพิ่มปัญญา

ออฟไลน์ sssssss

  • **
  • 200
  • 0
ผมใช้ hotmail ผ่าน outlook (pop3 smtp) ของ hotmail  สะดวก ฟรีด้วย.....

ออฟไลน์ pwizard

  • ***
  • 939
  • 6
Job Freelance
-- Implement Endian Firewall ทุกระบบ
-- Upgrade Windows Server 2003 to 2008
-- รับถ่ายรูป http://www.konayutthaya.com/peephoto/
-- ติดต่อ 083-1888434/086-4107430 Pee

ออฟไลน์ pongton

  • *
  • 10
  • 0
ถ้าบังคับให้ใช้ HTTPS ผ่าน proxy (ไม่ทำ transparent) อย่างน้อยคุณก็ log ได้ว่าใครใช้ port 443 บ้าง

เพราะใน log ของ squid ต้องขึ้น CONNECT อยู่แล้วครับ

แต่ถ้าปกติ 443 ไม่ผ่าน proxy แล้ว block เอาที่ firewall ก็ 1000% ที่หลายเวบจะไม่สามารถ login ได้เลยครับ

คงต้องทำในทางลึก เช่นศึกษาว่าโปรแกรมมันทำงานยังไง เช่นมันอาจจะไปเรียกรายชื่อ proxy จากที่ไหนมาผ่าน DNS/web
ก็ไป filter เอาตรงนั้นแทนล่ะมั้ง


ของผมเป็นสถานศึกษา ระดับกลางครับ ถ้าให้ต้อง ไล่ set  proxy ทีละเครื่อง ขอบอกเลยว่าไม่ไหวครับ T_T เพราะคอมพิวเตอร์โน้ตบุ๊กนักศึกษาเยอะครับ

และผู้ใช้บางท่าน บางคน หรือส่วนใหญ่ จะใช้คอมพิวเตอร์ ไม่ค่อยคล่อง ครับ ฉะนั้น ถ้าเป็นอย่างนี้ภาระจะต้องไปตกอยู่ที่ผู้ดูแลระบบ  และทำให้ระบบก็ขาดความยืดหยุ่นครับ

ผมว่า 80 กับ 443 ยังไงก็ต้องเปิดให้ใช้งานนะครับ

แต่สำหรับคนที่ทำอะไรนอกเหนือกฎ แล้ว เราทำอะไรไม่ได้ ก็ต้อง แจ้งไปยังคนที่มีอำนาจสั่งการ แล้วก็ให้ออกเป็นกฎ
ถ้ารู้ว่าใครใช้งานแบบนี้ ก็มีความผิด
ประมาณนั้นครับ

ปัญหา คือเราไม่สามารถเช็คได้ครับ เพราะผมทำระบบ Authenticate ครับ พอ user login และใช้Ultrasurf เรารู้ว่าเขา login แต่ข้อมูลการเข้าใช้เว็บจะไม่ปรากฏใน Log เลยครับ เลยทำให้เราเดาได้ยากว่า..

เขา Login เล่นจริง หรือ login แล้วเกิดเปลี่ยนใจ ไม่เล่น ซึ่งดูๆแล้ววิเคราะห์ยากครับ ผมว่าจะลองเอา Ethereal มานั่งวิเคราะห์เอง เล่น Ultrasurf เอง จะดูว่าเป็นยังไง แต่ที่ดูๆแล้ว ยังไม่มีใคร Block Ultrasurf ได้ครับ

ส่วนใหญ่ก็ปิด พอร์ต 443 ไปเลย แต่ผมไม่ต้องการแบบนั้น

ไปเจอมา แต่ยังไม่เคยลองเลย

http://wiki.squid-cache.org/ConfigExamples/Reverse/SslWithWildcardCertifiate

ถ้าเป็น Squid เอาไม่อยู่ครับ ต้องใช้ Firewall iptables ครับ

เพราะว่า..โปรแกรมตัวนี้ มันไปได้ทุกพอร์ตครับ ถ้ามันเจอว่าพอร์ตไหนสามารถ connect ได้ มันจะแปลงพอร์ตหนีทันที ครับ

ลองโหลด ไปศึกษาดูครับ http://www.viruscom2.com/update-download/download-UltraSurf.html

software ฟรี ๆ คงยังอยู่ในขั้นพัฒนาครับ แต่หากไปลองเล่นพวก Enterprise คิดว่าสามารถ blcok ได้สบาย เพราะพวกนี้มีการ update รูปแบบของ package ต่าง ๆอยู่ตลอดเวลา (ลองดูพวก ips  ids snort และอีกหลาย ๆ ค่าย )

ยังไงก็คงพอรู้ขอบเขตของ opensource สักนิดว่าอาจจะใช้งานใน option ที่ใช้งานกันทั่ว ๆ ไป แต่หากต้องการให้ทำได้ทุกอย่าง ณ เวลานี้ คงยังไม่สามารถทำได้ คงต้องใช้พวก hardware ระดับราคา แสนต้น ๆ ในการ manage

ส่วนกรณีที่ลักไก่ได้คือ
ตั้ง policy firewall ใหม่ครับ ซึ่งเรารู้แล้วว่ากฏข้อบนสุดทำงานก่อน ดังนั้น

1 ตั้งให้  accept  port 443 ที่ไป ip  hotmail   yahoo หรือเว็บที่เราต้องการใช้งาน
2 block 443 ทุกตัว

ที่นี้ ip พวก hotmail yahoo และเว็บอื่น ๆ อาจจะมีเยอะ ก็ตอ้งนั่งไล่หากันเอง ถามว่าเยอะมั๊ยก็เยอะนะครับ แต่หากมีงบก็ต้อง hardware

ส่วนกังวลเรื่องพรบ
มันก็ต้องเก็บ log หมดอยู่แล้วนะครับไม่จำเป็นว่าต้อง squid เท่านั้น ลองนึกดูว่า มีใครสักคนทำ telnet จากเน็ตเวิร์คเรา ไปยัง server บริษัทอื่นจนล่ม เขาจับได้ว่ามาจากบริษัทเรา แล้วอย่งนี้เราจะรู้ได้ไงว่า ใครเป็นคนทำ.... ดังนั้นหากจะตอบโจทย์พรบ เรื่อง port 443 ก็น่าจะตอบโจทย์อื่น ๆ ที่อันตรายกว่า port 443 อีกนะครับ

ขอบคุณครับ

noktualek

จะขอลอง ดูใหม่ครับ

เฮ้อ..ผมชักจะท้อแล้วสิครับ แต่ก็ไม่อยากจะยอมแพ้อะไรง่าย

เฮ้อ..แต่ผมต้องทำให้ได้  :)

ออฟไลน์ NokTualek

  • *****
  • 2,554
  • 3
  • เพศ: ชาย
อ้างถึง
จะขอลอง ดูใหม่ครับ
เฮ้อ..ผมชักจะท้อแล้วสิครับ แต่ก็ไม่อยากจะยอมแพ้อะไรง่าย
เฮ้อ..แต่ผมต้องทำให้ได้  Smiley

ดีแล้วครับที่ยังสู้ หากรู้เทคนิควิธี ก็นำมาเผยแพร่กันบ้างนะครับ  แต่หากดูแล้วเครียดและเป็นปัญหาใหญ่มากนั้น คงต้องไปพึ่งที่เขามีขายแล้วหละครับ เพราะหลักการง่าย ๆ ว่า open sourc มีดีที่ให้ใช้ฟรี แต่บางแง่บางมุมข้อจำกัดต่าง ๆ ยังไล่ตาม product ที่แบบปิดอยู่หลายขุมเลย หากต้องการฟังก์ชันที่มีนอกเหลือที่เขาให้มาคงต้องออกเงินบ้างหละครับ.....

เสียดายเราเป็นแค่ผู้ใช้งาน และไม่ได้คิดอยากเป็นผู้สร้างบ้าง ก็เลยอาจจะต้องรอเขาพัฒนาให้ ซึ่ง ณ เวลานี้อาจะยังไม่มีเทคนิคดังกล่าว

เหตุผลอีกอย่างที่ยังทำไม่ได้คือ รูปแบบ signature ของโปรแกรมดังกล่าวจะเปลี่ยนแปลง ไปเรื่อย ๆ องค์กรไหนหาพัฒนาโปรแกรม block ก็คงมีงบประมาณพอควรที่มานั่งตรวจเช็ค softeware ของชาวบ้านว่า update อะไรไปบ้างแถมคงยากขึ้นหลายระดับเพราะตัวเองไม่ได้เขียน softeware นั้น ๆ เอง คงไม่ต่างกับโปรแกรม opensourec  ClaimAV ที่โด่งดังว่าใช้งานได้ฟรีบน server แต่เอาจริงๆ หาน้อยองค์กรที่จะเอามาใช้ เพราะเสี่ยงเกินไปจะใช้ของฟรีแต่ยังขาดประสิทธิภาพหลายอยาง


รูปด้านล่างเป็น Firewall ที่ใช้อยู่จะเห็นได้ว่าเป็น Hardware ที่ตรวจจับการทำงานของโปรโตคอลต่าง ๆ ซึ่ง Signalture ต้องสั่งซื้อเขาเป็นรายปี เพราะเขาคงต้องลงทุนในการวิจัยและพัฒนาโปรแกรม ดังนั้นคิดว่าหากเจ้าของกระทู้เจอปัญหาจนปวดเศียรเวียนเกล้าแล้ว น่าจะมองหา อุปกรณ์ ที่เป็น Hardware Firewall มาใช้แล้วละครับ



ขอบคุณครับ
Noktualek


ไม่มีเป้าหมาย บางทีเราก็ไม่เริ่มต้น ^_^
"ชีวิตดีขึ้นได้ ด้วย วิธีคิดและวิธีพูดที่ดี"

ออฟไลน์ pongton

  • *
  • 10
  • 0
ดีแล้วครับที่ยังสู้ หากรู้เทคนิควิธี ก็นำมาเผยแพร่กันบ้างนะครับ  แต่หากดูแล้วเครียดและเป็นปัญหาใหญ่มากนั้น คงต้องไปพึ่งที่เขามีขายแล้วหละครับ เพราะหลักการง่าย ๆ ว่า open sourc มีดีที่ให้ใช้ฟรี แต่บางแง่บางมุมข้อจำกัดต่าง ๆ ยังไล่ตาม product ที่แบบปิดอยู่หลายขุมเลย หากต้องการฟังก์ชันที่มีนอกเหลือที่เขาให้มาคงต้องออกเงินบ้างหละครับ.....

เสียดายเราเป็นแค่ผู้ใช้งาน และไม่ได้คิดอยากเป็นผู้สร้างบ้าง ก็เลยอาจจะต้องรอเขาพัฒนาให้ ซึ่ง ณ เวลานี้อาจะยังไม่มีเทคนิคดังกล่าว

เหตุผลอีกอย่างที่ยังทำไม่ได้คือ รูปแบบ signature ของโปรแกรมดังกล่าวจะเปลี่ยนแปลง ไปเรื่อย ๆ องค์กรไหนหาพัฒนาโปรแกรม block ก็คงมีงบประมาณพอควรที่มานั่งตรวจเช็ค softeware ของชาวบ้านว่า update อะไรไปบ้างแถมคงยากขึ้นหลายระดับเพราะตัวเองไม่ได้เขียน softeware นั้น ๆ เอง คงไม่ต่างกับโปรแกรม opensourec  ClaimAV ที่โด่งดังว่าใช้งานได้ฟรีบน server แต่เอาจริงๆ หาน้อยองค์กรที่จะเอามาใช้ เพราะเสี่ยงเกินไปจะใช้ของฟรีแต่ยังขาดประสิทธิภาพหลายอยาง


รูปด้านล่างเป็น Firewall ที่ใช้อยู่จะเห็นได้ว่าเป็น Hardware ที่ตรวจจับการทำงานของโปรโตคอลต่าง ๆ ซึ่ง Signalture ต้องสั่งซื้อเขาเป็นรายปี เพราะเขาคงต้องลงทุนในการวิจัยและพัฒนาโปรแกรม ดังนั้นคิดว่าหากเจ้าของกระทู้เจอปัญหาจนปวดเศียรเวียนเกล้าแล้ว น่าจะมองหา อุปกรณ์ ที่เป็น Hardware Firewall มาใช้แล้วละครับ



ขอบคุณครับ
Noktualek




็Hardware ตัวนี้ราคาเท่าไหร่หรือครับ

แพงมั้ยครับ แล้วประสิทธิภาพเป็นยังไงบ้างครับ

ออฟไลน์ NokTualek

  • *****
  • 2,554
  • 3
  • เพศ: ชาย
ราคาผมไม่แน่ใจมากนักนะครับ มันมีหลายรุ่น หลาย wan หลาย dmz

หากประมาณอยู่ราว ๆ

5-10 หมื่นบาทครับ

แต่ที่แน่ๆ ต้องเสียค่า license antivirus spammail  ids ปี หนึ่ง ๆ ก็ เป้นหมื่นเหมือนกัน หากไม่เสียก็มีฐานข้อมูลที่ไม่ update คล้าย ๆ กับโปรแกรม antivirus นะครับ
ไม่มีเป้าหมาย บางทีเราก็ไม่เริ่มต้น ^_^
"ชีวิตดีขึ้นได้ ด้วย วิธีคิดและวิธีพูดที่ดี"

ออฟไลน์ sf_alpha

  • *****
  • 3,936
  • 89
  • เพศ: ชาย
  • The SF-Alpha
    • My Profiles
งั้นผมขอถาม สั้น ๆ ดื้อ ๆ เลยนะครับ เป็นสถานศึกษาแล้วมีความจำเป็นอย่าไรในการ block ขนาดนั้น

คือผมงงกับจุดประสงค์การ block นิดหน่อย ถ้าเพราะถ้าจะ block เพราะทำ log ไม่ได้ อันนั้นมันก็ไม่ถูก และการไป log URL path ของ HTTPS ก็เกินความจำเป็น

มันไม่จำเป็นในการเก็บ log ตรงนั้นครับ ที่ควรทำคือควรเปิด port 443 แล้ว log ว่าบน Gateway มีการ NAT หรือมีการสร้าง Connection IP  ไหนไป IP ไหนบน Port 443 ก็เพียงพอ ... ซึ่งมันทำได้ง่ายกว่าครับ และไม่ต้องไปยุ่งกับการตั้ง proxy

ถ้ามันถูกนำไปใช้หนี block ผ่าน Ultrasurf เพื่อกระทำการอะไรบางอย่าง มันก็ต้องสืบไปถึงเครื่องที่ Ultrasurf ต่อไปใช้ทะลุ block ก่อน ถึงจะมาถึงระบบของคุณ ... เผลอ ๆ คงยากที่จะ track กลับมา

ต่อให้มาถึง คุณก็รู้อยู่ดีว่า IP นี้ต่อผ่าน NAT ไปที่ IP ไหน ผมว่าเพียงพอแล้วครับ


ออฟไลน์ daddydog

  • ****
  • 225
  • 7
  • เพศ: ชาย
  • My Dream is Master Karate
เพราะแบบนี้ไงพวก anonymous proxy, vpn ถึงขายได้ถ้าใครสนใจติดต่อได้นะครับ ราคาไม่แพงปลอดภัยแถมไม่ดักจับข้อมูลใดๆจากคุณทั้งสิ้นครับ

ออฟไลน์ NokTualek

  • *****
  • 2,554
  • 3
  • เพศ: ชาย
งั้นผมขอถาม สั้น ๆ ดื้อ ๆ เลยนะครับ เป็นสถานศึกษาแล้วมีความจำเป็นอย่าไรในการ block ขนาดนั้น
คือผมงงกับจุดประสงค์การ block นิดหน่อย ถ้าเพราะถ้าจะ block เพราะทำ log ไม่ได้ อันนั้นมันก็ไม่ถูก และการไป log URL path ของ HTTPS ก็เกินความจำเป็น
มันไม่จำเป็นในการเก็บ log ตรงนั้นครับ ที่ควรทำคือควรเปิด port 443 แล้ว log ว่าบน Gateway มีการ NAT หรือมีการสร้าง Connection IP  ไหนไป IP ไหนบน Port 443 ก็เพียงพอ ... ซึ่งมันทำได้ง่ายกว่าครับ และไม่ต้องไปยุ่งกับการตั้ง proxy
ถ้ามันถูกนำไปใช้หนี block ผ่าน Ultrasurf เพื่อกระทำการอะไรบางอย่าง มันก็ต้องสืบไปถึงเครื่องที่ Ultrasurf ต่อไปใช้ทะลุ block ก่อน ถึงจะมาถึงระบบของคุณ ... เผลอ ๆ คงยากที่จะ track กลับมาต่อให้มาถึง คุณก็รู้อยู่ดีว่า IP นี้ต่อผ่าน NAT ไปที่ IP ไหน ผมว่าเพียงพอแล้วครับ

เรื่องของ log เก็บตามที่ด้านบนบอกเลยครับ คือเก็บจาก firewall ว่า ip ไหนไปไหนบ้าง มันก็จะเก็บของ Ultrasuft ไปได้เองครับ

-ส่วน ultrasurf นั้นหากจะ block คงหา hardware มาใช้แล้วหละครับ ยิ่งเป็นสภานที่ศึกษามีคนใช้งานเยอะ แนะนำว่า hardware น่าจะเหมาะมาก เหมาะกับการทำงานเฉพาะด้าน และโอกาสล่มได้ยาก รวมถึงหากจะเปลี่ยนแปลงค่าต่าง ๆ สามารถ save ค่า config เพื่อ reconfig ใหม่ได้ง่าย สะดวกสบายกับองค์กรที่มีงบอยู่แล้ว

- หากไม่มีงบก็ตามที่บอกครับขยันหน่อยหาเว็บไหนที่ใช้ https ก็ ใช้ firewall allow ด้านบน แล้วปิดท้ายด้วย  denied ด้านล่างก็น่าจะใช้ได้แล้วเพียงแต่เว็บนั้นๆ ต้องระบุเป็น ip ไป และต้องทำที่ขา output
« แก้ไขครั้งสุดท้าย: 28 มิถุนายน 2010, 13:50:42 โดย NokTualek »
ไม่มีเป้าหมาย บางทีเราก็ไม่เริ่มต้น ^_^
"ชีวิตดีขึ้นได้ ด้วย วิธีคิดและวิธีพูดที่ดี"

ออฟไลน์ pongton

  • *
  • 10
  • 0
งั้นผมขอถาม สั้น ๆ ดื้อ ๆ เลยนะครับ เป็นสถานศึกษาแล้วมีความจำเป็นอย่าไรในการ block ขนาดนั้น

คือผมงงกับจุดประสงค์การ block นิดหน่อย ถ้าเพราะถ้าจะ block เพราะทำ log ไม่ได้ อันนั้นมันก็ไม่ถูก และการไป log URL path ของ HTTPS ก็เกินความจำเป็น

มันไม่จำเป็นในการเก็บ log ตรงนั้นครับ ที่ควรทำคือควรเปิด port 443 แล้ว log ว่าบน Gateway มีการ NAT หรือมีการสร้าง Connection IP  ไหนไป IP ไหนบน Port 443 ก็เพียงพอ ... ซึ่งมันทำได้ง่ายกว่าครับ และไม่ต้องไปยุ่งกับการตั้ง proxy

ถ้ามันถูกนำไปใช้หนี block ผ่าน Ultrasurf เพื่อกระทำการอะไรบางอย่าง มันก็ต้องสืบไปถึงเครื่องที่ Ultrasurf ต่อไปใช้ทะลุ block ก่อน ถึงจะมาถึงระบบของคุณ ... เผลอ ๆ คงยากที่จะ track กลับมา

ต่อให้มาถึง คุณก็รู้อยู่ดีว่า IP นี้ต่อผ่าน NAT ไปที่ IP ไหน ผมว่าเพียงพอแล้วครับ


ลองใช้ Ultrasurf ดูครับผม ตามลิงค์ข้างบนครับ

ถ้าไม่ปิดพอร์ต 443 นักเรียน นักศึกษา ใช้ Ultrasurf แหกเว็บที่เราBlockไว้..หมดครับ เว็บโป้ ที่เราเขียนป้องกันไว้ใน squid ก็ไม่มีความหมายครับ

ส่วนไอพี ผมลองนั่งจับดูแล้วครับ ผมจับไม่ไหวครับ เพราะมันเยอะเหลือเกิน ก็เลยคิดว่า ปิดหมดแล้วเปิดเป็นบางเว็บจะดีกว่าครับ

แต่ถ้าตรงนี้ ถ้าคุณสามารถหาวิธีอื่นที่สามารถ Block Ultrasurf ได้จริงๆ เราก็มาแบ่งปันกันดีกว่าครับ

ถ้าวิธีการของผมมันใช้ไม่ได้ผมก็จะใช้วิธีอื่นที่ดีกว่านี้ครับ แต่นี่..ผมไม่มีทางเลือกครับ

แต่ตอนนี้ทางเลือกหนึ่งที่สนใจ คือ การใช้ Hardware จาการแนะนำของคุณ NokTualek

ยังไงก็ขอขอบคุณทุกๆท่านที่แสดงความคิดเห็น ตลอดจนความช่วยเหลือต่างๆนะครับ

ผมจะลองไปทดลองอีกทีหนึ่งครับ

เดี๋ยวถ้าได้ผลอะไรยังไงจะมาเล่าสู่กันฟังอีกทีหนึ่งครับ

ขอบคุณครับ


ออฟไลน์ CDMAN

  • ***
  • 24
  • 0
  • เพศ: ชาย
    • บล็อกน้องซูกัส
อย่างผมปัญหาตอนนี้คือ

นักเรียนโหลดตัว ultrasurf แล้วใส่ zip ฝากไฟล์ในอีเมลืบ้าง เว็บฝากไฟลืบ้างมาถึงโรงเรียนโหลดแล้วติดตั้งเปิด hi5 เล่นกันไม่เป็นอันเรียน ตรงนี้อาจารย์คนสอนบางคนก็ดุบางคนก็เอานักเรียนไม่อยู่หนัหลังเป็นเล่น

แล้วถ้าปิด 443 ไป พวกบุคลากร พนักงาน ใช้ hotmail ไม่ได้อีก เซ็ง

มารอผู้ที่ทำได้ผลแล้วไม่ต้องปิด 443 ด้วยอะใครทำได้เอามาแชร์ๆกันหน่อยน้า
<b>กลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอระงับการใช้ลายเซ็นต์รูปภาพ
อนุญาตให้ใช้ได้เพียง ลายเซ็นต์ที่เป็นข้อความ
จึงประกาศมาเพื่อขอความร่วมมือ จากสมาชิกทุกๆ ท่าน
ในนาม กลุ่มผู้ดูแลระบบแห่งประเทศไทย</b>

จบข่าว

ออฟไลน์ sf_alpha

  • *****
  • 3,936
  • 89
  • เพศ: ชาย
  • The SF-Alpha
    • My Profiles
แล้วทำไมท่านไม่แยก account/network สำหรับบุคลากร และนักเรียนครับ

ตั้งไปเลย อยู่ในห้องเรียนก็เข้า 443 ไม่ได้ ยกเว้นจะเปิดเป็นกรณีไป

ออฟไลน์ CDMAN

  • ***
  • 24
  • 0
  • เพศ: ชาย
    • บล็อกน้องซูกัส
ถ้าแยก แล้วกรณี ครูมาใช้เครื่องในห้องคอมของนักเรียนนี่ซิเล่นไม่ได้อีก

เพราะครูไม่มีคอม โรงเรียนบ้านนอกอะครับ ใช้คอมร่วมกัน
<b>กลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอระงับการใช้ลายเซ็นต์รูปภาพ
อนุญาตให้ใช้ได้เพียง ลายเซ็นต์ที่เป็นข้อความ
จึงประกาศมาเพื่อขอความร่วมมือ จากสมาชิกทุกๆ ท่าน
ในนาม กลุ่มผู้ดูแลระบบแห่งประเทศไทย</b>

จบข่าว

ออฟไลน์ G*e*o*r*g*e*

  • *****
  • 1,128
  • 4
  • เพศ: ชาย
  • งบประจำปีผ่านแล้ว เป็นล้าน วางแผนใช้ทำวีเอ็ม
ถ้าแยก แล้วกรณี ครูมาใช้เครื่องในห้องคอมของนักเรียนนี่ซิเล่นไม่ได้อีก

เพราะครูไม่มีคอม โรงเรียนบ้านนอกอะครับ ใช้คอมร่วมกัน

ขอแจม ผมใช้Hardware firewall , other linux firewall เล่นแต่ใช้งานจริง เปรียบเทียบ
ผมปิด 443 แล้ว แอดพวก free mail ทั้งหลาย แต่ที่เห็นคุณมีปัญหา hotmail หรือเมลอื่น ก็ใช้กฏปิดทั้งหมดแล้ว อณุญาติตามที่จะใช้น่าจะได้
ผมก็ทำแบบนั้นครับ
<b>กลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอระงับการใช้ลายเซ็นต์รูปภาพ
อนุญาตให้ใช้ได้เพียง ลายเซ็นต์ที่เป็นข้อความ
จึงประกาศมาเพื่อขอความร่วมมือ จากสมาชิกทุกๆ ท่าน
ในนาม กลุ่มผู้ดูแลระบบแห่งประเทศไทย</b>

ออฟไลน์ teachcom

  • *
  • 13
  • 0
อ้างถึง
firewall ผมเป็นแบบนี้

#Block Ultrasurf
iptables -A FORWARD -p tcp --dport 9666 -j DROP
iptables -A FORWARD -p udp --dport 9666 -j DROP

$IPTABLES -A INPUT -s 67.15.183.30 -j DROP
$IPTABLES -A FORWARD -s 67.15.183.30 -j DROP
$IPTABLES -A OUTPUT -s 67.15.183.30 -j DROP

$IPTABLES -A INPUT -p tcp -m tcp --dport 9666 -j DROP
$IPTABLES -A FORWARD -p tcp -m tcp --dport 9666 -j DROP
$IPTABLES -A OUTPUT -p tcp -m tcp --dport 9666 -j DROP

iptables -A FORWARD -p tcp --dport 443 -j DROP_CUSTOM
iptables -A FORWARD -p udp --dport 443 -j DROP_CUSTOM


IPALLOW=`cat /etc/special.txt | awk '{print $1}'`
iptables -N DROP_CUSTOM
   for ipall in $IPALLOW
   do
   iptables -A DROP_CUSTOM -s $ipall -j ACCEPT
    iptables -A DROP_CUSTOM -d $ipall -j ACCEPT
   done
 iptables -A DROP_CUSTOM -j DROP


บล็อกใน squid ด้วย

67.15.183.30
ultrareach.net
74.52.22.91
ultrareach.com
63.87.170.9

ถ้าผมบล็อกพอร์ต 443 สามารถบล็อกได้ แต่จะเข้า yahoo hotmail และพวก https ไม่ได้
ผมจึงอยากรู้ว่า ถ้าบล็อก 443 แล้ว แล้วอนุญาตให้เข้าเฉพาะเว็บ yahoo hotmail และ https ต้องเขียนยังไงครับ
สร้างไฟล์ special.txt ที่ /etc/specia.txt
ข้าง ในใส่ ip ของ เวป ที่จะให้ใช้ port 443 ได้ลงไป บรรทัดละ1 ไอพี (เวปไหนมีหลายไอพีก็ใส่ไปทุกไอพี หรือ ใส่ไปทั้ง subnet แต่อาจเสี่ยงไปเจอ proxyฟรีอยู่)

เครดิต คุณ rewjang และ คุณ Korkai แห่ง linuxthai.org
กลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอระงับการใช้ลายเซ็นต์รูปภาพ
อนุญาตให้ใช้ได้เพียง ลายเซ็นต์ที่เป็นข้อความ
จึงประกาศมาเพื่อขอความร่วมมือ จากสมาชิกทุกๆ ท่าน
ในนาม กลุ่มผู้ดูแลระบบแห่งประเทศไทย

ออฟไลน์ NuiKubota

  • ***
  • 297
  • 1
  • ไอ้หนุ่ม..แต๊กๆ @ www.kubotakhl.com
    • www.kubotakhl.com
อยากจะช่วยเหลือเกิน แต่ผมเองก็ไม่เป็นเอาซะเลยสวิช สแครช อะไรเนี่ย
ที่ทำงานใช้ Fortigate 110C ครับ มี UTM ให้เรา block Ultrasurf ได้ด้วย
ราคาราว 8 หมื่น แต่ก็คุ้มครับ MA License 2 ปี ซื้อต่อก็ปีละหมื่นเก้า
เอาเวลาปวดหัวเรื่องนี้ไปทำอย่างอื่นที่เป็น value added กันดีกว่าครับ
จบปัญหา Ultrasurf ด้วย Hardware box (Fortigate)

ออฟไลน์ Ripper

  • *****
  • 31
  • 0
  • เพศ: ชาย
  • แมวขาวหรือแมวดำ...ถ้าจับหนูได้ก็เป็นแมวดี
ยากไปหรือป่าวครับ  ทุกวิธีดีหมดแต่เรายังไม่รู้ resource ของเค้าเลย :o แล้วจะมี solution ได้ไงอ่ะครับ ผมยินดีให้คำแนะนำครับแต่ผมขอข้อมูลก่อนครับ

1.ใช้ Firewall อะไร
2.ใช้ Router อะไร
3.ใช้ Antivirus อะไร

ทุกตัวขอ Release Version ด้วยนะครับ :D
กลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอระงับการใช้ลายเซ็นต์รูปภาพ
อนุญาตให้ใช้ได้เพียง ลายเซ็นต์ที่เป็นข้อความ
จึงประกาศมาเพื่อขอความร่วมมือ จากสมาชิกทุกๆ ท่าน
ในนาม กลุ่มผู้ดูแลระบบแห่งประเทศไทย