กลุ่มผู้ดูแลระบบแห่งประเทศไทย กลุ่มผู้ดูแลระบบแห่งประเทศไทย
3 กันยายน 2014, 01:49:00 *
ยินดีต้อนรับคุณ, บุคคลทั่วไป กรุณา เข้าสู่ระบบ หรือ ลงทะเบียน
ส่งอีเมล์ยืนยันการใช้งาน?

เข้าสู่ระบบด้วยชื่อผู้ใช้ รหัสผ่าน และระยะเวลาในเซสชั่น

Thaiadmin on Social NetworkThaiadmin on TwitterThaiadmin on Facebook Group

ข่าว:
  หน้าแรก   เวบบอร์ด   ค้นหา ช่วยเหลือ เจ้าหน้าที่ เข้าสู่ระบบ ลืมรหัสผ่าน? คำเแนะนำ สมัครสมาชิก Register via Facebook Register via Google+  
+ กลุ่มผู้ดูแลระบบแห่งประเทศไทย » Serve Zone » Unix & Linux Platform » Linux,Unix Firewall ,Gateway » หัวข้อ:
|-+ EFW2.5.1 ทดสอบ block web ติดปัญหา block https://.... ไม่ได้


หน้า: [1] 2  ทั้งหมด   ลงล่าง
  ตอบ  |  เพิ่มบุ้คมาร์ค  |  พิมพ์  
ผู้เขียน หัวข้อ: EFW2.5.1 ทดสอบ block web ติดปัญหา block https://.... ไม่ได้  (อ่าน 12886 ครั้ง)
0 สมาชิก และ 1 บุคคลทั่วไป กำลังดูหัวข้อนี้
raisara
Thaiadmin Global Staff
*****

 Thaiadmin Developer


จิตพิสัย: 43
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 1,681

สมาชิกลำดับที่ 549

Posting Frequency


The Flavor Of Life


เว็บไซต์






สมบูรณ์ 100%

« เมื่อ: 23 เมษายน 2012, 09:45:16 »
ตอบโดยอ้างถึงข้อความอ้างถึง

ทดลอง block เว็บโดยใช้ EFW 2.5.1 ครับ
จากรูป
ในส่วน out going firewall ผม DENY ทั้ง HTTP และ HTTPS ดังรูปครับ
ในส่วน http web proxy ได้เอา port 80 และ 443 ออกไปแล้ว
และ ส่วนสุดท้าย ในส่วน access policy ไม่มีอะไรเลยครับ

ผลในตอนนี้คือไม่สามารถเข้า http://hotmail.com ,http://facebook.com ได้ครับ
แต่ยังสามารถเข้า https://hotmail.com ,https://facebook.com  เหมือนเดิมครับ
ไม่ทราบว่าจะต้องแก้ยังไงครับ เพื่อไม่ให้สามารถเข้าเว็บ ที่ขึ้นต้นด้วย https ได้ครับ


ขอบคุณครับ


-=@]= raisara =[@=-


* firewall-vert.jpg (160.17 KB, 547x644 - ดู 731 ครั้ง.)
Share topic : บันทึกการเข้า

กลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอระงับการใช้ลายเซ็นต์รูปภาพ
อนุญาตให้ใช้ได้เพียง ลายเซ็นต์ที่เป็นข้อความ
จึงประกาศมาเพื่อขอความร่วมมือ จากสมาชิกทุกๆ ท่าน
ในนาม กลุ่มผู้ดูแลระบบแห่งประเทศไทย
SwanGhost
Junior Member
*


จิตพิสัย: 1
ออฟไลน์ ออฟไลน์

กระทู้: 14

สมาชิกลำดับที่ 98235

Posting Frequency










 ระดับถัดไป:
 80% ( 4 / 5 )

« ตอบ #1 เมื่อ: 23 เมษายน 2012, 12:30:05 »
ตอบโดยอ้างถึงข้อความอ้างถึง

ในส่วน http web proxy ให้เอา port 80 และ 443 ไว้แล้ว

HTTP proxy Policy
ลองใส่ 2 Policy นี้ไว้
#1 access denied ANY ANY not required Always ANY       
#2 filter for virus ANY ANY not required Always ANY



* untitled001.JPG (35.06 KB, 956x277 - ดู 403 ครั้ง.)
Share topic : บันทึกการเข้า
raisara
Thaiadmin Global Staff
*****

 Thaiadmin Developer


จิตพิสัย: 43
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 1681

สมาชิกลำดับที่ 549

Posting Frequency


The Flavor Of Life


เว็บไซต์






สมบูรณ์ 100%

« ตอบ #2 เมื่อ: 23 เมษายน 2012, 13:03:13 »
ตอบโดยอ้างถึงข้อความอ้างถึง

proxy กำหนดเป็นแบบ transparent
แล้วทำไมที่ browser ต้องไป set proxy อีกครับ
ถ้าไม่ set ที่ browser ก็บล็อกไม่ได้เหมือนเดิมครับ

-=@]= raisara =[@=-
Share topic : บันทึกการเข้า

กลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอระงับการใช้ลายเซ็นต์รูปภาพ
อนุญาตให้ใช้ได้เพียง ลายเซ็นต์ที่เป็นข้อความ
จึงประกาศมาเพื่อขอความร่วมมือ จากสมาชิกทุกๆ ท่าน
ในนาม กลุ่มผู้ดูแลระบบแห่งประเทศไทย
ผ่านมา
บุคคลทั่วไป
« ตอบ #3 เมื่อ: 23 เมษายน 2012, 14:23:12 »
ตอบโดยอ้างถึงข้อความอ้างถึง

proxy กำหนดเป็นแบบ transparent
แล้วทำไมที่ browser ต้องไป set proxy อีกครับ
ถ้าไม่ set ที่ browser ก็บล็อกไม่ได้เหมือนเดิมครับ

FIREWALL จะปิด PORT ทั้งหมด ดังนั้น ไม่ต้องไปตั้งปิด PORT 443 ที่หน้า OUTGOING FIREWALL
การที่ออกผ่านไปได้ น่าจะเป็นเพราะทึ่เครื่อง CLIENT ตั้งใช้ PROXY ข้างนอก ไม่ใช่ PROXY ของ ENDIAN
ถ้าจะให้แน่นอน เข้าไปเซ็ต PROXY POLICY ปิดให้หมดทุกเว็บ แล้วเปิดให้ผ่านได้เฉพาะเว็บที่เราต้องการเท่านั้น

Share topic : บันทึกการเข้า
raisara
Thaiadmin Global Staff
*****

 Thaiadmin Developer


จิตพิสัย: 43
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 1681

สมาชิกลำดับที่ 549

Posting Frequency


The Flavor Of Life


เว็บไซต์






สมบูรณ์ 100%

« ตอบ #4 เมื่อ: 23 เมษายน 2012, 16:12:48 »
ตอบโดยอ้างถึงข้อความอ้างถึง

FIREWALL จะปิด PORT ทั้งหมด ดังนั้น ไม่ต้องไปตั้งปิด PORT 443 ที่หน้า OUTGOING FIREWALL
การที่ออกผ่านไปได้ น่าจะเป็นเพราะทึ่เครื่อง CLIENT ตั้งใช้ PROXY ข้างนอก ไม่ใช่ PROXY ของ ENDIAN
ถ้าจะให้แน่นอน เข้าไปเซ็ต PROXY POLICY ปิดให้หมดทุกเว็บ แล้วเปิดให้ผ่านได้เฉพาะเว็บที่เราต้องการเท่านั้น

ตอนนี้อยู่ในช่วงทดลองครับ
เครื่อง client ที่ว่าคือเครื่องผมเองครับ
set ip แบบ static แล้วชี้ gateway ไปที่ endian ครับ


-=@]= raisara =[@=-
Share topic : บันทึกการเข้า

กลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอระงับการใช้ลายเซ็นต์รูปภาพ
อนุญาตให้ใช้ได้เพียง ลายเซ็นต์ที่เป็นข้อความ
จึงประกาศมาเพื่อขอความร่วมมือ จากสมาชิกทุกๆ ท่าน
ในนาม กลุ่มผู้ดูแลระบบแห่งประเทศไทย
avalance
Thaiadmin Staff
*****


จิตพิสัย: 22
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 1,420

สมาชิกลำดับที่ 37572

Posting Frequency


เค้าชอบเรียกแอ๊ดแว๊น


เว็บไซต์






สมบูรณ์ 100%

« ตอบ #5 เมื่อ: 23 เมษายน 2012, 21:37:23 »
ตอบโดยอ้างถึงข้อความอ้างถึง

ทดลอง block เว็บโดยใช้ EFW 2.5.1 ครับ
จากรูป
ในส่วน out going firewall ผม DENY ทั้ง HTTP และ HTTPS ดังรูปครับ
ในส่วน http web proxy ได้เอา port 80 และ 443 ออกไปแล้ว
และ ส่วนสุดท้าย ในส่วน access policy ไม่มีอะไรเลยครับ

ผลในตอนนี้คือไม่สามารถเข้า http://hotmail.com ,http://facebook.com ได้ครับ
แต่ยังสามารถเข้า https://hotmail.com ,https://facebook.com  เหมือนเดิมครับ
ไม่ทราบว่าจะต้องแก้ยังไงครับ เพื่อไม่ให้สามารถเข้าเว็บ ที่ขึ้นต้นด้วย https ได้ครับ


ขอบคุณครับ


ผมเคยไปดูที่ฟอรั่มของ Endian เอง

เค้าก็พูดเรื่องนี้ยาวเป็นหน้าๆ เหมือนกันครับ

จับใจความได้ว่า Proxy ไม่สามารถ Filter https ได้

http://www.efwsupport.com/index.php?topic=525.0

ซึ่งตรงนี้ไม่เกี่ยวกับ Firewall Rule นะครับ อันนั้นมันมองเป็น 443 ทั้งหมด

ในที่นี่ Proxy ที่จะถูก Filter จะหมายถึง http และ https

โดยพบว่า มันจะสามารถ Filter ได้เฉพาะ http เท่านั้น

ถึงแม้ว่า จะมีช่องให้กรอกข้อมูลว่า Allow Port สำหรับ Proxy แต่จุดตรงนั้นไม่ได้หมายถึงการแยกแยะแต่ละโดเมนเนม

ส่วนตัว ว่างๆ กะจะลองแงะ ACL ซักรอบดูครับ

Share topic : บันทึกการเข้า

 facebook.com/itsesadotcom 
บทความ IT Windows Server www.itsesa.com
บทความ Joomla www.pcnott.com
AD+EFW2.4+Syslog-ng+phpsyslogviewer
EFW2.4 Block MSN WLM BitTorrent
รับแก้เว็บไซต์ติดไวรัส ติดต่อหลังไมค์
MCSA+S | MCITP | CCNA | RHCSA
raisara
Thaiadmin Global Staff
*****

 Thaiadmin Developer


จิตพิสัย: 43
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 1681

สมาชิกลำดับที่ 549

Posting Frequency


The Flavor Of Life


เว็บไซต์






สมบูรณ์ 100%

« ตอบ #6 เมื่อ: 25 เมษายน 2012, 08:41:36 »
ตอบโดยอ้างถึงข้อความอ้างถึง

จริงๆแล้วเป้าหมายของผมคือจะบล็อก facebook ครับ โดยเทสกับเครื่องตัวเองก่อน
แต่บล็อกยังไงก็ไม่ได้สักที เพราะผมเข้าแบบ https ครับ
  ในเมื่อบล็อก https ไม่ได้ (ในใจคิดว่ามันต้องทำได้ แต่ยังไม่รู้)
แล้วถ้าจะบล็อก facebook ให้ได้ครอบคลุมต้องทำไงครับ

-=@]= raisara =[@=-
Share topic : บันทึกการเข้า

กลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอระงับการใช้ลายเซ็นต์รูปภาพ
อนุญาตให้ใช้ได้เพียง ลายเซ็นต์ที่เป็นข้อความ
จึงประกาศมาเพื่อขอความร่วมมือ จากสมาชิกทุกๆ ท่าน
ในนาม กลุ่มผู้ดูแลระบบแห่งประเทศไทย
^-FreeplaY-^
Stager Tier 5
*****


จิตพิสัย: 15
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 2,170

สมาชิกลำดับที่ 3201

Posting Frequency










สมบูรณ์ 100%

« ตอบ #7 เมื่อ: 25 เมษายน 2012, 09:21:31 »
ตอบโดยอ้างถึงข้อความอ้างถึง

ลองดูตามนี้ก่อนครับ เพราะผมก็ Block อยู่ครับ

http://www.thaiadmin.org/board/index.php?topic=149120.0

Share topic : บันทึกการเข้า

ยังไม่จน อยู่อย่างคนจน ใช้อย่างคนจน จะไม่มีวันจน

ยังไม่รวย อยู่อย่างคนรวย ใช้อย่างคนรวย จะไม่มีวันรวย

คนเก่งไม่เรื่องมาก คนฉลาดไม่มากเรื่อง
avalance
Thaiadmin Staff
*****


จิตพิสัย: 22
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 1420

สมาชิกลำดับที่ 37572

Posting Frequency


เค้าชอบเรียกแอ๊ดแว๊น


เว็บไซต์






สมบูรณ์ 100%

« ตอบ #8 เมื่อ: 25 เมษายน 2012, 10:26:56 »
ตอบโดยอ้างถึงข้อความอ้างถึง

ลองดูตามนี้ก่อนครับ เพราะผมก็ Block อยู่ครับ

http://www.thaiadmin.org/board/index.php?topic=149120.0

หมายถึง http://www.thaiadmin.org/board/index.php?topic=149120.msg612640#msg612640 อันนี้ใช่ไหมครับ

ถ้าใช่ วิธีนี้เป็นวิธีที่ผิด และ ไม่เหมาะสมครับ



ที่ผิดคือ การที่ไปใส่ IP/Network ดังกล่าว จะทำให้ IP อื่นๆ หรือเว็บอื่นๆ ที่อยู่ในคลาสเดียวกัน จะเข้าไม่ได้ไปด้วยทั้งหมด ซึ่ง 66.220.0.0/8 มีทั้งหมดประมาณ 16 ล้านกว่าโฮส

และที่ไม่เหมาะสมคือ การที่เราจะไปบล็อคเว็บที่มีระบบ Cloud Base (น่าจะใช้นะ) นั้นโดยการระบุเป็น IP จะทำให้แอดมินต้องเหนื่อยครับ เพราะเมื่อคุณ nslookup เพื่อที่จะให้ได้ IP มา มันจะไม่คงที่ครับ วันดีคืนดีคุณก็จะได้อีก IP นึงมา แล้วระบบ nslookup นั้นมันสามารถ Rotate ได้ครับ

โดยส่วนตัวผมก็ยังมองว่าปัญหา block https บน endian ยังเป็นปัญหาอยู่ดีครับ เพราะช่องใส่ข้อมูลต่างๆ ไม่เอื้ออำนวย

ครั้นจะใส่ IP จากที่ Solve มาได้ ถึงแม้เว็บนั้นจะมีแค่ IP เดียวก็ตาม แต่นั่นก็ไม่ได้หมายความว่า IP นั้นคือ https

ครั้นจะ Block https (443) เลย ก็ดันกำหนดเป็น per domain ไม่ได้อีก

ครั้นจะใส่ domain ก็ดันกำหนดเอาเฉพาะ https เฉพาะโดเมนนี้ ก็ไม่ได้อีก

 Undecided


Share topic : บันทึกการเข้า

 facebook.com/itsesadotcom 
บทความ IT Windows Server www.itsesa.com
บทความ Joomla www.pcnott.com
AD+EFW2.4+Syslog-ng+phpsyslogviewer
EFW2.4 Block MSN WLM BitTorrent
รับแก้เว็บไซต์ติดไวรัส ติดต่อหลังไมค์
MCSA+S | MCITP | CCNA | RHCSA
^-FreeplaY-^
Stager Tier 5
*****


จิตพิสัย: 15
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 2170

สมาชิกลำดับที่ 3201

Posting Frequency










สมบูรณ์ 100%

« ตอบ #9 เมื่อ: 25 เมษายน 2012, 14:36:42 »
ตอบโดยอ้างถึงข้อความอ้างถึง

คุณ avalance ครับ

ถ้ามีวิธีที่ดีกว่านี้ช่วยแนะนำหน่อยสิครับ ผมว่าวิธีที่ผมทำก็จัดการได้ดีนะครับ แต่ถ้ากลัวว่าจะไป Block Host อื่นๆ ก็ทำการปรับเปลี่ยนเองก็ได้นิครับ
เช่น 66.220.0.0/8 เป็น 66.220.0.0/16 หรือ 66.220.0.0/24 อะไรก็ได้ ซึ่งผมแค่แนะแนวทางว่า มันสามารถ Block ได้ ซึ่ง Admin ที่เก่งๆ กว่าผมก็คงรู้ว่าต้องทำอย่างไร
ซึ่งในกรณีตามลิ้งที่ผมโพสต์ คือต้องการ Block Facebook ซึ่งจะต้องยังใช้งาน HTTPS ได้ ดังนั้นให้ดูตาม Firewall ผมในส่วนที่ 3 ว่าผมหลังจากผม Block HTTPS ของ Facebook แล้ว
ผมจะ Allow HTTPS อีกครั้งหนึ่ง เพื่อให้เว็บอื่นๆ ยังสามารถใช้งาน HTTPS ได้ นั้นคือความต้องการครับ และมันใช้งานได้จริงครับ

ถึงแม้ว่าตัว Endian อาจจะตอบโจทย์ต่างๆ ไม่ได้ แต่ก็ไม่ได้หมายความว่ามันจะไม่มีทางที่ทำได้ ดังนั้นการที่ทำอย่างโน่นผิดอันนี้ผิด ก็คงไม่มีใครแก้คิดหรอกครับ เพราะจะกลัวว่าจะผิดพลาด
ผมคิดว่าถึงแม้ว่าผมจะทำผิด หรือไม่เหมาะสมในการคอนฟิกอย่างนี้ แต่มันก็ทำให้ผมสามารถก้าวไปข้างหน้าได้ต่อไป และต้องขอขอบคุณสำหรับคำติชมครับ ผมจะได้พัฒนาตัวเองต่อไป Smiley

Share topic : บันทึกการเข้า

ยังไม่จน อยู่อย่างคนจน ใช้อย่างคนจน จะไม่มีวันจน

ยังไม่รวย อยู่อย่างคนรวย ใช้อย่างคนรวย จะไม่มีวันรวย

คนเก่งไม่เรื่องมาก คนฉลาดไม่มากเรื่อง
avalance
Thaiadmin Staff
*****


จิตพิสัย: 22
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 1420

สมาชิกลำดับที่ 37572

Posting Frequency


เค้าชอบเรียกแอ๊ดแว๊น


เว็บไซต์






สมบูรณ์ 100%

« ตอบ #10 เมื่อ: 26 เมษายน 2012, 00:05:01 »
ตอบโดยอ้างถึงข้อความอ้างถึง

คุณ avalance ครับ

ถ้ามีวิธีที่ดีกว่านี้ช่วยแนะนำหน่อยสิครับ ผมว่าวิธีที่ผมทำก็จัดการได้ดีนะครับ แต่ถ้ากลัวว่าจะไป Block Host อื่นๆ ก็ทำการปรับเปลี่ยนเองก็ได้นิครับ
เช่น 66.220.0.0/8 เป็น 66.220.0.0/16 หรือ 66.220.0.0/24 อะไรก็ได้ ซึ่งผมแค่แนะแนวทางว่า มันสามารถ Block ได้ ซึ่ง Admin ที่เก่งๆ กว่าผมก็คงรู้ว่าต้องทำอย่างไร
ซึ่งในกรณีตามลิ้งที่ผมโพสต์ คือต้องการ Block Facebook ซึ่งจะต้องยังใช้งาน HTTPS ได้ ดังนั้นให้ดูตาม Firewall ผมในส่วนที่ 3 ว่าผมหลังจากผม Block HTTPS ของ Facebook แล้ว
ผมจะ Allow HTTPS อีกครั้งหนึ่ง เพื่อให้เว็บอื่นๆ ยังสามารถใช้งาน HTTPS ได้ นั้นคือความต้องการครับ และมันใช้งานได้จริงครับ

ถึงแม้ว่าตัว Endian อาจจะตอบโจทย์ต่างๆ ไม่ได้ แต่ก็ไม่ได้หมายความว่ามันจะไม่มีทางที่ทำได้ ดังนั้นการที่ทำอย่างโน่นผิดอันนี้ผิด ก็คงไม่มีใครแก้คิดหรอกครับ เพราะจะกลัวว่าจะผิดพลาด
ผมคิดว่าถึงแม้ว่าผมจะทำผิด หรือไม่เหมาะสมในการคอนฟิกอย่างนี้ แต่มันก็ทำให้ผมสามารถก้าวไปข้างหน้าได้ต่อไป และต้องขอขอบคุณสำหรับคำติชมครับ ผมจะได้พัฒนาตัวเองต่อไป Smiley

ยังไงผมก็แนะนำว่า วิธีนี้ ไม่ควรใช้ครับ

เพราะการที่จะพยายาม Block เป็น IP แล้วใช้ Subnet เข้ามาช่วย มันทำได้ก็จริง แต่อย่างที่ผมบอก มันไม่ถูกต้องครับ

จริงอยู่ที่คุณสามารถ Block facebook https ได้ แต่มันก็ใช้ https อื่นไม่ได้ทุกเว็บเช่นกัน ถ้าเว็บนั้นไปตกอยู่ใน Class เดียวกับที่คุณระบุไป

เว็บไซต์อื่นๆ ที่อยู่ในคลาสดังกล่าวก็จะพลอยเข้าไม่ได้ไปด้วย ถึงแม้คุณจะลด /8 เหลือ /24 ก็ตามครับ

ก่อนจะไปต่อ ต้องทำความเข้าใจกันก่อนครับ

Proxy กับ Firewall ไม่ได้ทำงานได้เหมือนกันทุก Port

บาง Port วิ่งที่ Proxy และ Firewall ได้

บาง Port ไม่สามารถใช้ Proxy ได้ เพราะ Proxy ไม่รู้จักทุก Port

Firewall Rule (มองว่าเป็น iptables) รู้จักทุก Port

ถ้าคุณใช้ Proxy มันก็จะวิ่งที่ Proxy, ทดสอบได้โดยที่คุณเอา Gateway ออก ก็ยังสามารถเข้าเว็บได้ เพราะมันวิ่งผ่าน Proxy ไม่ได้วิ่งผ่าน Gateway ของตัว Firewall

แต่ถ้าคุณใช้ Firewall มันจะมองเป็นบริการใดๆ บริการหนึ่งที่เปิดช่องทาง Port Number ไว้ให้เชื่อมต่อใช้งานครับ

ผมจะยกตัวอย่างจากภาพคุณนะครับ



พอคุณตั้งค่าตรงนี้ นั่นหมายถึง การสั่งกรองโดยผ่าน Web Proxy

แต่พอคุณตั้งค่าที่ Firewall แบบนี้



มันจะไม่ได้หมายถึงแค่ Facebook แล้ว แต่มันหมายถึงเว็บอื่นๆ หรือ บริการปลายทางอื่นๆ ที่มีการใช้ SSL 443 ด้วย

ทีนี้สมมติว่า จะต้องการ Block IP เดียวจะทำอย่างไร คำตอบคือ ก็ใส่ xx.xx.xx.xx/32

ปัญหาจะตามมาแบบนี้ครับ





ภาพ 2 ภาพนี้เป็นการบอกว่า ผมกด https://www.facebook.com ครั้งเดียวนะครับ

สมมติว่าคุณเห็นภาพนี้แล้ว คุณอาจจะเอา IP ไป Block ใน Proxy หรือ Firewall ก็แล้วแต่ โดยใส่ Subnet /32 แล้วนึกว่าจะใช้งานได้

หากคุณโชคดี ตอนขณะ Block IP ชุดนี้แล้ว และมันสามารถทำงานได้ นั่นแสดงว่า มันก็บังเอิญไป Solve ตรงกับ IP นั้นพอดี จึงถูก Rule Block

แต่ถ้าคุณลองเข้าดูอีกที คุณจะพบว่า มันมี IP อื่นๆ โผล่มาเรื่อยๆ ตลอดเลย ซึ่งเฉพาะหน้า Wall หน้าเดียว ผม Track มาได้ 20 กว่า IP แล้วครับ

นี่ยังไม่รวมหน้า Login อีกนะครับที่มี IP คนละ Class กันเลย แล้วแบบนี้จะ Block IP ของ Facebook อะไรดี และ Class ไหนดี ? ไม่ให้กระทบกับเว็บอื่น

ในองค์กรที่ไม่ซีเรียสมาก อาจจะทำอย่างที่คุณบอกก็ได้ แต่ถ้าเป็นองค์กรที่ซีเรียสขึ้นมา การ Block ผิดที่ผิดทาง จะโดนตามเช็คบิลกันหลอนเลย

แล้วคำถามก็จะตามมาแบบผมนี่แหล่ะครับ ทำไมต้องคลาสนี้ ทำไมต้องเป็น IP, แล้วถ้าเค้าเปลี่ยน IP ล่ะ, ถ้ามีหลาย IP ล่ะ, ถ้าเป็น Cloud Base ล่ะ !!!

แล้วจะให้ผมทำยังไง !? (กำลังคิดอยู่ใช่ไหม)

อย่างที่ผมบอกแหล่ะครับ UI ของ Endian มันไม่อำนวย รวมถึงบางส่วนที่ผมมองการไม่อำนวยนี้ว่าเป็นบั๊กด้วยก็ได้ตามกระทู้ที่ผ่านๆมา

ผมจะพาไปดูอะไรเล่นก่อน





2 ภาพด้านบนเป็นผลลัพธ์จาก Squid ที่ให้ Client วิ่งผ่าน Proxy ครับ ผมสามารถ Block https ของ facebook ได้ หรือ โดเมนใดๆ ก็ได้ที่มี https

นี่คือ ACL ของ Squid


ภายใน badsite3.txt มี www.facebook.com และ facebook.com

คุณจะเห็นว่า บรรทัด acl SSL_ports นั้นจะเป็นค่า default ของระบบที่มีให้มาอยู่แล้ว ผมก็จับเอา ACL ไปผนวกกัน


แค่นี้เองครับ

แล้วทำไม Endian ทำไม่ได้ เพราะว่า UI ของ Endian ไม่อำนวยให้มีการใส่ค่าแล้วถูกเขียนลงมาในรูปแบบนี้ มันจึงไม่สามารถทำได้

ถ้าอยากทำ ก็ต้องไป Modify UI เอาเอง

หรือ

สำหรับผม เขียนลง Squid ตรงๆ เลย ซึ่งวิธีนี้ก็จะใช้หลักการเดียวกับการเขียน ACL บน Squid ทั่วไป แต่ข้อเสียคือ เมื่อมีการ Apply Rule ใดๆ สิ่งที่เรา Custom ไปจะหาย (เอาไว้ผมจะแงะ rc อื่นๆ ดูภายหลังครับว่ามันสามารถฝังอะไรไว้ได้โดยไม่หายบ้างหรือไม่)

เอาล่ะ ผมก็จัด (เนื่องจาก Web Console ของ Endian มีพื้นที่ไม่พอ ผมจึงเปิด Squid ผ่าน WinSCP แทน

ที่ผมวงสีแดงไว้ คือส่วนที่ผมเพิ่มไปเอง

ส่วน acl allowed_sslports นั้น คือส่วนที่ไปปรากฏในหน้านี้


จะเห็นว่ามี 443 อยู่ด้วย ซึ่งด้วยความขี้เกียจเขียน acl เพิ่มมาใหม่ ก็จึงขอใช้ตัวแปร acl ที่มีอยู่เดิมดังกล่าวเลย ซึ่งผลก็จะได้เหมือนกับที่ผมเขียนบน RH

ซึ่งแปลความได้ว่า http_access deny FBSSL allowed_sslports
ห้ามโดเมน www.facebook.com และ facebook.com บน Port 443,563,3011 (ถ้าอยากกำหนดเฉพาะ 443 ก็เขียน acl ขึ้นมาอีกบรรทัดใหม่ก็ได้)

และด้วยการใช้ Squid Block https ของ facebook, log ดังกล่าวก็จะไปปรากฏที่ Web Proxy นั่นแสดงว่า มันวิ่งผ่าน Proxy จริง และ Squid เป็นตัวกรองไม่ให้เข้า https://www.facebook.com ได้ตามต้องการ


จะเห็นว่าผมไม่ใส่ Gateway เลย เพราะต้องการให้วิ่งผ่าน Proxy แท้ๆ และให้ Squid เป็นตัว Block ไม่ใช่ iptables เป็นตัว Block

และหน้า Access Denied ที่เกิดขึ้นก็จะเป็นหน้าขาวๆ ไม่ใช่หน้าของ Endian เพราะผมเดาว่ามันอยู่นอกเหนือกฏที่ผมเขียนเพิ่มเติมเข้าไป มันเลยไม่รู้จะเอาอะไรมาแสดงมั้ง

เพียงเท่านี้ก็สามารถ Block โดเมนอะไรก็ได้ที่เป็น https ผ่าน Squid ได้แล้ว

Share topic : บันทึกการเข้า

 facebook.com/itsesadotcom 
บทความ IT Windows Server www.itsesa.com
บทความ Joomla www.pcnott.com
AD+EFW2.4+Syslog-ng+phpsyslogviewer
EFW2.4 Block MSN WLM BitTorrent
รับแก้เว็บไซต์ติดไวรัส ติดต่อหลังไมค์
MCSA+S | MCITP | CCNA | RHCSA
ผ่านมา
บุคคลทั่วไป
« ตอบ #11 เมื่อ: 26 เมษายน 2012, 12:18:57 »
ตอบโดยอ้างถึงข้อความอ้างถึง

ไปอ่านใน efw support มาแล้วครับ
สรุปว่า ถ้าใช้งาน transparent จะไม่สามารถบล็อก SSL  ได้ครับ เนื่องจาก transparent proxy จะไปทำตัวเป็น ตัวดักกลาง (man in the middle) port 80 เพื่อรับส่งข้อมูล แต่ https มีการเข้ารหัส
ดังนั้นหากต้องการปิดกั้น https ต้องไม่ใช้ transparent ครับ



Confirmed by: tophy33113

Share topic : บันทึกการเข้า
tophy33113
Intelligent Layer 5
*****


จิตพิสัย: 0
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 465

สมาชิกลำดับที่ 32505

Posting Frequency



เว็บไซต์






 ระดับถัดไป:
 29.17% ( 35 / 120 )

« ตอบ #12 เมื่อ: 10 พฤษภาคม 2012, 10:06:50 »
ตอบโดยอ้างถึงข้อความอ้างถึง

 Sadเอ่อ.... แรกๆของผม มันมีพอร์ต 443 อยู่นะัครับ  ผมยังจำได้ว่า ติ๊กเครื่องหมายถูกออกพร้อม 80
แต่ตอนนี้ หาแล้วไม่เจอเลย  งงไปกันใหญ่เลยครับ ผมไปทำอะไรตอนไหน
สงสัย มีมือดี(เด็กข้างๆ) มาทำอะไรมิดีมิร้ายกับเครื่องผมแน่ๆ เพราะเรานอนหลับ มันคงมาจัดการเอง

แล้วเราจะเอากลับคืนมา หรือจัดการอย่างไรให้มันกลับคืนมาดังเดิมครับ  ตอนนี้งงมันเหมือนกัน



Share topic : บันทึกการเข้า

ไม่ได้เกิดมาเพื่อเอาชนะใคร
แต่เกิดมาเอาชนะกิเลสตัณหาทั้งปวง
ชีวิตมีแค่ เกิดมา ตั้งอยู่ และดับไปในที่สุด

***************

แล้วยังจะต้องการอะไรมากไปกว่านี้ล่ะ
ผ่านมา
บุคคลทั่วไป
« ตอบ #13 เมื่อ: 22 พฤษภาคม 2012, 16:42:25 »
ตอบโดยอ้างถึงข้อความอ้างถึง

ลองบล็อกแบบอ้อมๆ ดู
โดยเอาไปใส่ไว้ใน proxy - dns - anti-spyware เพิ่ม facebook.com ใน blacklist แล้ว reboot
ผมลองแล้ว ปรากฎว่าเข้าไม่ได้ ทั้ง http และ https ครับ

*** อย่าลืมลบ catch ก่อนทดสอบ ***

Share topic : บันทึกการเข้า
kkbom2000
Wizard Expert
**


จิตพิสัย: 0
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 104

สมาชิกลำดับที่ 55345

Posting Frequency










 ระดับถัดไป:
 40% ( 4 / 10 )

« ตอบ #14 เมื่อ: 25 พฤษภาคม 2012, 11:42:57 »
ตอบโดยอ้างถึงข้อความอ้างถึง

ลองบล็อกแบบอ้อมๆ ดู
โดยเอาไปใส่ไว้ใน proxy - dns - anti-spyware เพิ่ม facebook.com ใน blacklist แล้ว reboot
ผมลองแล้ว ปรากฎว่าเข้าไม่ได้ ทั้ง http และ https ครับ

*** อย่าลืมลบ catch ก่อนทดสอบ ***

ผมไปทำตามท่านนี้ พอลบ facebook.com จาก blacklist ปรากฏว่า
facebook เข้าไม่ได้ครับ ในหน้า browser ขึ้นเลข 1



Share topic : บันทึกการเข้า

มือใหม่ Endian Firewall2.2 RC2
tophy33113
Intelligent Layer 5
*****


จิตพิสัย: 0
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 465

สมาชิกลำดับที่ 32505

Posting Frequency



เว็บไซต์






 ระดับถัดไป:
 29.17% ( 35 / 120 )

« ตอบ #15 เมื่อ: 30 พฤษภาคม 2012, 15:43:53 »
ตอบโดยอ้างถึงข้อความอ้างถึง

ไปอ่านใน efw support มาแล้วครับ
สรุปว่า ถ้าใช้งาน transparent จะไม่สามารถบล็อก SSL  ได้ครับ เนื่องจาก transparent proxy จะไปทำตัวเป็น ตัวดักกลาง (man in the middle) port 80 เพื่อรับส่งข้อมูล แต่ https มีการเข้ารหัส
ดังนั้นหากต้องการปิดกั้น https ต้องไม่ใช้ transparent ครับ

ผมก็ใช้ not tranparent ก็ไม่เห็นว่าจะบล๊อคได้เลยครับ  งงมาก ถ้าหากบล๊อคได้ คงจะดีมาก ๆ  เพราะกำลังกลุ้มใจอยู่ เบื่อ มันเล่นกันแบบไม่ยอมเรียนกัน

ขนาดนี้ ยังเอาไม่อยู่  ไม่รู้ ผมทำผิดขั้นตอนไหน  เฮ้อ  เหนื่อยๆๆๆๆๆๆๆๆๆๆๆๆๆๆ


Share topic : บันทึกการเข้า

ไม่ได้เกิดมาเพื่อเอาชนะใคร
แต่เกิดมาเอาชนะกิเลสตัณหาทั้งปวง
ชีวิตมีแค่ เกิดมา ตั้งอยู่ และดับไปในที่สุด

***************

แล้วยังจะต้องการอะไรมากไปกว่านี้ล่ะ
ผ่านมา
บุคคลทั่วไป
« ตอบ #16 เมื่อ: 31 พฤษภาคม 2012, 11:51:21 »
ตอบโดยอ้างถึงข้อความอ้างถึง

ผมก็ใช้ not tranparent ก็ไม่เห็นว่าจะบล๊อคได้เลยครับ  งงมาก ถ้าหากบล๊อคได้ คงจะดีมาก ๆ  เพราะกำลังกลุ้มใจอยู่ เบื่อ มันเล่นกันแบบไม่ยอมเรียนกัน

ขนาดนี้ ยังเอาไม่อยู่  ไม่รู้ ผมทำผิดขั้นตอนไหน  เฮ้อ  เหนื่อยๆๆๆๆๆๆๆๆๆๆๆๆๆๆ


ผิดตรงข้อแรก ที่ปล่อยหมด
*** เวลาแก้ไขตรง policy ต้องระวังเยอะๆ ดูเหมือนจะเป็นบักของโปรแกรม เพราะเวลาแก้ไขไปบางทีมันเพี้ยนทำตามกฏที่ตั้งบ้างข้ามบ้าง
วิธีแก้ไข คือต้องเข้าไป edit แล้ว update ทีละข้อ (หรือไม่ก็เล็งว่าข้อไหนมันข้ามไม่ทำตามก็เข้าไป edit แล้ว update ข้อนั้น) ก็จะหายครับ

Share topic : บันทึกการเข้า
tophy33113
Intelligent Layer 5
*****


จิตพิสัย: 0
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 465

สมาชิกลำดับที่ 32505

Posting Frequency



เว็บไซต์






 ระดับถัดไป:
 29.17% ( 35 / 120 )

« ตอบ #17 เมื่อ: 1 มิถุนายน 2012, 07:59:17 »
ตอบโดยอ้างถึงข้อความอ้างถึง

ผิดตรงข้อแรก ที่ปล่อยหมด
*** เวลาแก้ไขตรง policy ต้องระวังเยอะๆ ดูเหมือนจะเป็นบักของโปรแกรม เพราะเวลาแก้ไขไปบางทีมันเพี้ยนทำตามกฏที่ตั้งบ้างข้ามบ้าง
วิธีแก้ไข คือต้องเข้าไป edit แล้ว update ทีละข้อ (หรือไม่ก็เล็งว่าข้อไหนมันข้ามไม่ทำตามก็เข้าไป edit แล้ว update ข้อนั้น) ก็จะหายครับ

ต้องแก้อย่างไรบ้างครับ

เคยอ่านกระทู้หนึ่ง เห็นบอกว่า ต้องปิดหมด แล้วปล่อยให้เข้าได้บางส่วน   คำว่าปิดทั้งหมด  คือปิดรูไปเลย (สำหรับผมเข้าใจอย่างนี้ครับ)
ซึ่งผมทำตามแล้ว ปรากฎว่า เข้าไม่ได้สักเว็บเลย เพราะคำว่า ปิดทั้งหมด คือไม่ให้ผ่านสักตัว และยังเอาไว้บนสุด ซึ่งมันสำคัญที่สุด เลยเข้าไม่ได้
พอเรามาตั้งเป็นกฎข้อล่างลงมา แม้จะกำหนดให้มันผ่านไปแต่ละเว็บ แต่ก็ไม่มีการไหลลงมาจากกฏข้างบน เพราะมันสำคัญกว่า จึงไม่ยอมทำตามกฎข้อล่างๆ

แล้วตอนนี้ ทาง efw เขาแก้ให้บล๊อค htts:  ได้หรือยังน้อ  รอคอยความหวังอยู่ครับ

จริงๆอยากจะเรียนรู้ คำสั่งในการเขียน ACL แต่ก็ไม่รู้จะเริ่มต้นอย่างไร  แค่ตั้งกฎ ยังไม่ได้เรื่องเลย  Sad 
แต่ต้องขอขอบคุณเว็บthaiadmin ของเรา ที่เป็นศูนย์รวมของผู้รู้ทั้งหลาย ให้มารวมตัวกัน ทำให้ผู้ยังไม่รู้ รู้ได้ ทำให้ผู้ยังไม่เข้าใจ เข้าใจได้
ทำให้ผู้ยังด้อย พัฒนาตัวเองได้  ขอขอบคุณ

Share topic : บันทึกการเข้า

ไม่ได้เกิดมาเพื่อเอาชนะใคร
แต่เกิดมาเอาชนะกิเลสตัณหาทั้งปวง
ชีวิตมีแค่ เกิดมา ตั้งอยู่ และดับไปในที่สุด

***************

แล้วยังจะต้องการอะไรมากไปกว่านี้ล่ะ
^-FreeplaY-^
Stager Tier 5
*****


จิตพิสัย: 15
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 2170

สมาชิกลำดับที่ 3201

Posting Frequency










สมบูรณ์ 100%

« ตอบ #18 เมื่อ: 5 มิถุนายน 2012, 09:32:02 »
ตอบโดยอ้างถึงข้อความอ้างถึง

ต้องแก้อย่างไรบ้างครับ

เคยอ่านกระทู้หนึ่ง เห็นบอกว่า ต้องปิดหมด แล้วปล่อยให้เข้าได้บางส่วน   คำว่าปิดทั้งหมด  คือปิดรูไปเลย (สำหรับผมเข้าใจอย่างนี้ครับ)
ซึ่งผมทำตามแล้ว ปรากฎว่า เข้าไม่ได้สักเว็บเลย เพราะคำว่า ปิดทั้งหมด คือไม่ให้ผ่านสักตัว และยังเอาไว้บนสุด ซึ่งมันสำคัญที่สุด เลยเข้าไม่ได้
พอเรามาตั้งเป็นกฎข้อล่างลงมา แม้จะกำหนดให้มันผ่านไปแต่ละเว็บ แต่ก็ไม่มีการไหลลงมาจากกฏข้างบน เพราะมันสำคัญกว่า จึงไม่ยอมทำตามกฎข้อล่างๆ

แล้วตอนนี้ ทาง efw เขาแก้ให้บล๊อค htts:  ได้หรือยังน้อ  รอคอยความหวังอยู่ครับ

จริงๆอยากจะเรียนรู้ คำสั่งในการเขียน ACL แต่ก็ไม่รู้จะเริ่มต้นอย่างไร  แค่ตั้งกฎ ยังไม่ได้เรื่องเลย  Sad 
แต่ต้องขอขอบคุณเว็บthaiadmin ของเรา ที่เป็นศูนย์รวมของผู้รู้ทั้งหลาย ให้มารวมตัวกัน ทำให้ผู้ยังไม่รู้ รู้ได้ ทำให้ผู้ยังไม่เข้าใจ เข้าใจได้
ทำให้ผู้ยังด้อย พัฒนาตัวเองได้  ขอขอบคุณ

1. จากรูปที่คุณแนบมา ให้ลบ Rule ที่ 1 ออก
2. จาก Rule ข้อที่ 2,3 ตัว Source ที่คุณตั้งไว้เป็น MAC Address ให้ลองเปลี่ยนเป็น Any ดู

ลองดูครับ

Share topic : บันทึกการเข้า

ยังไม่จน อยู่อย่างคนจน ใช้อย่างคนจน จะไม่มีวันจน

ยังไม่รวย อยู่อย่างคนรวย ใช้อย่างคนรวย จะไม่มีวันรวย

คนเก่งไม่เรื่องมาก คนฉลาดไม่มากเรื่อง
ผ่านมา
บุคคลทั่วไป
« ตอบ #19 เมื่อ: 5 มิถุนายน 2012, 09:56:04 »
ตอบโดยอ้างถึงข้อความอ้างถึง

ต้องแก้อย่างไรบ้างครับ

เคยอ่านกระทู้หนึ่ง เห็นบอกว่า ต้องปิดหมด แล้วปล่อยให้เข้าได้บางส่วน   คำว่าปิดทั้งหมด  คือปิดรูไปเลย (สำหรับผมเข้าใจอย่างนี้ครับ)
ซึ่งผมทำตามแล้ว ปรากฎว่า เข้าไม่ได้สักเว็บเลย เพราะคำว่า ปิดทั้งหมด คือไม่ให้ผ่านสักตัว และยังเอาไว้บนสุด ซึ่งมันสำคัญที่สุด เลยเข้าไม่ได้
พอเรามาตั้งเป็นกฎข้อล่างลงมา แม้จะกำหนดให้มันผ่านไปแต่ละเว็บ แต่ก็ไม่มีการไหลลงมาจากกฏข้างบน เพราะมันสำคัญกว่า จึงไม่ยอมทำตามกฎข้อล่างๆ

แล้วตอนนี้ ทาง efw เขาแก้ให้บล๊อค htts:  ได้หรือยังน้อ  รอคอยความหวังอยู่ครับ

จริงๆอยากจะเรียนรู้ คำสั่งในการเขียน ACL แต่ก็ไม่รู้จะเริ่มต้นอย่างไร  แค่ตั้งกฎ ยังไม่ได้เรื่องเลย  Sad 
แต่ต้องขอขอบคุณเว็บthaiadmin ของเรา ที่เป็นศูนย์รวมของผู้รู้ทั้งหลาย ให้มารวมตัวกัน ทำให้ผู้ยังไม่รู้ รู้ได้ ทำให้ผู้ยังไม่เข้าใจ เข้าใจได้
ทำให้ผู้ยังด้อย พัฒนาตัวเองได้  ขอขอบคุณ

proxy ค่าปกติ เปิดให้ใช้งานได้หมด ดังนั้นเราต้องมาตั้งกฎเพื่อ ปิด
แต่
firewall ค่าปกติ ปิดไม่ให้ใช้งาน ดังนั้นเราต้องมาตั้งกฎเพื่อ เปิด

สำหรับ proxy
ที่ว่าปิดให้หมด แล้วเปิดเฉพาะที่ใช้ มันง่ายกว่าที่จะไป คอยไล่ปิดทีละเว็บครับ เว็บมีเป็นล้านๆ มานั่งไล่ปิดตายกันพอดี
และตามความคิดของผมแล้ว
อย่าไปคิดเปรียบเทียบ การตั้งกฎเหมือนน้ำไหลผ่านรู เพราะมันไม่เหมือน
เวลาตั้งกฎใหม่ๆ เพิ่มเข้าไป ควรสมมุติให้ตัวเองเป็น user แล้วไล่ดูทีละกฎจากบนลงมา ว่าข้อไหนที่เป็นปัญหา แล้วค่อยแทรกเพิ่มกฎเข้าไป และจะง่ายกว่ามากหากจำเพาะเจาะจงลงไปที่กลุ่มนั้นๆ โดยตรง ไม่เปิด any โดยไม่จำเป็น

และอย่าลืม policy ของ EFW ยังมีบัก ต้องคอย edit กับ update ทุกครั้งที่มีการแก้ไขค่าต่างๆ


Share topic : บันทึกการเข้า
tophy33113
Intelligent Layer 5
*****


จิตพิสัย: 0
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 465

สมาชิกลำดับที่ 32505

Posting Frequency



เว็บไซต์






 ระดับถัดไป:
 29.17% ( 35 / 120 )

« ตอบ #20 เมื่อ: 5 มิถุนายน 2012, 14:11:14 »
ตอบโดยอ้างถึงข้อความอ้างถึง

proxy ค่าปกติ เปิดให้ใช้งานได้หมด ดังนั้นเราต้องมาตั้งกฎเพื่อ ปิด
แต่
firewall ค่าปกติ ปิดไม่ให้ใช้งาน ดังนั้นเราต้องมาตั้งกฎเพื่อ เปิด

สำหรับ proxy
ที่ว่าปิดให้หมด แล้วเปิดเฉพาะที่ใช้ มันง่ายกว่าที่จะไป คอยไล่ปิดทีละเว็บครับ เว็บมีเป็นล้านๆ มานั่งไล่ปิดตายกันพอดี
และตามความคิดของผมแล้ว
อย่าไปคิดเปรียบเทียบ การตั้งกฎเหมือนน้ำไหลผ่านรู เพราะมันไม่เหมือน
เวลาตั้งกฎใหม่ๆ เพิ่มเข้าไป ควรสมมุติให้ตัวเองเป็น user แล้วไล่ดูทีละกฎจากบนลงมา ว่าข้อไหนที่เป็นปัญหา แล้วค่อยแทรกเพิ่มกฎเข้าไป และจะง่ายกว่ามากหากจำเพาะเจาะจงลงไปที่กลุ่มนั้นๆ โดยตรง ไม่เปิด any โดยไม่จำเป็น

และอย่าลืม policy ของ EFW ยังมีบัก ต้องคอย edit กับ update ทุกครั้งที่มีการแก้ไขค่าต่างๆ


จะลองไปทำดูครับ

Share topic : บันทึกการเข้า

ไม่ได้เกิดมาเพื่อเอาชนะใคร
แต่เกิดมาเอาชนะกิเลสตัณหาทั้งปวง
ชีวิตมีแค่ เกิดมา ตั้งอยู่ และดับไปในที่สุด

***************

แล้วยังจะต้องการอะไรมากไปกว่านี้ล่ะ
iteasy2u
Clever Rank 1
*


จิตพิสัย: 0
ออฟไลน์ ออฟไลน์

กระทู้: 553

สมาชิกลำดับที่ 76004

Posting Frequency



เว็บไซต์






 ระดับถัดไป:
 6% ( 3 / 50 )

« ตอบ #21 เมื่อ: 7 มิถุนายน 2012, 17:27:28 »
ตอบโดยอ้างถึงข้อความอ้างถึง

ลองบล็อกแบบอ้อมๆ ดู
โดยเอาไปใส่ไว้ใน proxy - dns - anti-spyware เพิ่ม facebook.com ใน blacklist แล้ว reboot
ผมลองแล้ว ปรากฎว่าเข้าไม่ได้ ทั้ง http และ https ครับ

*** อย่าลืมลบ catch ก่อนทดสอบ ***

ทำแบบนี้มันสามารถกำหนดเป็นช่วงเวลาได้หรือเปล่าครับ
เจ้านาย อยากให้พนักงานสามารถเล่นได้เป็นบางเวลา

Share topic : บันทึกการเข้า

tophy33113
Intelligent Layer 5
*****


จิตพิสัย: 0
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 465

สมาชิกลำดับที่ 32505

Posting Frequency



เว็บไซต์






 ระดับถัดไป:
 29.17% ( 35 / 120 )

« ตอบ #22 เมื่อ: 8 มิถุนายน 2012, 10:38:34 »
ตอบโดยอ้างถึงข้อความอ้างถึง

ทำแบบนี้มันสามารถกำหนดเป็นช่วงเวลาได้หรือเปล่าครับ
เจ้านาย อยากให้พนักงานสามารถเล่นได้เป็นบางเวลา

ผมก็อยากจะทำแบบนั้นล่ะครับ ไม่อยากปิดกั้นอะไรมากมาย แค่อยากให้ใช้เป็นบางช่วงเวลา  แต่หากแจ้งว่าเป็นสแปม  มันจะเข้าไม่ได้เลย ตลอดเวลา   

ทำไงน้อ    ถึงจะบล๊อคได้  ท่านใดมีความรู้ด้าน การเขียน script  ช่วยแก้ไข หรือแนะนำหน่อยครับ

Share topic : บันทึกการเข้า

ไม่ได้เกิดมาเพื่อเอาชนะใคร
แต่เกิดมาเอาชนะกิเลสตัณหาทั้งปวง
ชีวิตมีแค่ เกิดมา ตั้งอยู่ และดับไปในที่สุด

***************

แล้วยังจะต้องการอะไรมากไปกว่านี้ล่ะ
tophy33113
Intelligent Layer 5
*****


จิตพิสัย: 0
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 465

สมาชิกลำดับที่ 32505

Posting Frequency



เว็บไซต์






 ระดับถัดไป:
 29.17% ( 35 / 120 )

« ตอบ #23 เมื่อ: 24 มิถุนายน 2012, 13:20:00 »
ตอบโดยอ้างถึงข้อความอ้างถึง

ทำแบบนี้มันสามารถกำหนดเป็นช่วงเวลาได้หรือเปล่าครับ
เจ้านาย อยากให้พนักงานสามารถเล่นได้เป็นบางเวลา

ตอนนี้ผิดปกติ ของผมมันบล๊อค เฟสบุ๊คได้นะครับ
ปกติ เราจะใส่เป็น www.facebook.com  จากนั้นมันก็จะredirect เป็น https://  ทันทีทำให้เราก็ใช้งานได้
แต่ ณ ปัจจุบัน พอเราใส่ http://www.facebook.com มันก็จะredirect ไปที่ https://www.facebook.com แต่.....เข้าไม่ได้ครับ Grin
ผมก็เลยงงกับมันว่าเกิดอะไรขึ้นกับระบบผม  ทำไมแต่ก่อนพยายาม บล๊อคแทบเป็นแทบตาย กลับทำไม่ได้เลย
แต่พอมาตอนนี้ เด็กๆ+(ครูบางส่วน) โอดครวญ จะเป็นจะตาย  ตอนนี้สบายใจผมเลยครับ  เล่นได้  ก่อนเรียน+พักเที่ยง+หลังเลิกเรียน  
เฮ้อ.......... สบายที่สุด  ตอนนี้

« แก้ไขครั้งสุดท้าย: 28 มิถุนายน 2012, 12:11:07 โดย tophy33113 » Share topic : บันทึกการเข้า

ไม่ได้เกิดมาเพื่อเอาชนะใคร
แต่เกิดมาเอาชนะกิเลสตัณหาทั้งปวง
ชีวิตมีแค่ เกิดมา ตั้งอยู่ และดับไปในที่สุด

***************

แล้วยังจะต้องการอะไรมากไปกว่านี้ล่ะ
iteasy2u
Clever Rank 1
*


จิตพิสัย: 0
ออฟไลน์ ออฟไลน์

กระทู้: 553

สมาชิกลำดับที่ 76004

Posting Frequency



เว็บไซต์






 ระดับถัดไป:
 6% ( 3 / 50 )

« ตอบ #24 เมื่อ: 26 มิถุนายน 2012, 12:23:54 »
ตอบโดยอ้างถึงข้อความอ้างถึง

ตอนนี้ผิดปกติ ของผมมันบล๊อค เฟสบุ๊คได้นะครับ
ปกติ เราจะใส่เป็น www.facebook.com  จากนั้นมันก็จะredirect เป็น https://  ทันทีเลย เราก็ใช้งานได้
แต่ ณ ปัจจุบัน พอเราใส่ http://www.facebook.com มันก็จะredirect ไปที่ https://www.facebook.com ซึ่งก็เข้าไม่ได้ครับ
ผมก็เลยเริ่มงงกับมัน ว่าเกิดอะไรขึ้นกับระบบผม  ทำไมแต่ก่อนพยายาม ล๊อคแทบเป็นแทบตาย กลับทำไม่ได้เลย
แต่พอมาตอนนี้ เด็กๆ+(ครูบางส่วน) โอดครวญ จะเป็นจะตาย  ตอนนี้สบายใจผมเลยครับ  เล่นได้  ก่อนเรียน+พักเที่ยง+หลังเลิกเรียน 
เฮ้อ.......... สบายที่สุด  ตอนนี้

เทพ ไปเลยครับหาวิธีบล๊อกแทบแย่ ตอนนี้ยังทำไม่ได้เลยครับ!!!
แต่ดีที่ไม่ค่อยมี user รู้มาก (แยกไม่ออกระหว่าง http กับ https)

Share topic : บันทึกการเข้า

tophy33113
Intelligent Layer 5
*****


จิตพิสัย: 0
ออฟไลน์ ออฟไลน์

เพศ: ชาย
กระทู้: 465

สมาชิกลำดับที่ 32505

Posting Frequency



เว็บไซต์






 ระดับถัดไป:
 29.17% ( 35 / 120 )

« ตอบ #25 เมื่อ: 27 มิถุนายน 2012, 20:00:44 »
ตอบโดยอ้างถึงข้อความอ้างถึง

เทพ ไปเลยครับหาวิธีบล๊อกแทบแย่ ตอนนี้ยังทำไม่ได้เลยครับ!!!
แต่ดีที่ไม่ค่อยมี user รู้มาก (แยกไม่ออกระหว่าง http กับ https)

ผมแนะนำนะครับ
ถ้าจะบล๊อก ให้ได้
แนะนำในส่วนของ Proxy เลือกให้เป็น not transparent  ครับ แล้วเรากำหนดพรอกซึ่ที่เครื่องแต่ละเครื่องเอง เขาไม่้ทำอะไรเครื่องเราหรอกครับ
เพราะถ้ากำหนดเป็นอย่างอื่น เขาก็เล่นเน็ตไม่ได้อยู่แล้ว เพราุะทุกเครื่อง ต้องวิ่งผ่านพรอกซี่ที่เราตั้งค่าไว้เท่านั้น จึงจะเล่นเน็ตได้  ถ้าไม่อยากเล่นเน็ต ก็เชิญ ตั้งค่าตามสบาย  
บอกเขาว่าแบบนั้นเลยครับ รับรอง ไม่กล้าแตะ เครื่องเราหรอก


ทุกวันนี้พยายามแต่บล๊อคเว็บเกมส์ต่างๆเท่านั้นล่ะครับ พยายามที่จะใส่เป็น คีย์เวิร์ด แต่ทำไม่เป็น(เคยเห็นกระทู้หนึ่งอยู่นะ) แต่ไม่กล้าลอง
และอีกประการ มันใช้ภาษาไทยไม่ได้ เวลาเด็กค้นมาที่เป็นภาษาไทย ก็ค้นได้ และเล่นได้เหมืิอนเดิม
ทุกวันนี้พยายามแจ้งทุกเว็บที่เกี่ยวกับเกม  ว่าเป็น  spam   Grin
ตายยกฝูงละครับ เล่นไม่ได้ ๆๆๆๆๆๆๆๆๆๆๆ  เสียงบ่นให้ได้ยินถ้วนหน้า เราก็ได้แต่อมยิ้มอยู่ในใจ   Grin
แต่ไม่พูดอะไร เพราะกลัวความแตก ทุกวันนี้ตรวจล๊อคไฟล์ตลอด เพื่อดูว่า เด็กๆเขาเล่นเว็บเกมอะไรมั้ง
จะได้นำมาเก็บไว้ที่ spam  Evil   ไม่ต้องไปค้นหาให้ยาก เพราะเคยค้นมาแล้ว เจอเป็นล้านๆ ขี้เกียจ
นำเข้าเพราะคิดว่าอาจจะหนักระบบมากๆในอนาคต  ค่อยๆบล๊อคไปตามแต่ที่ัเด็กๆค้นเจอ และเล่นบ่อยๆครับ

 Grin Grin Grin Grin Grin Grin Grin Evil Evil Evil Evil Evil

« แก้ไขครั้งสุดท้าย: 28 มิถุนายน 2012, 12:12:46 โดย tophy33113 » Share topic : บันทึกการเข้า

ไม่ได้เกิดมาเพื่อเอาชนะใคร
แต่เกิดมาเอาชนะกิเลสตัณหาทั้งปวง
ชีวิตมีแค่ เกิดมา ตั้งอยู่ และดับไปในที่สุด

***************

แล้วยังจะต้องการอะไรมากไปกว่านี้ล่ะ
iteasy2u
Clever Rank 1
*


จิตพิสัย: 0
ออฟไลน์ ออฟไลน์

กระทู้: 553

สมาชิกลำดับที่ 76004

Posting Frequency



เว็บไซต์






 ระดับถัดไป:
 6% ( 3 / 50 )

« ตอบ #26 เมื่อ: 29 มิถุนายน 2012, 14:13:39 »
ตอบโดยอ้างถึงข้อความอ้างถึง

ผมแนะนำนะครับ
ถ้าจะบล๊อก ให้ได้
แนะนำในส่วนของ Proxy เลือกให้เป็น not transparent  ครับ แล้วเรากำหนดพรอกซึ่ที่เครื่องแต่ละเครื่องเอง เขาไม่้ทำอะไรเครื่องเราหรอกครับ
เพราะถ้ากำหนดเป็นอย่างอื่น เขาก็เล่นเน็ตไม่ได้อยู่แล้ว เพราุะทุกเครื่อง ต้องวิ่งผ่านพรอกซี่ที่เราตั้งค่าไว้เท่านั้น จึงจะเล่นเน็ตได้  ถ้าไม่อยากเล่นเน็ต ก็เชิญ ตั้งค่าตามสบาย  
บอกเขาว่าแบบนั้นเลยครับ รับรอง ไม่กล้าแตะ เครื่องเราหรอก


ทุกวันนี้พยายามแต่บล๊อคเว็บเกมส์ต่างๆเท่านั้นล่ะครับ พยายามที่จะใส่เป็น คีย์เวิร์ด แต่ทำไม่เป็น(เคยเห็นกระทู้หนึ่งอยู่นะ) แต่ไม่กล้าลอง
และอีกประการ มันใช้ภาษาไทยไม่ได้ เวลาเด็กค้นมาที่เป็นภาษาไทย ก็ค้นได้ และเล่นได้เหมืิอนเดิม
ทุกวันนี้พยายามแจ้งทุกเว็บที่เกี่ยวกับเกม  ว่าเป็น  spam   Grin
ตายยกฝูงละครับ เล่นไม่ได้ ๆๆๆๆๆๆๆๆๆๆๆ  เสียงบ่นให้ได้ยินถ้วนหน้า เราก็ได้แต่อมยิ้มอยู่ในใจ   Grin
แต่ไม่พูดอะไร เพราะกลัวความแตก ทุกวันนี้ตรวจล๊อคไฟล์ตลอด เพื่อดูว่า เด็กๆเขาเล่นเว็บเกมอะไรมั้ง
จะได้นำมาเก็บไว้ที่ spam  Evil   ไม่ต้องไปค้นหาให้ยาก เพราะเคยค้นมาแล้ว เจอเป็นล้านๆ ขี้เกียจ
นำเข้าเพราะคิดว่าอาจจะหนักระบบมากๆในอนาคต  ค่อยๆบล๊อคไปตามแต่ที่ัเด็กๆค้นเจอ และเล่นบ่อยๆครับ

 Grin Grin Grin Grin Grin Grin Grin Evil Evil Evil Evil Evil

ขอบคุณครับ แต่อย่างที่บอกของผมมีเงื่อนไขตรงที่ว่า
ยังอยากให้ user เล่นได้ตามเวลา ตอนนี้ทุกคนก็ใช้ proxy ครับ ก็ยังสามารถออก https ได้
ตอนนี้เลยหา software ตัวอื่นเข้ามาติดตั้งที่เครื่องของ user แทน เช่น avast free antivirus ที่มีฟังชั่นในการ block web และมีการแจ้งทาง email เมื่อเจอไวรัส
แต่ก็ยังไม่สามารถตั้งเวลาในการเล่นได้อยู่ดี
แต่ก็มีหลายๆโปรแกรมนะครับ พวกตั้งเวลาได้ เช่น http://windows.microsoft.com/th-TH/windows7/Keeping-tabs-on-my-teens
ซึ่งถ้าต้องติดตั้งทุกเครื่องแล้ว วัดผลได้ ก็น่าสนใจ ผลลัพธ์ เท่ากัน แต่เหนื่อยกว่า

Share topic : บันทึกการเข้า

ผ่านมา
บุคคลทั่วไป
« ตอบ #27 เมื่อ: 29 มิถุนายน 2012, 14:35:30 »
ตอบโดยอ้างถึงข้อความอ้างถึง

ขอบคุณครับ แต่อย่างที่บอกของผมมีเงื่อนไขตรงที่ว่า
ยังอยากให้ user เล่นได้ตามเวลา ตอนนี้ทุกคนก็ใช้ proxy ครับ ก็ยังสามารถออก https ได้
ตอนนี้เลยหา software ตัวอื่นเข้ามาติดตั้งที่เครื่องของ user แทน เช่น avast free antivirus ที่มีฟังชั่นในการ block web และมีการแจ้งทาง email เมื่อเจอไวรัส
แต่ก็ยังไม่สามารถตั้งเวลาในการเล่นได้อยู่ดี
แต่ก็มีหลายๆโปรแกรมนะครับ พวกตั้งเวลาได้ เช่น http://windows.microsoft.com/th-TH/windows7/Keeping-tabs-on-my-teens
ซึ่งถ้าต้องติดตั้งทุกเครื่องแล้ว วัดผลได้ ก็น่าสนใจ ผลลัพธ์ เท่ากัน แต่เหนื่อยกว่า

ผมว่าคุณยังไม่เข้าใจ
ขั้นแรก คุณต้อง ไม่ใช้ proxy แบบ transparent เพราะคุณต้องบังคับ https (ที่คุณไปตั้งค่าใน browser) วิ่งผ่าน port 8080 (ค่าปกติของ EFW) อย่าลืมใส่ allowed port ใน proxy ด้วย
จากนั้นคุณต้อง ไม่เปิด firewall outgoing port 443 (ปกติ EFW ก็น่าจะปิด port นี้ไว้อยู่แล้ว)
นั้นทำให้เมื่อมีการเรียกใช้งาน https มันจะวิ่งผ่าน proxy ซึ่งคุณสามารถกำหนดการใช้งานได้

แต่ถ้าเป็น transparent มันจะดัก port 80 ส่วน port อื่นๆ ก็ผ่าน firewall

Share topic : บันทึกการเข้า
iteasy2u
Clever Rank 1
*


จิตพิสัย: 0
ออฟไลน์ ออฟไลน์

กระทู้: 553

สมาชิกลำดับที่ 76004

Posting Frequency



เว็บไซต์






 ระดับถัดไป:
 6% ( 3 / 50 )

« ตอบ #28 เมื่อ: 29 มิถุนายน 2012, 15:22:36 »
ตอบโดยอ้างถึงข้อความอ้างถึง

ผมว่าคุณยังไม่เข้าใจ
ขั้นแรก คุณต้อง ไม่ใช้ proxy แบบ transparent เพราะคุณต้องบังคับ https (ที่คุณไปตั้งค่าใน browser) วิ่งผ่าน port 8080 (ค่าปกติของ EFW) อย่าลืมใส่ allowed port ใน proxy ด้วย
จากนั้นคุณต้อง ไม่เปิด firewall outgoing port 443 (ปกติ EFW ก็น่าจะปิด port นี้ไว้อยู่แล้ว)
นั้นทำให้เมื่อมีการเรียกใช้งาน https มันจะวิ่งผ่าน proxy ซึ่งคุณสามารถกำหนดการใช้งานได้

แต่ถ้าเป็น transparent มันจะดัก port 80 ส่วน port อื่นๆ ก็ผ่าน firewall

สำหรับคนที่ทำได้นั้น นับว่าเป็นคนหมู่น้อย นะครับ และเผลอๆ หากลองรีสตาร์ท อาจจะพบว่าที่มันบล๊อกได้ มันอาจจะบล๊อกไม่ได้แล้ว
แต่ไม่เป็นไรครับ ผมอาจจะไม่เข้าใจมันเองก็ได้ ก็เลยอยากหาวิธีที่ผมทำได้และได้ผลลัพธ์ที่เหมือนกัน

และอีกอย่างก็เป็นที่ ยอมรับกันแล้วว่า efw มีปัญหาเกี่ยวกับ https จริง หรือผมตกข่าว ก็ช่วยแวะมาบอกวิธีทำด้วยนะครับ
ขออนุญาติยกตัวอย่างกระทู้ของคุณ avalance ในกระทูนี้นะครับ
http://www.thaiadmin.org/board/index.php?topic=151328.msg622051#msg622051



Share topic : บันทึกการเข้า

ผ่านมา
บุคคลทั่วไป
« ตอบ #29 เมื่อ: 29 มิถุนายน 2012, 17:10:11 »
ตอบโดยอ้างถึงข้อความอ้างถึง

สำหรับคนที่ทำได้นั้น นับว่าเป็นคนหมู่น้อย นะครับ และเผลอๆ หากลองรีสตาร์ท อาจจะพบว่าที่มันบล๊อกได้ มันอาจจะบล๊อกไม่ได้แล้ว
แต่ไม่เป็นไรครับ ผมอาจจะไม่เข้าใจมันเองก็ได้ ก็เลยอยากหาวิธีที่ผมทำได้และได้ผลลัพธ์ที่เหมือนกัน

และอีกอย่างก็เป็นที่ ยอมรับกันแล้วว่า efw มีปัญหาเกี่ยวกับ https จริง หรือผมตกข่าว ก็ช่วยแวะมาบอกวิธีทำด้วยนะครับ
ขออนุญาติยกตัวอย่างกระทู้ของคุณ avalance ในกระทูนี้นะครับ
http://www.thaiadmin.org/board/index.php?topic=151328.msg622051#msg622051



คำว่ามีปัญหากับ https หรือ ssl นั้นผมเข้าไปอ่านที่ efw support มาแล้วครับ และเขาก็ว่า หากใช้ transparent proxy จะไม่สามารถตั้ง block ได้เพราะมันไม่ได้ผ่าน proxy ทาง port 80 แต่มันผ่าน firewall ทาง port 443 ที่เปิดไว้  transparent มันจะดักการเรียกผ่าน port 80 แต่มันจะไม่ดักการเรียกผ่าน port อื่นๆ
แต่หากใช้ not transparent มันจะผ่านมาทาง port ที่คุณตั้งค่าไว้ใน browser ซึ่งมันจะผ่าน proxy แล้วจะสามารถ block ได้ครับ

ส่วนเรื่อง restart แล้วมีปัญหา block ได้ไม่ได้ อันนี้ ผมพบว่า efw มีปัญหาในการ update กฎ บางทีเมื่อมีการเพิ่มกฎหรือแก้ไขแล้ว มันมีอาการ เอ๋อ บางทีกฎบางข้อก็ถูกข้ามไป หรือเหมือนกับ disable อยู่ ซึ่งวิธีแก้ไข ผมต้องเข้าไปหาดูว่ากฎข้อไหนมันถูกข้ามแล้วกด edit ทำเป็นแก้ไขแล้วกด save ออกมา apply อีกทีก็จะหายเป็นปกติ โดยเฉพาะหากไปแก้ไขหลายๆ แล้วค่อยกด apply ทีเดียวมันมีโอกาสเพี้ยนได้สูง (เมื่อก่อนผมก็งงงง ใส่กฎไปทีแรกได้ แก้เพิ่มเติมนิดหน่อยดันไม่ได้ซะอย่างนั้น จนมารูทีหลัง)



Confirmed by: tophy33113

Share topic : บันทึกการเข้า
กลุ่มผู้ดูแลระบบแห่งประเทศไทย
    ตอบโดยอ้างถึงข้อความอ้างถึง


โปรดอ่านกฎกติกาก่อนแสดงความคิดเห็น


1. โปรดงดเว้น การใช้คำหยาบคาย ส่อเสียด ดูหมิ่น กล่าวหาให้ร้าย สร้างความแตกแยก หรือกระทบถึงสถาบันอันเป็นที่เคารพ
2. ข้อความหรือรูปภาพที่ปรากฏในกระทู้ที่ท่านเห็นอยู่นี้ เกิดจากการตั้งกระทู้และถูกส่งขึ้นเวบบอร์ดโดยอัตโนมัติจากบุคคลทั่วไปและสมาชิก
ซึ่งทีมงานกลุ่มผู้ดูแลระบบแห่งประเทศไทย มิได้มีส่วนร่วมรู้เห็น หรือพิสูจน์ข้อเท็จจริงใดๆ ทั้งสิ้น
และไม่สามารถนำไปอ้างอิงทางกฎหมายได้
3. หากท่านพบเห็นข้อความ หรือรูปภาพในกระทู้ที่ไม่เหมาะสม กรุณาแจ้งทีมงานทราบ เพื่อดำเนินการต่อไป
4. ทีมงานกลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอสงวนสิทธิ์ในการลบความคิดเห็น โดยไม่ต้องชี้แจงเหตุผลใดๆ ต่อเจ้าของความคิดเห็นนั้น

 บันทึกการเข้า
หน้า: [1] 2  ทั้งหมด   ขึ้นบน
  ตอบ  |  เพิ่มบุ้คมาร์ค  |  พิมพ์  
+ กลุ่มผู้ดูแลระบบแห่งประเทศไทย » Serve Zone » Unix & Linux Platform » Linux,Unix Firewall ,Gateway » หัวข้อ:
|-+ EFW2.5.1 ทดสอบ block web ติดปัญหา block https://.... ไม่ได้


 
กระโดดไป:  

+ ตอบด่วน
Powered by MySQL Powered by PHP Powered by SMF 1.1.19 Thaiadmin Edition | Sitemap| SMF © 2013, Simple Machines
Thai Language by ThaiSMF. Modifications by Thailand System Administrator Group.
Valid XHTML 1.0! Valid CSS!

หน้านี้ถูกสร้างขึ้นภายในเวลา 0.182 วินาที กับ 76 คำสั่ง

Google visited last this page วันนี้ เวลา 01:23:12