Endian Firewall

5,396 views

Published on

Published in: Technology

Endian Firewall

 1. 1. คูมือติดตั้งและตั้งคาใชงาน Endian Firewall 2.2 RC2 pikepid@hotmail.com Download Endian Firewall ไดที่ http://www.endian.com/en/ คลิกที่ Download Now
 2. 2. เลือก Version ที่ตองการ ในที่นี้ผมเลือกที่ Endian Firewall Community 2.2 RC2 ซึ่ง เปน Development Release เมื่อ Download เสร็จแลว จะได File นามสกุล .iso ใหใชโปรแกรม Nero เขียนแผน CD โดยไป ที่เมนู คัดลอกและแบ็คอัพ > เบิรนอิมเมจไปยังดิสก เสร็จแลวเตรียมเครื่องคอมพิวเตอรที่มี LAN Card 2 ใบ และใหเขาไปกําหนดที่ Bios ตั้งคาให เครื่อง Boot จากแผน CD ขั้นตอนการติดตั้ง 1. เปดเครื่องคอมพิวเตอรแลวใสแผน CD เขาไป เมื่อหนาจอขึ้นมาดังรูปแลวใหกด Enter
 3. 3. 2. เลือก English แลว OK 3. เลือก YSE แลว OK เลือกที่ Yes แลวกดแปน enter หรือ กด tab เพื่อให การสั่ง งานอยู ณ ตําแหนง OK จากนั้นกด enter
 4. 4. 4. เลือก YES แลว OK เลือกที่ Yes แลวกดแปน enter หรือ กด tab เพื่อให การสั่ง งานอยู ณ ตําแหนง OK จากนั้นกด enter 5. ขั้นตอนกําลัง สราง filesystem ตางๆๆ ใชเวลาไมนาน
 5. 5. 6. กําหนด IP ใหกับ LAN Card ในที่เปนการกําหนดใหกับ Eth0 ซึ่งเปน Green (IP นี้ให กําหนด Class เดียวกันกับ IP ที่ใชในหนวยงาน เชน 192.168.0.xx) 192.168.0.3 255.255.255.0 ซึ่ง Green ก็คือ IP ซึ่งเปน Class เดียวกันกับเครื่องคอมพิวเตอรในหนวยงานของเรานั่นเองครับ ภาพอธิบายประกอบ รพ.ภูเขียว ใช IP 192.168.0.1 – 192.168.0.255 ผมจึงกําหนดให eth0 : 192.168.0.3
 6. 6. 7. เสร็จสิ้นขั้นตอนการลง Endian Linux firewall แลวแผน CD จะเลื่อนออกมา 8. เครื่องจะ Reboot ใหม 9. เมื่อทําการ บูตระบบใหมขึ้นมาแลว ... ระบบ Endian จะ รัน process ตางๆๆ ซึ่งในขั้นตอนนี้ ใหรอสัก ครู
 7. 7. 10. แสดงสถานะภาพ ของตัว Endian firewall วา..ทําการ บูต ระบบเสร็จสิ้น https://192.168.0.3:10443 192.168.0.3 ตอนนี้ขั้นตอนการติดตั้ง Endian Firewall สําหรับเครื่องเครื่องที่ทําหนาที่เปน Server เสร็จ แลวแตยังเหลือขั้นตอนการ Config คาตางใหกับ Endian Firewall ซึ่งจะไดอธิบายตอไปครับ ขั้นตอนการ Config Endian Firewall กอนอื่นเราตองตรวจสอบกอนวาเครื่องคอมพิวเตอร Server สามารถติดตอกับเครื่องอื่นๆใน เครือขายไดหรือไม เนื่องจาก LAN Card มี 2 ใบตองทดสอบวาใบไหนเปน eth0 โดยตอสาย LAN เขากับ LAN Card ใบใดใบหนึ่งกอน (ผมตอผาน Switch ครับ) แลวใชคําสั่ง ping จาก เครื่องคอมพิวเตอรเครื่องอืนๆที่อยูในเครือขายเดียวกัน ในที่นี้ eth0 ของผมตั้งเปน ่ 192.168.0.3 ผมจึงใชคําสั่ง ping 192.168.0.3 (การ ping ใหคลิกที่เมนู start > run แลวพิมพ ping 192.168.0.3) โชคดีที่เสียบสายถูก eth0 ผลที่ไดแบบนี้แสดงวาเราสามารถติดตอกับเครื่อง Endian Server ไดแลวครับ
 8. 8. แตถาไมไดมนจะเปนแบบนี้ครับ ั เมื่อทดสอบการเชื่อมตอไดแลวใหเปด Web Browser ขึ้นมาในที่นี้ผมใช Firefox 3 จะใช IE ก็ไดครับ จากนั้นพิมพ http://192.168.0.3 ที่ URL กด Enter จะไดผลดังภาพ สังเกตที่ URL จะเปลี่ยนเปน https://192.168.0.3:10443/cgi-bin/setup/step1/chdefaultpw.cgi จากนั้นใหคลิกที่ Or you can add an exception…
 9. 9. คลิกที่ Add Exception คลิกที่ Get Certificate
 10. 10. จากนั้นคลิกที่ Confirm Security Exception จากนั้นจะเขาสูหนาจอ Endian Firewall ซึ่งเปนแบบ Web Application ซึ่งแตละ Version ก็จะ มีหนาตาที่แตกตางกันไป
 11. 11. เริ่มขั้นตอนการตั้งคาตางๆใหกับ Endian Firewall โดยคลิกที่ ตั้งคา ภาษา : English และ Time zone : Asia/Bangkok แลวคลิก อาน License จากนั้นคลิกที่ชอง ACCEPT License แลวคลิก
 12. 12. ถาเรามีคา Configuration ที่เคยกําหนดไวสามารถ Restore คาเดิมกลับมาใชไดจากหนาจอนี้ ครับ แตในที่นี้เราไมมีใหเลือกเปน No แลวคลิก จากนั้นใหกําหนด Password ทั้งในสวนของ Web Frontend Password (admin) และ SSH Password (root) **** Web Frontend Password (Username : admin) ไดแก หนาจอจาก Web Browser SSH Password (Username : root) ไดแก หนาจอที่เครื่อง Server หรือ Remote ผาน Putty เมื่อกําหนดเสร็จแลวคลิก จากนั้นจะเปนขั้นตอนการกําหนดคาใหกบ LAN Card อีกตัวและการสราง Connection กับ ั Router Modem หรืออุปกรณเชื่อมตออินเตอรเน็ตอื่นๆ
 13. 13. Step1/7 Choose type of RED interface ผมเลือก ETHERNET STATIC คลิก Step 2/7: Choose network zones ผมเลือก NONE คลิก
 14. 14. Step 3/7: Network preferences ที่หนาจอนี้กําหนดเพิ่มแคในสวนของ Hostname : เปน endian กับ Domainname : เปน pkhos อันนี้แลวแตจะตั้งเปนอะไรนะครับ จากนั้นคลิก Step 4/7: Internet access preferences
 15. 15. หนานี้เปนการกําหนด IP address ให Red ซึ่งเปน eth1 ซึ่ง IP ตองเปน Class เดียวกับ Router ในที่นี้ Router ที่ผมใช IP : 192.168.1.5 (คา Default ที่มากับเครื่อง สวนใหญคือ 192.168.1.1) ผมจึงกําหนดให Red IP address เปน 192.168.1.3 และ Default gateway : 192.168.1.5 จากนั้นคลิก Step 5/7: configure DNS resolver ผมใช ISP ของ TOT DNS1 : 203.113.24.199 DNS2 : 203.113.127.199 IPS รายอื่นๆ ลองคนหาใน google นะครับ ใช Keyword เชน DNS TT&T จากนั้นคลิก Step 6/7: Apply configuration คลิกที่ OK apply configuration
 16. 16. Step 7/7: End เสร็จสิ้นการกําหนดคาเบื้องตนครับ พอจะเขามาที่ Web Browser ใหมจะมีหนาตางขึ้นมาถาม Username และ Password ที่เราเคย ตั้งที่ในหัวขอที่ผานมา Username : admin Password : ที่เราตั้งไวครับ ใสใหถูกตองจึงจะสามารถเขาไปไดครับ เมื่อเขามาแลวจะเปนหนาตาแบบนี้ครับ ทีนี้ก็เหลือการกําหนดคาเพือใหใชงานไดตามวัตถุประสงคครับ ในที่นี้ผมจะเลือก Config เพื่อ ่ เก็บรักษาขอมูลจราจรคอมพิวเตอรไวไมนอยกวาเกาสิบวัน ตาม พรบ.2550 (บางสวน) นะครับ คงไมละเอียดพอ เพราะผมก็เพิ่งศึกษาไดไมนานเหมือนกัน ประสบการณยังนอยครับ อีกอยาง ผมก็อานจาก Internet มาทําเหมือนกัน ยังไมไดอานคูมือฉบับเต็มๆ Endian Firewall ฉบับ ภาษาอังกฤษเลยครับ
 17. 17. ตอไปเปนขั้นตอนการเปด ใชงาน ssh ( การรีโมต เขาถึงระยะไกล โดยใช โปรแกรม putty or winscp มาใชงาน) เมื่อเขาสู หนาเว็บ ของ Endian ไดแลวควรจะทําการเปด การใชงาน ของ ssh server ทําดังตอไปนี้ เมนู System ดานซายเลือก SSH access จากนั้นเลือก Enable Secure Shell Access และ เลือก Support SSH protocol version 1 (required only for old clients) แลวคลิกปุม Save ขั้นตอนตอไปเปนการกําหนดให User ตองใส Username และ Password กอนเขาใชงาน Web Browserครับ เลือกที่เมนู Proxy ดานซายเลือก HTTP เลือกที่ Tab Configuration คลิกเลือก Enable HTTP Proxy ชอง Green ใหเลือก authentication required จากนั้นคลิกปุม Save และ Apply
 18. 18. เสร็จแลวไปที่แถบ Authentication ใสคาตางตามตองการ หรือจะดูตัวอยางจากภาพ ดังนี้ครับ จากนั้นไปที่ Tab Group Policies แกไข group ใหไดตามตองการ โปรแกรมมี bug เล็กนอย ครับ วิธีการแกไขมันมีมา 3 บรรทัด ใหลบออกทั้ง 3 บรรทัดโดยคลิกที่รูปถึงขยะดานหลัง จากนั้นคลิกที่ Create a group ใส Group name ในที่นี้ผมใสเปน Internet แลวคลิกปุม Create group
 19. 19. ทั้งที่กอนหนานี้ขึ้นมา 3 บรรทัดและลบทิ้งไปหมดแลวพอ Add Group เขาไปใหมดันออกมา เปน 4 Group ไดไงชื่อซ้ําดวย ลองลบโดยคลิกที่รูปถังขยะออกไป 3 ใหเหลือ Group เดียว จากนั้นคลิกเครื่องหมายถูกที่ชองสี่เหลี่ยมหนารูปถังขยะ คลิกปุม Save และ Apply ก็จะไดออกมาดังรูปครับ หลังจากนั้นที่ Tab Authentication ใหคลิกที่ปุม User management
 20. 20. กรอกขอมูล Username และ Password แลวคลิกปุม Add User อยาลืมนะครับวาเรากําหนด Min password length ไวกี่ตัวอักษรตองไมต่ํากวาที่กําหนดนะครับ เพิ่มผูใชงานแลวก็ไปปด port HTTP และ HTTPS ไมใหเครื่องลูกขายติดตอ port 80 ได ทุก เครื่องตองผาน proxy port ทั้งหมด ไปที่ เมนู Firewall --> Outgoing Traffic แลวเลือก เครื่องหมายถูกออกจาก บรรทัดที่ 1 และ 2 แลวคลิกปุม Apply
 21. 21. จากนั้นทดสอบการเชื่อมตอกับ Internet และระบบ Authentication โดยไปกําหนดคา IP Address ของเครื่องที่จะใชงาน Internet โดยกําหนด IP Address ใหอยูใน Class เดียวกันกับ eth0 และ Default gateway และ Preferred DNS server เปน IP Address ของเครื่อง Endian Firewall ตามตัวอยาง ดังรูปครับ
 22. 22. เปด Web Browser ขึ้นมาครับ ตอนนี้ผมใช IE ในการทดสอบ ไปที่เมนู Tool > Internet options และไปที่ Tab Connections คลิกที่ปุม LAN Settings
 23. 23. จากนั้นกําหนด Proxy Server โดยใสหมายเลข IP Address ของเครื่อง Endian Firewall ครับ เสร็จแลวคลิกปุม OK ครับ จากนั้นใหเปด IE ขึ้นมาใหมอีกครั้งหนึ่งก็จะพบวามีหนาตางขึ้นมาใหใส Username กับ Password กอนเขาใชงาน Web Browser ครับ ถาใสถูกก็จะใชงานไดครับ เปนอันวาการกําหนดให User Authentication เสร็จเรียบรอยแลวครับ หนาที่ตอไปของ Admin คือการกําหนด Username กับ Password ใหแกบุคลากรในหนวยงานครับ
 24. 24. เมื่อเรากําหนดคาให User แสดงตัวตนกอนเขาใชงานไดแลว ขั้นตอไปเราจะมากําหนดการ เขาถึง Web Site ตางๆวาอันไหนจะ Block ไมให User เขาใชงานนะครับ ไปที่เมนู Proxy ดานซาย HTTP ไปที่ Tab Default policy ตรง Rule list ใหคลิก Create a rule ตรง Filter type ใหเลือก content filter + antivirus scan จากนั้นคลิกปุม Create rule จากนั้นผมลบ antivirus scan only ออก โดยคลิกที่รูปถังขยะครับ
 25. 25. จากนั้นไปที่ เมนู Proxy ดานซายเปน HTTP ที่ Tab Content Filter ดานลาง ในสวน Custom black- and whitelists ตรงบล็อก Block the following sites ผม ลอง Block Web www.x-only.co.cc และ www.sanook.com จากนั้นคลิกปุม Save ครับ
 26. 26. เมื่อผมทดลองเปด IE และใส URL http://www.sanook.com ก็จะไมสามารถเขาใชงานไดดัง ภาพครับ เสร็จสิ้นการกําหนด Block Website ที่ไมเหมาะสมครับ สวนการ Block Bittorrent นั้นอันนี้ผม ยังไมไดลองครับ ตอไปเปนการกําหนดใหเก็บ Log ไว 90 วันครับ ใหไปที่เมนู Log ดานซายเลือก Setting ตรง Log summaries กําหนด Keep summaries for 90 days ครับ แลวคลิกปุม Save การดู Log ทําไดโดยคลิกที่เมนู Log ดานซายเลือก Proxy ที่ Tab HTTP
 27. 27. หรือจะดูแบบอื่นๆก็ลองเลือกดูนะครับ อันนี้คงไมตองอธิบายกันมากนัก เริ่มงายแลวครับ สงออก ก็ไดเหมือนกัน อันนี้ผมไมรูวารองรับตาม พรบ. หรือเปลานะครับอันนี้ตองไปศึกษากฏหมายและ ผูเชี่ยวชาญอีกทีครับ
 28. 28. สําหรับผูที่เลน MSN พอเรากําหนดใหเลน Internet ตองกรอก Username และ Password ก็ จะเกิดปญหา Online ไมไดดังนั้นจึงตองไปกําหนด Username และ Password ใหกับ MSN ดังนี้ครับ ที่ MSN ไปที่เมนู เครื่องมือ >> ตัวเลือก >> การเชื่อมตอ คลิกที่ปุม การตั้งคาขั้นสูง
 29. 29. ใส Username และ Password แลวคลิกปุมทดสอบดูครับ ถาขึ้นแบบนี้ OK ครับ แลวก็คลิกปุม ตกลง แลว ตกลง แลวก็ ตกลง เสร็จสิ้นการกําหนดคา ใหกับ MSN ครับ
 30. 30. เอกสารอางอิงครับ 1. http://www.itwizard.info/technology/linux/efw/efw_implement.html 2. http://linux.sothorn.org/node/343 3. http://linux.sothorn.org/node/333 4. http://i-gatez.no-ip.org/ 5. http://www.itwizard.info/technology/linux/efw/efw_2.1.2_law_com_2550/efw _2.1.2_law_com_2550.html ขอบคุณทุกๆทานที่เขียนสิ่งดีๆไวใหศึกษาครับที่พอจะทราบชื่อไดแก 1. คุณอดิศร ขาวสังข 2. คุณโสธร แหง sothorn.org ผูเคยรวมสรางชุมชน Hos-OS 3. http://i-gatez.no-ip.org/ ไมทราบชื่อคนเขียนครับ

×