สร้าง policy Endian Firewall สำหรับ ERP บน Cloud (Project)

บริษัทมีสองสาขา ที่สำนักงานใหญ่มี File Server , Mail , Express และโปรแกรมในการผลิต ใช้ Endian Firewall ในการเก็บ Log และกำหนด Policy การเข้าอินเทอร์เน็ต โดยคอมพิวเตอร์ที่สาขาใช้ VPN เข้ามาใช้โปรแกรมดังกล่าวเป็นบางเครื่อง

บริษัทเริ่มใช้โปรแกรม ERP ผ่านอินเทอร์เน็ต โดยกำหนด policy ดังนี้

1. สร้าง VPN Site to Site โดยใช้ Endian Firewall สองสาขา
2. เพิ่ม อินเทอร์เน็ตแบบ dynamic และ setup EFW ให้เป็น multilink
3. สร้าง policy ให้ผู้ใช้งานในการใช้ File Server , Mail , Express , Internet และ ERP ดังนี้

Policy

1. คอมพิวเตอร์ที่สาขาใช้ File Server , Mail , Express ผ่านอินเทอร์เน็ตเส้น VPN เท่านั้น ในกรณีนี้กำหนดให้ VPN วิ่งที่ Uplink ทั้งสองฝั่ง

2. การใช้อินเทอร์เน็ตให้ออกเส้น Main ทั้งสองสาขา มี policy สำหรับเข้าเว็บ ดังนี้

2.1 ผู้บริหารให้ใช้อินเทอร์เน็ตได้ทุกเว็บ
2.2 User ให้ใช้ได้เฉพาะ WEB ERP เท่านั้น

วิธีทำ
.................................... ด้านล่าง

จบ Project แล้วจะมาเขียนเพิ่มภายหลัง....

Read more »

แยกกล้องวงจรปิด ออกจากอินเทอร์เน็ตเส้นหลักของ Endian Firewall

ใช้เทคนิคเล็กน้อยสำหรับ Endian Firewall ที่มี wan มากกว่าสองเส้น โดยให้เส้นหลัก (ppp0) ใช้สำหรับ internet ทั่วไป และ อินเทอร์เน็ตอีกเส้นหนึ่ง (ppp1) ใช้วิ่งกล้องวงจรปิด หรือ vpn หรือ service อื่น ๆ จากเส้นหลักเพื่อใช้ประโยชน์จากอินเทอร์เน็ตที่มีอยู่ให้คุ้มค่าสูงสุด มีเทคนิคที่เกี่ยวข้องคือ "บังคับให้ dyndns มาอยู่เส้นที่สอง" ให้ได้

ซึ่งปกติการติดต่อไปยัง efw อีกฝั่งหนึ่งโดยใช้ชื่อ dyndns ในอินเทอร์เน็ตที่ไม่ได้ fixed IP  Dyndns จะหมายถึง Main Link

ตัวอย่างไซต์งาน

ทั้งสี่สาขาต้องการดูภาพกล้องวงจรปิดผ่านอินเทอร์เส้นที่สองโดยใช้ชื่อ dyndns

Concept ในการ Setup

 ขาเข้าในการเรียกดู cctv

 1.  กำหนดให้ dyndns อยู่กับอินเทอร์เน็ตเส้นที่สอง ( ซึ่งค่าปกติ dyndns จะอยู่ที่อินเทอร์เน็ตเส้นหลัก )
 2. กำหนดให้ตารางการ NAT ผ่าน อินเทอร์เน็ตเส้นที่สอง

ขาออกในการไปเรียกดู cctv ที่อื่น

 3.  กำหนดเส้นทางโดยใช้ port ของ cctv ปลายทางเป็นตัวกำหนดให้ผ่าน policy routing
 4. เสริมด้วยการการกำหนด Outgoing firewall เพื่อระบุว่าจะให้คอมพิวเตอร์เครื่องใดสามารถเข้าดู cctv จากภายนอกได้ (Option)

ลงมือทำ

1. กำหนด dyndns ให้อยู่กับอินเทอร์เน็ตเส้นที่สอง ด้วยการแก้ไขไฟล์ /usr/local/bin/setddns.pl ระบุ uplink ที่ต้องการลงไปแทน main

2. กำหนดให้ NAT ผ่าน Uplink แทน main จากภาพตัวอย่างจะให้ข้างนอกมองเห็นผ่าน uplink ในช่องของ target
3. กำหนด policy routing ของแต่ละ efw โดยระบุ port ปลายทางเป็น 81,82,90,91 ผ่าน Gateway เป็น Uplink

ทดสอบการใช้งาน

1. สำหรับขาเข้านั้น เทียบเคียงจากชื่อ dyndns.org ว่าตรงกับไอพีของ uplink ที่หน้า system ของ efw หรือไม่ด้วยคำสั่ง ping
เช่น : ping k9true3m.dyndns.org

2. ทดสอบขาออกว่าผ่านช่องทาง uplink หรือไม่ด้วยคำสั่ง tcpdump โดยระบุ uplink เป็น ppp1 หรือ ppp2 เช่น tcpdump –i ppp1

จบโปรเจคกล้องวงจรปิดผ่านอินเทอร์เน็ต Uplink
เก็บเงิน.... จบ

Read more »