Thursday, December 13, 2012

Outlook Connector กับ Endian มีปัญหาต้องหาทางเลี่ยงแบบนี้

คุณผู้อ่าน.. ท่านที่เคารพOutlook Connector เมื่อคอนเนคผ่าน Endian Firewall ที่ทำเป็น non-transparent proxy พบว่ามีปัญหาดังนี้1. Connect เข้า hotmail ไม่ได้2. จะต้องเอา url ของ hotmail นั้นมาใส่เป็น filter ที่ยกเว้น authenticated กับ endian ทำให้ยุ่งยากมาก เพราะแต่ละครั้งจะคอนเนคกับ hotmail server ไม่ใช่ตัวเดียวกันยังไม่มีวิธีแก้ปัญหาอย่างชัดเจน เพียงแต่มีวิธีเลี่ยงบาลี ดังนี้เพราะ outlook connector ใช้ proxy configuration เดียวกับ Explorerเพราะไม่มีวิธีใส่ค่า username+password proxy ให้กับ outlook connector แบบเป็น input valueฉะนั้นใน Lan Connection ให้ใส่ค่า proxy / port เฉพาะ ช่อง http:ส่วน protocol ที่เหลือนั้นไม่ต้องใช้ proxy /portก็พอกล้อมแกล้มใช้...

Wednesday, July 18, 2012

Set ให้ Endian Firewall รายงาน Event notifications

คุณผู้อ่าน... ท่านที่เคารพ EFW Community มีดีอีกอย่างหนึ่งคือ Event notifications รายงานให้ admin รับทราบเหตุการณ์ผ่าน E-Mail อย่างฉับพลันทันที ของดี ๆ หาก config ไม่ถูกต้องก็อดได้ใช้เหมือนกัน มาดูวิธีการ config ในแบบฉบับของผมครับ 1. ต้อง enable SMTP Proxy และกำหนดค่า Activate smarthost for delivery เสียก่อน Proxy -> SMTPAdvanced -> Activate smarthost for deliverySmarthost address -> smtp.live.comSmarthost port -> 587Smarthost authentication : k.tawich@hotmail.comSmarthost password :xxxxxxxChoose authentication method : PLAIN,LOGIN ในที่นี้ผมใช้ hotmail เป็น Smarthost ท่านอื่นแล้วแต่ถนัด มีเคล็ดลับอยู่ว่า "หากใช้ mail ของ ISP...

Tuesday, July 17, 2012

Encryption EFW Log ฉบับ ก๊วยเตี๋ยวแห้ง

คุณผู้อ่าน... ท่านที่เคารพวันก่อนได้แนะนำให้ encryption log ของ EFW เพื่อให้มีความน่าเชื่อถือไปแล้ว วันนี้มาดูอีกวิธีหนึ่ง ซึ่งใกล้กับความเป็นจริงในการเก็บ log ของ EFW มากที่สุดเหตุผลนั้นหรือ?1. EFW ใช้ logrotae ในการเก็บ log แต่ละวัน2. Log ถูกบีบอัดด้วย gzip ไว้ที่ /var/log/archives 3. Log ใน archives นี่แหละที่ถูกเรียกมาดูย้อนหลังใน GUI ดังนั้นเราจะเก็บไฟล์ log.gz ต่าง ๆ ใน /var/log/archives นี่แหละเอาไปเข้ารหัส ทำการ hasing และจัดเก็บไว้ในที่ปลอดภัยอย่างไร?ศึกษาและทำความเข้าใจไฟล์เหล่านี้1. ไฟล์ /etc/logrotate.conf เก็บ grobal option สำหรับ เรียกใช้จาก application ต่าง ๆโดยแต่ละ application จะมี option เฉพาะอีกใน /etc/logrotate.d/2....

SMTP Proxy ใน EFW โดยใช้ Relay Hotmail

คุณผู้อ่าน... ท่านที่เคารพการส่งเมล์ออกโดยผ่าน EFW นั้นทำได้สองทางคือ ทางหนึ่งผ่าน isp mail ของท่านที่ต่อเชื่อมอยู่ อีกทางหนึ่งนั้นโดยผ่าน mail เจ้าอื่นที่ยอมให้ relay ได้ ซึ่งจะแสดงวิธี setup relay ผ่าน hotmail เป็นตัวอย่าง....ให้ตรวจเช็คไฟล์ /var/log/maillog ในขณะ setup จะทำให้ได้อรรถรสในการชมมากขึ้น1. เบื้องต้นเลย EFW จะมี warning : unable to look up public/pickup: No sush file or directoryให้แก้ไขด้วยคำสั่ง mkfifo /var/spool/postfix/public/pickup2. ไปที่ Proxy -> SMTPAdvanced : Activate smarthost for deliverySmarthost address : smtp.live.comSmarthost port : 587Smarthost authentication : email@hotmail.comSmarthost password :xxxxxxxChoose...

Sunday, July 15, 2012

Encryption Log ของ Endian Firewall เพื่อให้มีความน่าเชื่อถือในชั้นศาล

คุณผู้อ่าน... ท่านที่เคารพ Log ของ EFW ที่เราเก็บตามพรบ.นั้นเป็น raw log ที่ยังเข้าถึงง่าย และแก้ไขได้ จะเป็นหลักฐานที่ไม่มีความน่าเชื่อถือในชั้นศาล เท่ากับเก็บ log ไม่ถูกต้องมาแต่แรก... การเก็บ Log จึงควรสร้างความน่าเชื่อถือด้วยการเข้ารหัส (encryption) และตรวจสอบความถูกต้องว่า log นั้นไม่มีการแก้ไขใดๆเมื่อถึงมือศาล (hashing) ใน EFW เราใช้ openssl เข้ารหัสและทำการ hashing โดยมี concept ดำเนินการดังนี้ 1. generate random password เพื่อใช้ประกอบกับ openssl ในการเข้าและถอดรหัส 2. กำหนดตัวแปรวันที่เพื่อใช้เป็น label ให้กับไฟล์ที่จัดเก็บ 3. เข้ารหัสไฟล์ access.log , firewall ติด date label 4. สร้าง file.info ประกอบเพื่อบ่งชี้รหัส hashing กับ พาสเวิร์ดสำหรับการถอดรหัสไฟล์ 5. จัดเก็บในสื่อที่เหมาะสม ตัวอย่างคำสั่ง กำหนดตัวแปรวันที่เพื่อใช้ประกอบไฟล์ TODAYDAT=`date +%Y-%m-%d-%H%M%S` Gengerate...

Tuesday, July 10, 2012

Endian Firewall ใช้ Dyndns ได้เยอะ ไม่ต้องง้อ Dyndns

คุณผู้อ่าน... ท่านที่เคารพ เมื่อ dyndns.org ไม่ฟรีอีกต่อไป เราก็อย่าง้อมากนัก โดยเฉพาะ EFW มีทางเลือกให้ใช้ Dyndns ตั้งหลายเจ้า ไม่เชื่อลองดูที่ drop down menu หัวข้อ Service -> Dynamic DNS ดูซิครับ วันนี้ผมจะแนะนำให้ใช้ freedns.afraid.org ด้วยขั้นตอนเสร็จสิ้นภายในถ้วยกาแฟเดียว ลองดูตามนี้ 1. สมัคร freedns.afraid.org เสียก่อนโดยกรอกข้อมูลและ activate ผ่าน E-mail 2. สร้าง sub domain เลือกหัวข้อ Subdomains ที่เมนูด้านซ้ายมือ For Member คลิก Add เข้าไป Type: A Subdomain: <ตั้งชื่อ> Domain: crabdance.com(public) Destination : ก็จะเป็นหมายเลขไอพี ADSL ของคุณตอนนี้เอง เสร็จแล้ว Save 3. เอาชื่อและ  พาสเวิร์ดของคุณมาตั้งใน EFW...

Allow Some Web and Block All Web with Endian Firewall 2.5

คุณผู้อ่าน... ท่านที่เคารพ ด้วยแนวคิดให้ผู้ใช้บางกลุ่มใช้งานได้บางเว็บเท่านั้น และผู้ใช้บางกลุ่มใช้งานได้ทุกเว็บโดยไ่ม่มีข้อจำกัด สำหรับ EFW อาจจะมีหลายวิธี แต่... สำหรับผม นี่คือวิธีที่ได้ผล และทดสอบแล้ว Block All WEB 1. สร้าง profile ใน contenfilter เลือก Custom black - and whitelists ใส่ ** (ดอกจันสองตัว) ในช่อง Block the following sites แล้วตั้งชื่อ profile เอาไว้ -- file ที่ถูก update คือ /etc/dansguardian/profiles/x/bannedsitelist_custom -- เป็นการ block ด้วย profile ใน dansguardian rule Allow Some WEB 2. สร้าง Access Policy กำหนดค่า Source Type : Zone -> GREENDestination Type : DomainInsert Domain : ตัวอย่าง (ต้องมี จุด นำหน้าด้วย) .google.co.th.google.com.gmail.com.gstatic.com.yahoo.com.live.com.hotmail.com Authention...

Monday, July 9, 2012

VPN Site to Site ด้วย Endian Firewall 2.5.1

คุณผู้อ่าน... ท่านที่เคารพ อันเนื่องมาจาก project ที่นี่ จึงขอบันทึกการ setup ด้วย Endian Firewall 2.5.1 เป็นตัวอย่างไว้ ข้อกำหนด คอมพิวเตอร์ทั้งสอง net ตัองสื่อสารถึงกันได้ในระดับ client EFW : 192.168.0.15 เป็น VPN Server EFW : 192.168.1.254 เป็น VPN Client GW2GW ทั้งสองฝั่งใช้ internet แบบ Dynamic ไม่ fixed IP ใช้ dyndns เพื่ออ้างอิงชื่อ และ setup router ให้เป็น bridge mode เมื่อเข้าใจ network diagram แล้ว กำหนดค่าต่าง ๆ ได้ดังนี้ ที่ EFW : 192.168.0.15 VPN -> OpenVPN server OpenVPN server -> Tick Dynamic IP pool start address: 192.168.0.110 Dynamic IP pool end address: 192.168.0.120 Note : จะต้องกำหนดให้ EFW ให้บริการ...

Thursday, July 5, 2012

Tracking Email เมื่อ Request Read Receipt ไม่ได้ผล

คุณผู้อ่าน... ท่านที่เคารพ การ tracking email ด้วย Option "Request Read Receipt" ใน ZD จะได้ผลก็ต่อเมื่อฝั่งผู้รับ "เปิดใจ" ที่จะเปิด option นี้ด้วยใน mail client ของตนเอง ซึ่งยากกกส์... มาก เพราะ 1. เมล์ปลายทางเป็น gmail , hotmail หรือ yahoo ซึ่งไม่ได้เปิด option เป็นค่าปกติ ผู้ใช้ต้องไปหาเปิดเอาเอง 2. ถึงจะใช้ outlook ผู้ใช้ก็ไม่ค่อยเปิด 3. เป็นสิทธิ์ส่วนตัวของผู้รับที่จะเปิดหรือปิด option นี้ ฯลฯ.... ทำให้การ tracking โดยวิธีปกติ ใน ZD ไม่ได้ผล หากเป็นการใช้ email ภายในองค์กรเอง ผู้บริหารควรกำหนด policy การเปิดเมล์แบบนี้ไว้ด้วย เพื่อประโยชน์ในการสื่อสาร การตามงาน และการทำสัญญาต่าง ๆ เป็นต้น เมื่อวิธีปกติไม่ได้ผล เราก็เลี่ยงไปใช้วิธีอื่น...

สร้าง Iptables Rules ใน Endian Firewall เพิ่มเติมเอง

 คุณผู้อ่าน.... ท่านที่เคารพ ใน Endian Firewall ใช้ Iptables เป็นหัวใจเลยก็ว่าได้ในการกำหนด policy ต่าง ๆ ใช้ filter และ nat เป็นหลัก โดย EFW กำหนด chain ต่าง ๆ ไว้ดังนี้ filter: Chain CUSTOMFORWARD Chain CUSTOMINPUT Chain CUSTOMOUTPUT nat: Chain CUSTOMPOSTROUTING Chain CUSTOMPREROUTING ตรวจสอบ iptables rules ด้วยคำสั่ง  iptables -L CUSTOMFORWARD -nv เป็นต้น การสร้าง rules เข้ามาใหม่ 1. สร้าง script สำหรับ iptables ขึ้นมาใน /etc/rc.d/start ตัวอย่างใช้ชื่อว่า 99customfirewall # cd /etc/rc.d/start # vi 99customfirewall 2. เพิ่มคำสั่ง iptables กำหนด rule ต่าง ๆ ตัวอย่าง #!/bin/sh /sbin/iptables -A CUSTOMFORWARD -s 222.222.222.222 -d 172.16.10.0/24 -j ACCEPT ## Deny Yahoo Messenger packets: /sbin/iptables -A CUSTOMFORWARD -m string --string 'YMSG' --algo bm -j...

Wednesday, July 4, 2012

ทำ Zimbra Desktop ให้ Request Read Receipt อัตโนมัติ

คุณผู้อ่าน...ท่านที่เคารพ ใน Zimbra Desktop เราจะต้องคลิกถูกที่ Request Read Receipt จากเมนู Option ทุก ๆ ครั้งในการเขียนเมล์ใหม่ ถ้าต้องการให้ Request Read Receipt เป็นค่าดีฟอลต์เสมอในการส่งเมล์ สามารถทำได้ครับ โดยเพิ่ม Zimlet Request Read Receipt เข้ากับ ZD มาดูวิธีการทำงานกันครับ 1. ดาวน์โหลด Request Read Receipt จาก http://gallery.zimbra.com/type/zimlet/request-read-receipt 2. ใน ZD เลือกแทบ Preferences ---> เลือก Zimlets จากเมนู All Accounts ที่ด้านซ้ายมือ ---> ที่ Install a Zimlet เลือกไฟล์ com_zimbra_p11_request_read_receipt.zim โดยการ Browse... แล้วคลิก Upload File  ---> ZD จะทำการ deploy zimlet และแสดงข้อความ...

Tuesday, July 3, 2012

Turn On Sync Spam Folder ใน Zimbra Desktop

คุณผู้อ่าน...ท่านที่เคารพ ค่าดีฟอลต์ของ zimbra desktop ไม่ดึงเมล์จากโฟลเดอร์สแปมใน gmail มา ( turn off sync ) บ่อยครั้งที่เมล์สำคัญ ๆ ไปอยู่ในโฟลเดอร์สแปม โดยเฉพาะเมล์จากลูกค้ารายใหม่ ๆ ที่มักไปเข้าสแปมเสมอ เมื่อ ZD ไม่ sync กับโฟลเดอร์สแปม ทำให้พลาดโอกาสได้รับเมล์สำคัญ ๆ ดังว่ามานั้น กรณีนี้คุณสามารถ Turn  Sync On หรือ  Off  เฉพาะโฟลเดอร์ดังกล่าวใน ZD ได้โดยคลิกขวาที่โฟลเดอร์ที่ต้องการใน ZD เพื่อให้เปิด popup menu ขึ้นมาแล้วเลือก Turn  Sync On โปรแกรม ZD จะดึงเมล์จากโฟลเดอร์ปลายทางมาทันที Turn  Sync On หรือ Off ยังเกิดประโยชน์กับโฟลเดอร์อื่น ๆ ที่เราไม่ต้องการให้ดึงลงมา หรือต้องการดึงมาเฉพาะบางโฟลเดอร์ก็ได้ ทั้งนี้ขึ้นอยู่กับความต้องการและการประยุกต์ใช้งานของแต่ละท่าน.... ตถตา........

Setup Hotmail ใน Zimbra Desktop

คุณผู้อ่าน... ท่านที่เคารพ ใน Outlook เข้าถึง hotmail โดยใช้ Outlook Connector สำหรับ Zimbra Desktop ทำได้โดยการเข้าถึง hotmail ในแบบ pop มาดูวิธี setup ดังนี้ 1. คลิกที่ Setup มุมบนขวามือของ ZD เลือกแทบ Add New Account 2.  เลือกตามนี้ครับ Account Type: POP Account Name:Tawich.Hotmail  Your Full Name: Tawich Boondhum Email Address: k.tawich@hotmail.com User Name: k.tawich@hotmail.com Password: xxxxxxxxx Incoming Server: pop3.live.com Port: 995 Security: SSL SMTP Server: smtp.live.comPort: 25 or 587 ( ส่วนใหญ่จะได้ที่ 587)Security: With SSL or Without SSL (tried both) ส่วนใหญ่จะได้เมื่อเลือกเป็น Without SSL และ port เป็น 587 Authentication:...

Wednesday, June 27, 2012

สร้าง policy Endian Firewall สำหรับ ERP บน Cloud (Project)

บริษัทมีสองสาขา ที่สำนักงานใหญ่มี File Server , Mail , Express และโปรแกรมในการผลิต ใช้ Endian Firewall ในการเก็บ Log และกำหนด Policy การเข้าอินเทอร์เน็ต โดยคอมพิวเตอร์ที่สาขาใช้ VPN เข้ามาใช้โปรแกรมดังกล่าวเป็นบางเครื่อง บริษัทเริ่มใช้โปรแกรม ERP ผ่านอินเทอร์เน็ต โดยกำหนด policy ดังนี้ 1. สร้าง VPN Site to Site โดยใช้ Endian Firewall สองสาขา 2. เพิ่ม อินเทอร์เน็ตแบบ dynamic และ setup EFW ให้เป็น multilink 3. สร้าง policy ให้ผู้ใช้งานในการใช้ File Server , Mail , Express , Internet และ ERP ดังนี้ Policy 1. คอมพิวเตอร์ที่สาขาใช้ File Server , Mail , Express ผ่านอินเทอร์เน็ตเส้น VPN เท่านั้น ในกรณีนี้กำหนดให้ VPN วิ่งที่ Uplink ทั้งสองฝั่ง 2....

Tuesday, June 26, 2012

แยกกล้องวงจรปิด ออกจากอินเทอร์เน็ตเส้นหลักของ Endian Firewall

ใช้เทคนิคเล็กน้อยสำหรับ Endian Firewall ที่มี wan มากกว่าสองเส้น โดยให้เส้นหลัก (ppp0) ใช้สำหรับ internet ทั่วไป และ อินเทอร์เน็ตอีกเส้นหนึ่ง (ppp1) ใช้วิ่งกล้องวงจรปิด หรือ vpn หรือ service อื่น ๆ จากเส้นหลักเพื่อใช้ประโยชน์จากอินเทอร์เน็ตที่มีอยู่ให้คุ้มค่าสูงสุด มีเทคนิคที่เกี่ยวข้องคือ "บังคับให้ dyndns มาอยู่เส้นที่สอง" ให้ได้ ซึ่งปกติการติดต่อไปยัง efw อีกฝั่งหนึ่งโดยใช้ชื่อ dyndns ในอินเทอร์เน็ตที่ไม่ได้ fixed IP  Dyndns จะหมายถึง Main Link ตัวอย่างไซต์งาน ทั้งสี่สาขาต้องการดูภาพกล้องวงจรปิดผ่านอินเทอร์เส้นที่สองโดยใช้ชื่อ dyndns Concept ในการ Setup  ขาเข้าในการเรียกดู cctv  1.  กำหนดให้ dyndns อยู่กับอินเทอร์เน็ตเส้นที่สอง...

Monday, April 9, 2012

iptables กับ Endian Firewall

บันทึกแหล่งอ้างอิงไว้สำหรับใช้งาน 1. Compiling ip6tables on Endian Community Firewall (EFW) 2.4.0 http://home.dataforce.org.uk/2012/02/update-iptables-on-endian-community-firewall-efw-2-4-0/ 2. IPv6 with Endian Community 2.4.0 http://home.dataforce.org.uk/2012/02/ipv6-with-endian-community-firewall-efw-2-4-0/ 3. customize iptables firewall for Endian Firewall http://eduardosilva.eti.br/sysadmin/customizando-o-firewall-do-endian/ 4.How to Use the Endian Console https://endian.zendesk.com/entries/20059377-how-to-use-the-endian-consol...

Monday, April 2, 2012

Error c1041739 when mounting a mailbox store in Exchange 2003

เรื่องของเรื่องก็คือ ไฟล์ mail database (priva1.edb) มีขนาดเกิน 18 GB แล้วตรวจพบใน log เห็น exchange dismout mail store อยู่ จึงได้ทำการ mounting ใหม่ด้วย manual ก็เห็น error ตามที่จั่วหัวไว้นั่นแล วิธีแก้ปัญหา 1.  เปิด command ใน windows ขึ้นมาก่อน  2. เข้าไปยังไดเรกทอรี  C:\Program Files\Exchsrvr\bin ด้วยคำสั่ง   cd "C:\Program Files\Exchsrvr\bin". ทั้งนี้แล้วแต่ว่าคุณจะติดตั้ง exchange ไว้ไดเรกทอรีใด ด้วยนะ  3. ให้ใช้  eseutil /p เพื่อซ่อมไฟล์ .edb file. ในตัวอย่างนี้สมมติว่าไฟล์ .edb อยู่ที่ c:\mail\ ก็แล้วกันครับ เราก็ใช้คำสั่ง  eseutil /p "C:\Mail\priv1.edb" ---- อย่าลืม /p นะครับ eseutil จะทำการสแกนเป็นเปอร์เซ็นต์ให้รอจนกว่าจะเสร็จ...

Twitter Delicious Facebook Digg Stumbleupon Favorites More