ผมจะทำ Server สำหรับให้บาง user สามารถเข้าอินเตอร์เน็ตได้

Submitted by ouychai on 3 June, 2008 - 14:14.

การใช้งานเดเบียน

คือว่างี้ครับ โดนเจ้านายสั่งมาให้ lock เฉพาะบางเครื่องให้สามารถเข้าอินเตอร์เน็ตได้ ผมก็เลยจะเอาเครื่องว่างๆ มาติดตั้ง Debian โดยที่ผมจะสามารถ lock ให้บางเครื่องสามารถเข้าเน็ตได้ โดยอาศัย Mac Adress ที่ระบุไว้ได้หรือเปล่า เพราะแค่ระดับ IP address บางคนก็ปลอมกันได้ง่ายๆ

Re: ผมจะทำ Server สำหรับให้บาง user สามารถเข้าอินเตอร์เน็ตได้

Submitted by neutron on 4 June, 2008 - 09:49.

ได้ครับ ถ้ามีไม่กี่เครื่อง ก็ใช้ iptables จัดการได้เลย

# iptables -A FORWARD -m mac --mac-source A1:B1:C1:D1:E1:F1 -j ACCEPT
# iptables -A FORWARD -m mac --mac-source A2:B2:C2:D2:E2:F2 -j ACCEPT
# iptables -A FORWARD -j DROP

แต่จะให้ดีน่าจะจับคู่กับ IP Address ด้วย เพราะการปลอม MAC Address ก็ไม่ใช่เรื่องยากเช่นกัน

# iptables -A FORWARD -m mac --mac-source A1:B1:C1:D1:E1:F1 -s 192.168.0.11 -j ACCEPT
# iptables -A FORWARD -m mac --mac-source A2:B2:C2:D2:E2:F2 -s 192.168.0.12 -j ACCEPT
# iptables -A FORWARD -j DROP

แต่ถึงอย่างไรการปลอมทั้งสองอย่างก็ทำได้ แต่จะมีผลคือ ระบบจะฟ้องว่ามีการซ้ำกันของ IP Address ในระบบ
ทำให้เราวิเคราะห์ได้ว่า มีคนในองค์กร พยายามที่จะปลอมแปลง IP

แต่ถ้ามีเครื่องจำนวนมาก (> 20 เครื่อง หรือขึ้นอยู่กับการทดลอง) การใช้ iptables สำหรับทำ filter จะช้ามาก ๆ ต้องพึ่งตัวช่วย
อย่างเช่น ipset (http://ipset.netfilter.org) ซึ่งทำงานเร็วกว่า แต่จะมีขั้นตอนในการติดตั้งยุ่งยากนิดหน่อย
เอาเป็นว่า ถ้าจะใช้ ipset เราก็มาจับเข่าคุยกันอีกทีละกันครับ :)

___
Neutron: Linux Addict!

Re: ผมจะทำ Server สำหรับให้บาง user สามารถเข้าอินเตอร์เน็ตได้

Submitted by ouychai on 23 June, 2008 - 15:55.

ผมลองดูแล้ว ผลคำสั่ง เป็นแบบนี้หรือเปล่าครับ
localproxy:/home/ouychai# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT 0 -- MyDslModem.local.lan anywhere MAC 00:01:38:6E:3C:77
ACCEPT 0 -- FreeNet.local anywhere MAC 00:02:44:7A:95:FA
DROP 0 -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
localproxy:/home/ouychai#

แต่พอทดลองแล้ว ปราฏำว่า มันกันไมไ่ด้อะครับ
ผมลืมบอกไป คือว่าผมจะใช้ การ์ดแลนสองใบ อีกอันหนึ่งต่อเข้า ADSL router modem อีกใบต่อเข้า Hub
แล้วผมก็ set squid เป็น proxy แล้วนะครับ แล้ว proxy สามารถใช้งานได้แล้ว ครับ ขาดแต่จะทำยังไงให้สามารถให้เลือกเฉพาะเครื่องที่เราต้องการเท่านั้น ที่จะสามารถใช้ proxy ได้

ประธานกลุ่มคอมพิวเตอร์และอินเตอร์เน็ต
121 ม.3 ต.สง่าบ้าน อ.ดอยสะเก็ด
จ.เชียงใหม่ 50220
www.sangaban.org

Re: ผมจะทำ Server สำหรับให้บาง user สามารถเข้าอินเตอร์เน็ตได้

Submitted by apiwatk on 25 June, 2008 - 10:00.

อันนี้ ลอง ปิด proxy ก่อน นะครับ เพราะที่ user เล่นได้ น่าจะมาจาก proxy นะครับ

http://www.khonthaihost.net
Project รับแก้ไขระบบ อินเตอร์เน็ตให้ โรงเรียนฟรี เฉพาะ (เมือง สันทราย หางดง สันกำแพง แม่ริม สันป่าตอง) จังหวัดเชียงใหม่ ครับ
ถ้านอกเหนือจากนั้น ขอ คุยดูก่อนครับ