ตอนที่2: การใช้งาน pfSense Firewall (VDO Tutorial)

pfSense Firewall Configuration สำหรับวีดีโอนี้ค่อนข้างละเอียดพอสมควร ฉะนั้นไฟล์วีดีโอก็เลยใหญ่ไปนิดหน่อยประมาณ 35.17MB ความยาว 18 นาที เหมาะมากสำหรับผู้เริ่มต้นใหม่ และผู้ที่กำลังมองหา firewall สำหรับ SME ทนดูหน่อยก็แล้วกันนะครับ

หัวข้อการบรรยาย

Setup Wizard
General Setting (SSH, HTTPS etc.)
Firewall Rule (LAN, WAN)

โหลดไฟล์คุณภาพสูง วีดีโอสอนการใช้งาน pfSense Firewall Link-1
ดาวน์โหลดเอกสารที่เกี่ยวข้อง คลิกที่นี่
Ports for Internet Services คลิกที่นี่

  • http://www.laontalk.com laontalk

    แหล่งรวบรวมคู่มือ pfSense – English
    http://doc.pfsense.org/index.php/Tutorials

  • Somsak_Bst

    เป็น web site ที่มีประโยชน์มากครับ นับถือในความีน้ำใจ ผม post ใน Thaiadmin.org มีคนแนะนำ web site นี้ เลยตามมาดู ผมดู vdo ตอนนี้แล้ว น่าจะใกล้เคียงกับสถานการณ์ที่ผมกำลังทดลองอยู่ คือตอนนี้ผมติดตั้ง pfSense 1.2.2 ตามโครงสร้างทั่วไปคือติดตั้งบน Server ที่มี 3 NIC คือ

    1.WAN ใช้ Public IP (องค์กรได้ ip subnet /28 มี IP ใช้ 14 เบอร์ครับ)
    2.LAN ใช้ private IP (192.168.1.0/24)
    3.DMZ หรือใน pfSense เรียก OPT1 ใช้ private IP (192.168.2.0/24) ใน DMZ นี้ จะเอา DNS, Web, Mail ไปไว้ในนั้น รวมทั้ง Centralize Log ตาม พรบ.(อันนี้ไม่แน่ใจว่าจะเหมาะสมหรือเปล่า)

    ลอง set Rules ให้ออก internet ก็ออกไปได้ปกติ แต่ความต้องการพื้นฐานต่อไปนี้ พยายาม หลายสัปดาห์แล้ว ยังทำไม่ได้

    1.browse จาก LAN เข้าไปใน DMZ set ยังไงครับ?

    2.FTP, SSH จาก LAN ไปยัง Server ใน DMZ set ยังไงครับ? เพราะนั่งทำงานใน LAN ต้องการ FTP, SSH ไปยัง Server ต่างๆ ใน DMZ

    3.ใน DMZ เราใช้ private IP แล้ว internet เขาจะ browse web server ของเราได้ยังไง set ยังไงครับ?

    4. เท่าที่เห็นไม่มีบริการ proxy มาใน pfSense, Squid proxy server ควรอยู่ในวง LAN ใช่ไหมครับ ดูๆ ไม่น่าจะเหมาะถ้าจะเอาไปไว้ใน DMZ ?

    ขอบคุณล่วงหน้่าครับ สำหรับคำแนะำนำ ถ้าทำเป็น clip vdo เลยก็น่าจะีดี ผมเชื่อว่าน่าจะมีหลายที่ มีโครงสร้าง network และวางตำแหน่ง firewall ไว้คล้ายๆ แบบนี้ แต่ผมไม่รู้เขา set ไง ให้เข้าหา DMZ จาก LAN ได้ และ internet ก็ browse DMZ ได้ด้วย

  • http://www.laontalk.com laontalk

    รับไว้พิจารณา.. พอดีช่วงนี้งานเข้า เดี๋ยวว่างๆ จะทำเป็น Clip VDO มาโพสต์ให้ครับ

  • pangkung

    ขอบคุณมากครับ

  • thanin

    ขอบพระคุณล่วงหน้าอีกคนครับ

  • kajoo

    จะกำหนด rule ให้ ไอพีหนึ่งเดียว สามารถออกได้ทุกพอร์ต
    และที่เหลือเข้า rules ที่กำหนดไว้ให้หมดเลยทำไงครับ

    • http://www.laontalk.com laontalk

      1. ทำการสร้าง Firewall > Aliases > Type > Network
      โดย type มี 3 ประเภทดังต่อไปนี้
      – Hosts ใส่ IP Address ของโฮสเนม โดยใช้คำสั่ง nslookup ตรวจสอบดู
      – Network ใส่หมายเลข IP Address 192.168.10.200/32
      CIDR Calculator
      – Ports ใส่หมายเลข ports 80, 25, 110 etc.

      2. สร้าง Rule ใหม่ โดยไปที่ Firewall > Rules > LAN
      – กำหนดให้ Source Type > Single host or alias
      – ใส่ชื่อ Alias ที่เราได้สร้างไว้แล้วตามข้อที่หนึ่ง

      คำอธิบายเพิ่มเติม
      การประยุกต์ใช้ Aliases สามารถนำไปใช้ได้ทั้งส่วน Source (ต้นทาง) หรือ Destination (ปลายทาง) เช่น เราต้องการให้ IP x.x.x.200-201 สามารถใช้งาน laontalk.com, xirbit.com เท่านั้น

      เราต้องสร้าง Aliases ขึ้นมา 2 รายการ
      1. Alias name = A, Type > Network = x.x.x.200, x.x.x.201
      2. Alias name = B, Type > Hosts = laontalk.com, xirbit.com (ต้องแปลงโฮสเนมเป็น IP Address)

      3. สร้าง Rules > LAN โดยกำหนดให้
      Source > Type > Single Host or Alias = A
      Destination > Type > Single Host or Alias = B

      คำเตือน!
      การทำงานของ Rules จะต้องเรียงลำดับจากบนลงล่าง

  • kajoo

    อย่าง network ของผม เป็น
    192.168.1.0/24

    ผมต้องการให้ ip 192.168.1.200 สามารถออกได้ทุกพอร์ต
    แล้วที่เหลือ ต้องเข้า rule ที่ตั้งไว้

    ใน Firewall ==> Aliases ==> Type ==> Network ผมต้องใส่ 192.168.1.200
    CIDR ผมต้องใส่ 24 ใช่ไหมครับ

    เรื่องนี้ผมยังไม่ค่อยเข้าใจเท่าไหร่ ขอบคุณสำหรับคำตอบนะครับ

  • http://www.laontalk.com laontalk

    ขอรายละเอียดเพิ่มหน่อยครับ

    1. ต้องการให้ 1 IP (192.168.1.200) สามารถออกได้ทุก ports (OK เข้าใจ)
    2. ที่เหลือให้เ้ข้า Rules ?? คือให้ใช้ได้แค่ smtp, pop3, ftp เท่านั้นเหรอป่าว หรือย่างไร?

  • kajoo

    1. ต้องการให้ 1 IP (192.168.1.200) สามารถออกได้ทุก ports (OK เข้าใจ) ==> ใช่เลยครับ
    2. ที่เหลือให้เ้ข้า Rules ?? คือให้ใช้ได้แค่ smtp, pop3, ftp เท่านั้นเหรอป่าว หรือย่างไร? ==> smtp,pop3,ftp,https,dns.icmp,http ครับ

    • http://www.laontalk.com laontalk

      .
      1. สร้าง Aliases > Network = 192.168.1.200/32
      2. สร้าง Aliases > Ports = 25, 110, 21, 443, 53, 5813, 80 (เช็ค ports อีกทีนะ)
      3. สร้าง Rules > LAN ขึ้นมา 2 รายการ

      Rule ที่ 1
      ———-
      Action: Pass
      Interface: LAN
      Protocol: any
      Source: Single host or alias
      Address: ใสชื่อ alias ตามข้อ 1
      Source OS: any
      Destination: any
      Log: เลือก (ถ้าต้องการ)

      Rule ที่ 2
      ———–
      Action: Pass
      Interface: LAN
      Protocol: TCP/UDC
      Source: LAN Subnet
      Source OS: any
      Destination: Single host or alias
      Address: ใส่ชื่อ alias ตามข้อ 2
      Log: เลือก (ถ้าต้องการ)

  • kajoo

    ขอบคุณครับ ทำได้แล้วครับ

    ส่วน rule อื่น ที่เคยทำไว้ ก้อปิดหมดเลยใช่ไมหครับ

  • http://www.laontalk.com laontalk

    .
    Rules ไหนที่ไม่ได้ใช้ควร Disable หรือลบไปเลย
    เพราะถ้ามีไว้โปรแกรมก็จะเรียกใช้งานทุกครั้ง

  • kajoo

    port ftp เวลาที่ดาวน์โหลด ส่วนใหญ่จะดาวน์โหลดไม่ได้เลยครับ
    แต่ถ้าผมคอนเนคกับเร้าเตอร์โดยตรง สามารถโหลดได้ตามปกติครับ

    มันเป็นอะไรหรือครับ
    ใน รูล ผมก้อเปิด port 21 แล้วนะครับ

    ขอบคุณสำหรับคำแนะนำครับ

  • http://www.laontalk.com laontalk

    .
    ลองดูตามนี้ครับ

    Interfaces > WAN > FTP Helper
    ทำการเลิอก Disable the userland FTP-Proxy application

  • tang

    อยากให้ช่วยสอนการทำ Authen ใน pfsense ให้หน่อยอะครับ เพื่อจะได้ให้คนใช้ ใส่ username password ก่อนเข้าใช้งาน internet อะครับ จะได้รู็ว่าใครไปเว็บไหนมาบ้าง เพื่อเป็นข้อมูลใน log file น่ะครับ

  • kajoo

    ลองทำตามแล้วก้อยังไม่ได้ครับ

  • http://www.laontalk.com laontalk

    K.Kajoo ลองอีกวิธีนะ โดยทดลองเซ็ตตามนี้

    Interfaces > WAN ทำการยกเลิก
    – Block private networks
    – Block bogon networks

    ส่วน FTP Helper ให้เลือกไว้เหมือนเดิม

    ถ้ายังไม่ได้ ช่วย Post วิธีการเซ็ต Rules มาให้ดูหน่อย

    [img]http://www.laontalk.com/wp-content/uploads/2009/05/ftphelper.jpg[/img]

  • kajoo

    ไอพีของผมเซ้ทให้วิ่งออกที่ WAN2 ครับ

    แล้วอีกอย่างนะครับ ผมเปิดใช้งาน firewall ไปประมาณ หนึ่งอาทิตย์ port25 110 ชอบ hang ผมต้อง reboot ถึงจะใช้งานได้ใหม่อ่ะครับม านเกิดจากอะไรหรือครับ

    ขอบคุณล่วงหน้าครับ

    • http://www.laontalk.com laontalk

      K.Kajoo ถ้าเครื่อง Hang Over ก็เกิดได้หลายสาเหตุครับ หลักๆ คงเป็นเรื่องของ Hardware Compatible แนะนำว่าควรเป็น CPU + Chipset Intel ไม่ต้องใหม่มากครับ

      เบื้องต้นลองเปลี่ยน LAN Card หาซื้อมือสอง Chipset Intel ได้ยิ่งดี, ถ้ายังไม่หายคงต้องเปลี่ยน Mainboard ล่ะที่นี้

      ผมใช้เครื่องมือสองจากตะวันนา Baby Case ราคา 3,000 บาท เปิดมา 2 ปีไม่เคยปิดเลย
      รายละเอียด H/W Compatible List

      http://www.freebsd.org/releases/7.0R/hardware.html

  • kajoo

    เครื่องผมใช้ PowerEdge SC430 การืดแลนของ SMC ซื้อมาใหม่เลยครับ

  • kajoo

    นี่คือ rules ของผมครับ[img]http://www.laontalk.com/wp-content/uploads/2009/06/pf_rules.jpg[/img]

  • kajoo

    แล้วอีกอย่างนะครับ ที่ขา WAN2 ถ้่าผมใช้งานผ่าน pfsense มันชอบมีอาการ loss อ่ะครับ คือว่า เวลาที Browse
    จะใช้งานไม่ได้ รอสักไม่กี่วินาที ก้อจะใช้งานได้ตามปกติ

    แต่ถ้าผมต่อตรงจากเร้าเตอร์ จะใช้งานได้ตลอดเลยครับ

  • kajoo

    โอเคครับ อาการ loss ผมแก้หายแล้วครับ เหลือแต่ port21 ที่ออกทาง WAN2 เท่านั้นครับ ถ้าผมเปลี่ยนเป็น WAN ถ้าสามารถใช้งานได้ตามปกติครับ

    • http://www.laontalk.com laontalk

      ดีใจด้วยครับ ตกลงปัญหามันเกิดจาก H/W หรือ Configuration ครับ ช่วยชี้แจงหน่อย เผื่อปัญหาอาจตรงกับท่านอื่นๆ

  • kajoo

    มานเป็นที่ HW ครับ lan card ไม่ค่อยจะดีครับ เปลี่ยนอันใหม่ ใช้ได้เลยครับ

    • http://www.laontalk.com laontalk

      โอว์.. แหล่มเลยครับพี่น้อง

  • kajoo

    แล้วport ผมจะแก้อย่างไรอ่ะครับ
    ถ้าผมเลือก gateway เป็น wan1 สามารถใช้งานได้
    ถ้าเลือกเป็น wan+wan2 หรือ wan2 ไม่สามารถใช้งานได้ครับ

  • http://www.laontalk.com laontalk

    ถ้าผมมีเน็ต 2 เส้นก็จะช่วยทดสอบให้อยู่หรอก อีก port หนึ่งที่คาดว่าน่าจะมีปัญหาคือ (HTTPS) 443 ได้ลองแล้วหรือยังครับ

    รายละเอียดเพิ่มเติมลองดูตามนี้ครับ
    http://doc.pfsense.org/index.php/Multi_WAN_/_Load_Balancing
    http://doc.pfsense.org/index.php/MultiWanVersion1.2

    ถ้าลองทุกวิธีแล้วไม่ได้จริงๆ คงต้องใช้ WAN1 ล่ะ, เพื่อนๆ คนไหนใช้ Multiwan เจอปัญหานี้บ้างหรือป่าว ช่วยไขข้อข้องใจหน่อย

  • teekaou

    อยากรบกวนสอบถามเรื่อง Loadbalance นะครับ

    ตอนนี้ปัญหาคือ

    หากเราเปิดเครื่อง เมื่อใช้งาน internet ปกติ

    หากสักพัก มี WAN เส้นใดหลุดไป

    Internet จะไม่ Auto ในการเปลี่ยนเส้นทางออกเน็ต

    ต้องทำการ restart เครื่อง เพื่อให้ pfsense รู้ว่ามีเส้นนึงเสีย จึงจะทำการ switch line ให้นะครับ

    ไม่ทราบว่า มีวิธีการให้มันทำการตรวจสอบเรื่อยๆ ไหมครับ

    รบกวนด้วยนะครับ

    ขอบคุณครับ

  • http://www.laontalk.com laontalk

    ฟังดูแล้วอาการมันงึกๆ งักๆ ใช่ไหมครับ อย่างนี้มันต้องปรึกษา ปอยฝ้ายละมั้ง ถ้าจำเป็นต้องถอน คงต้องถอนรากถอนโคนเลยทีเดียว

    ผมขอวิเคราะห์ปัญหาแบบละอ่อน ดังนี้

    1. การ Configuration

    2. Hardware

    pfSense มีคุณสมบัติหนึ่งเรียกว่า Sticky Connection แปลว่า เกาะหนึบ ติดทนนาน
    ถ้ามั่นใจว่า Configuration ไม่พลาด คงต้องเป็นข้อ 2 ล่ะครับ

    เบื้องต้นเปลี่ยน LAN Card ก่อนเลย ถ้าแก้ได้แล้วช่วยมาตอบเพื่อท่านอื่นด้วยนะครับ

  • http://www.laontalk.com laontalk

    .
    Multi-WAN Rules แบบละอ่อนครับ

    [img]http://www.laontalk.com/wp-content/uploads/2009/06/multi-lan-rule.jpg[/img]

    Choose one of the following:
    1) FTP incoming or outgoing is impossible with Multi-WAN on either WAN
    interface
    2) FTP is impossible on Multi-WAN incoming, but possible outgoing only
    through WAN1
    3) FTP is impossible on Multi-WAN incoming, but possible outgoing through
    either WAN (the lb gateway)
    4) FTP is possible on Multi-WAN incoming and outgoing only through WAN1
    5) FTP is possible on Multi-WAN incoming only through WAN1 and outgoing
    through either WAN (the load balance gateway)

  • mrprasit

    ครับปัญหาคลายกัน
    ของผมคือ ADSL ,Lesed line
    rule
    sub net port 21 > Leased line Ok ได้อันเดียว
    sub net port 443 > Leased line ไม่ได้ time out ตลอดครับ
    port อื่นก็เหมือนกันครับ

    แต่ถ้าใช้
    sub net port * > ADSL or Leased line ผ่านหมดครับ

    ทอสอบใช้ Aliases มาช่วยก็หมดเหมือนเดิม
    ผมไม่แน่ใจว่าเป็นที่ vl.ของ pfsense หรือเปล่า ผมใช้ 1.2-RELEASE

    แนะนำด้วยครับ ขอบคุณครับ

  • http://www.laontalk.com laontalk

    แนะนำให้ upgrade เป็นเวอร์ชั่น 1.2.3 RC1 ครับ ไม่มีปัญหาเรื่อง Secure website ยกเว้น FTP อย่างเดียว วิธีแก้ไขปัญหา FTP เหมือนตัวอย่าง Rule ที่โพสต์ไว้ครับ

  • chaiburee

    เป็นสุดยอดเว็บจริงๆครับ webmaster ขยันจริงๆ นับถือมากครับ

  • PPP

    …..น่าสนใจ

  • http://www.computerguru-online.com Forest Prete

    Just landed on this place via Google lookup. I love it. This situation change my perceptual experience and I am obtaining the RSS feeds. Cheers.

  • jacom

    ช่วยแนะนำวิธีทำ DMZ หน่อยครับ ต้องการเอา DNS Server,Web Server,ไปไว้ใน DMZ ครับ พยายามหลายวันแล้วไม่สำเร็จ ขอบคุณครับ

    • http://www.laontalk.com laontalk

      DMZ ทำค่อยข้างยุ่งอยากพอสมควรครับ เท่าที่ผมได้ทดสอบดู เบื้องต้นแนะนำว่าให้อ่านคู่มือ MONO WALL ประกอบ เพราะใช้ิวิธีการเดียวกัน หรือจะใช้บริการของ Laontalk ก็ได้ครับ ยินดีช่วยเหลือ ราคากันเอง

  • mote_ao

    แล้วถ้าผมจะ block 192.168.1.xxx เฉพาะ port 80 ล่ะครับ ผมต้องทำไงครับ

  • arks

    ผมทำตามขั้นตอนทุกอย่างเลย แต่ว่ายังเล่นเน็ตไม่ได้ ~_~ ไม่รู้ไปทำอะไรผิดตรงไหน

  • http://www.laontalk.com laontalk

    พยายามเข้าครับ… ฝึกทดลองและสังเกตทุกขั้นตอน ผมว่าจะต้องเจอทีผิดบ้างล่ะ

  • arks

    เจอที่ผิดแล้วครับ ไม่ได้เปลี่ยนเราเตอร์ให้เป็น brige นั่นเอง พอเปลี่ยนก็เข้าเน็ตได้ตามปรกติ

    แต่ที่นี้จะทำ Load Balance ก็ไป config เราเตอร์ให้เป็น 192.168.0.254 มันก็เล่นเน็ตไม่ได้แล้ว ส่วน wan2 นี่ยังไม่ได้ทำเลยอ่ะครับ หรือว่าต้องทำ wan2 ก่อนถึงจะเข้าเน็ตได้

    ขอบคุณมากนะครับ ได้ความรู้มากเลยจากเวปนี้

  • arks

    อีกข้อนึงคือ พอเราเปลี่ยน ip ของเราเตอร์ให้เป็น 192.168.0.254 แล้ว เล่นเน็ตไม่ได้ มันเกิดจากอะไรเหรอครับ คือเปลี่ยนปุ๊ปก็เล่นไม่ได้เลย

    ทั้ง pppoe และก็ static ก็ยังไม่ได้
    ก็เลยจะเปลี่ยน ip เราเตอร์ให้เป็นแบบเดิม แต่คงทำตอนเย็น ๆ แล้วจะมาถามอีกทีนะครับ ^^

  • qooq

    มือใหม่ กำลังจะใช้ทำที่บริษัท เรียนรู้ใหม่ครับ

  • tain1st

    ระบบของผมเป็นดังนี้ครับ
    [img]http://www.thira-hobby.com/MyFiles/pic/mynet.gif[/img]
    ผมต้องกำหนด rule อย่างไรครับเพื่อให้ computer2 สามารถเข้าไปใช้ทรัพยากรที่แชร์อยู่ใต้ lan ของ pfsense ได้ครับ
    ขอบคุณมากครับ

  • tanoy999

    พยายามเข้าครับ… ฝึกทดลองและสังเกตทุกขั้นตอน ผมว่าจะต้องเจอทีผิดบ้างล่ะ

  • mayyudo

    ขอบคุณมากครับเป็นประโยชน์มากเลย

  • nim

    อยากบล็อ ftp ค่ะ แต่บล็อกไม่ได้ ทำยังงัยค่ะ อยากได้วิธีทำและรูปที่ทำแต่ล่ะขั้นตอนด้วยค่ะ

    ขอบคุณล่วงหน้าค่ะ