หลังจากถูกhack ก็เลยหาวิธีป้องกันมาได้ มันชื่อว่า DenyHosts เอาไว้จะมาเขียนอีกที
ตอนนี้ขอเอา IP พวกมันมาประจานซะหน่อย ฮ่าๆ


# DenyHosts: Mon Oct 26 20:50:11 2009 | ALL: 218.145.128.230
ALL: 218.145.128.230
# DenyHosts: Mon Oct 26 20:50:11 2009 | ALL: 221.195.4.92
ALL: 221.195.4.92
# DenyHosts: Mon Oct 26 20:50:11 2009 | ALL: 61.150.91.36
ALL: 61.150.91.36
# DenyHosts: Mon Oct 26 20:50:11 2009 | ALL: 124.254.14.153
ALL: 124.254.14.153
# DenyHosts: Mon Oct 26 20:50:11 2009 | ALL: 85.18.240.79
ALL: 85.18.240.79
# DenyHosts: Mon Oct 26 20:50:11 2009 | ALL: 200.35.146.176
ALL: 200.35.146.176
# DenyHosts: Mon Oct 26 20:50:11 2009 | ALL: 220.228.145.187
ALL: 220.228.145.187
# DenyHosts: Mon Oct 26 20:50:11 2009 | ALL: 110.172.24.28
ALL: 110.172.24.28
# DenyHosts: Mon Oct 26 23:16:53 2009 | ALL: 211.45.116.13
ALL: 211.45.116.13
# DenyHosts: Tue Oct 27 01:40:02 2009 | ALL: 69.28.51.114
ALL: 69.28.51.114
# DenyHosts: Tue Oct 27 04:19:12 2009 | ALL: 121.14.38.200
ALL: 121.14.38.200
# DenyHosts: Tue Oct 27 05:19:16 2009 | ALL: 202.129.207.28
ALL: 202.129.207.28
# DenyHosts: Tue Oct 27 08:30:59 2009 | ALL: 61.111.245.65
ALL: 61.111.245.65
# DenyHosts: Tue Oct 27 12:57:46 2009 | ALL: 218.106.247.235
ALL: 218.106.247.235
# DenyHosts: Tue Oct 27 20:11:40 2009 | ALL: 113.108.179.6
ALL: 113.108.179.6
# DenyHosts: Wed Oct 28 14:43:21 2009 | ALL: 220.181.21.250
ALL: 220.181.21.250
# DenyHosts: Wed Oct 28 17:44:33 2009 | ALL: 122.160.240.133
ALL: 122.160.240.133
# DenyHosts: Wed Oct 28 18:40:07 2009 | ALL: 220.227.147.130
ALL: 220.227.147.130
# DenyHosts: Thu Oct 29 05:26:19 2009 | ALL: 210.192.123.204
ALL: 210.192.123.204
# DenyHosts: Thu Oct 29 05:36:20 2009 | ALL: 203.117.187.184
ALL: 203.117.187.184
# DenyHosts: Thu Oct 29 05:58:21 2009 | ALL: 125.32.113.212
ALL: 125.32.113.212
# DenyHosts: Thu Oct 29 15:44:29 2009 | ALL: 222.222.68.36
ALL: 222.222.68.36
# DenyHosts: Thu Oct 29 23:05:28 2009 | ALL: 220.90.133.183
ALL: 220.90.133.183
# DenyHosts: Fri Oct 30 00:54:36 2009 | ALL: 61.131.47.117
ALL: 61.131.47.117
# DenyHosts: Fri Oct 30 06:47:39 2009 | ALL: 64.34.188.99
ALL: 64.34.188.99
# DenyHosts: Fri Oct 30 11:06:57 2009 | ALL: 64.34.188.98
ALL: 64.34.188.98
# DenyHosts: Fri Oct 30 12:50:34 2009 | ALL: 116.55.229.226
ALL: 116.55.229.226
# DenyHosts: Fri Oct 30 18:19:56 2009 | ALL: 210.66.55.157
ALL: 210.66.55.157
# DenyHosts: Fri Oct 30 21:22:38 2009 | ALL: 219.219.118.101
ALL: 219.219.118.101
# DenyHosts: Sat Oct 31 02:01:57 2009 | ALL: 222.73.124.225
ALL: 222.73.124.225
# DenyHosts: Sat Oct 31 08:11:52 2009 | ALL: 203.153.189.106
ALL: 203.153.189.106
# DenyHosts: Sat Oct 31 08:25:23 2009 | ALL: 222.77.187.20
ALL: 222.77.187.20
# DenyHosts: Sat Oct 31 11:07:04 2009 | ALL: 67.223.234.88
ALL: 67.223.234.88
# DenyHosts: Sat Oct 31 13:31:43 2009 | ALL: 219.141.147.67
ALL: 219.141.147.67
# DenyHosts: Sat Oct 31 15:20:21 2009 | ALL: 87.22.202.114
ALL: 87.22.202.114
# DenyHosts: Sat Oct 31 20:23:11 2009 | ALL: 222.247.56.18
ALL: 222.247.56.18
# DenyHosts: Sun Nov 1 01:36:33 2009 | ALL: 202.186.13.230
ALL: 202.186.13.230
# DenyHosts: Sun Nov 1 04:49:16 2009 | ALL: 68.167.41.234
ALL: 68.167.41.234
# DenyHosts: Sun Nov 1 18:16:11 2009 | ALL: 212.122.224.24
ALL: 212.122.224.24
# DenyHosts: Mon Nov 2 02:43:45 2009 | ALL: 60.6.38.217
ALL: 60.6.38.217
# DenyHosts: Mon Nov 2 04:02:51 2009 | ALL: 61.50.139.122
ALL: 61.50.139.122
# DenyHosts: Mon Nov 2 07:32:35 2009 | ALL: 122.225.109.44
ALL: 122.225.109.44
# DenyHosts: Mon Nov 2 08:50:11 2009 | ALL: 128.123.225.143
ALL: 128.123.225.143
# DenyHosts: Mon Nov 2 13:18:59 2009 | ALL: 139.182.139.116
ALL: 139.182.139.116
# DenyHosts: Mon Nov 2 15:03:07 2009 | ALL: 193.140.77.40
ALL: 193.140.77.40
# DenyHosts: Mon Nov 2 23:00:40 2009 | ALL: 118.102.25.161
ALL: 118.102.25.161
# DenyHosts: Tue Nov 3 15:31:18 2009 | ALL: 58.83.163.20
ALL: 58.83.163.20
# DenyHosts: Tue Nov 3 17:28:57 2009 | ALL: 201.22.213.71
ALL: 201.22.213.71
# DenyHosts: Tue Nov 3 21:42:46 2009 | ALL: 218.25.63.254
ALL: 218.25.63.254
# DenyHosts: Wed Nov 4 05:25:19 2009 | ALL: 61.50.134.141
ALL: 61.50.134.141
# DenyHosts: Wed Nov 4 20:06:49 2009 | ALL: 60.12.200.22
ALL: 60.12.200.22
# DenyHosts: Wed Nov 4 21:21:55 2009 | ALL: 202.104.183.2
ALL: 202.104.183.2
# DenyHosts: Wed Nov 4 22:14:58 2009 | ALL: 60.199.248.136
ALL: 60.199.248.136
# DenyHosts: Thu Nov 5 02:25:16 2009 | ALL: 80.75.1.194
ALL: 80.75.1.194
# DenyHosts: Thu Nov 5 05:24:29 2009 | ALL: 221.148.81.45
ALL: 221.148.81.45
# DenyHosts: Thu Nov 5 16:03:43 2009 | ALL: 124.207.145.250
ALL: 124.207.145.250


ทำอะไรมันไม่ได้ เอามาประจานซะเลย เซ็ง…

ร้องเพลง”รอ”มานานพอสมควร Endian Firewall Community 2.2 RC3 ก็ออกมาจนได้ RC นี้มีการแก้บักเยอะเลย ใครที่ใช้ EFW 2.2 RC2 อยู่แล้วเจอปัญหาตามบักด้านล่างนี้ร้องไชโยกันได้แล้วครับ

- 0001329: [Proxy HTTP] havp needs to be upgraded due to chunked header problem (peter) - closed.
- 0001276: [Proxy SMTP] error relaying denied on whitelistet IP/CIDR (xed0) - closed.
- 0001274: [Network related (VPN, uplinks)] When a change to OpenVPN is made, restart is needed (peter) - closed.
- 0001199: [Security] openswan: upgrade to 2.4.13 (peter) - closed.
- 0001192: [Hardware related (kernel, drivers, hardware)] removeing tap device from bridge freezes the machine (peter) - closed.
- 0001189: [GUI] All version 2 .2 (peter) - closed.
- 0001180: [Other Scripts] Generation of SSL Certificates in httpd init script pass invalid files for "rand" parameter (peter) - closed.
- 0001178: [GUI] netwizard.cgi step 7/7 display a // (peter) - closed.
- 0001278: [Network related (VPN, uplinks)] local uplink routes need to have precedence (peter) - closed.
- 0001289: [Application Level Proxies] DNS Proxy: bypass transparent proxy is not case insensitive for mac addresses (peter) - closed.
- 0001328: [GUI] DNS proxy transparent source bypass can't be emptied (peter) - closed.
- 0001327: [Network related (VPN, uplinks)] RFC1483 uplinks don't come up (peter) - closed.
- 0001305: [GUI] gui language selection displays an empty line only with 2 brackets (peter) - closed.
- 0001301: [Firewall (iptables)] ping the firewall from extern stops after 5 pings (peter) - closed.
- 0001297: [Installation] Installing endian-core breaks installation process (lukas) - closed.
- 0001294: [GUI] Service Notifications don't work in IE7 (lukas) - closed.
- 0001293: [Other Services] Enable snort without zones displays info + error box (lukas) - closed.
- 0001292: [GUI] Non-USB stick backup doesn't display notfications (lukas) - closed.
- 0001177: [GUI] proxyauth.cgi -> white text on white bg (simon) - closed.
- 0001168: [GUI] Pressing enter on initial wizard's change password screen skips the wizard (simon) - closed.
- 0001020: [GUI] generic spinner for gui (lukas) - closed.
- 0000948: [Network related (VPN, uplinks)] DNS not working (peter) - closed.
- 0000943: [Other Services] clamd and havp services using 100% CPU (peter) - closed.
- 0000923: [Firewall (iptables)] setxtaccess: sometimes it does not create rules because of the iptablesxtaccess cache file. (peter) - closed.
- 0000678: [Firewall (iptables)] ipac: creates multiple rules instead of only one per ipac type (peter) - closed.
- 0001100: [Proxy HTTP] label change in proxy settings (simon) - closed.
- 0001167: [Hardware related (kernel, drivers, hardware)] Fritz ISDN Version 2.1 / 3.0 is not working / firmware is missing (xed0) - closed.
- 0001166: [GUI] policyrouting.cgi: does not yell if you enter an invalid value into the ToS field (simon) - closed.
- 0001165: [GUI] Labels are interchanged in Logs > Settings > Firewall logging (peter) - closed.
- 0001164: [Other Services] Do not multiple ip ( aliases ) submit. (peter) - closed.
- 0001156: [Proxy HTTP] frox: lacks possibility to bypass (chris) - closed.
- 0001146: [Proxy HTTP] proxy can't be used from localhost when no parent cache has been defined (simon) - closed.
- 0001121: [GUI] Traffic/System graphs not updated if file timestamp in the future (xed0) - closed.
- 0001120: [GUI] snat.cgi: need to force the user to configure something as destination (simon) - closed.
- 0001119: [Security] dnsmasq: needs update (peter) - closed.
- 0000437: [Network related (VPN, uplinks)] PPP* uplink types need the possibility to supply "additional ip addresses" (peter) - closed.
- 0001059: [Network related (VPN, uplinks)] uplinks: scripts need to get rid of additional ip addresses (peter) - closed.
- 0001057: [Network related (VPN, uplinks)] interfaceeditor: add the possibility to configure additional ips to each uplink type (simon) - closed.

ประสพการณ์ส่วนตัวที่เจอปัญหากับ EFW 2.2 RC2 หนักๆก็ เกี่ยวกับ Proxy และ dnsmasq ต่อไปนี้ก็คงหาเวลาอัพเกรทกันแล้วล่ะ

ดาวน์โหลดแบบเร็วๆได้ที่

http://www.endian.com/

http://mnc-corp.com server อยู่ในประเทศไทย

วันนี้ผมเลยเอาภาพกราฟ การใช้งานของระบบในสองสภาวะ มาให้ดู นั่นคือ

1 สภาวะที่บ้านผม Server spac ดังนี้

CPU : model name      : Intel(R) Celeron(TM) CPU                1100MHz
stepping        : 1
cpu MHz         : 1102.534
cache size      : 256 KB
bogomips        : 2206.31
RAM : 512804 kB
ผู้ใช้ : 25 เครื่อง

จากรูปข้างบนเป็นระบบที่บ้านผม การใช้งานก็ถือว่าดีนะครับ และถ้าดูจากกราฟก็ถือว่าลงตัว มีการใช้งาน Swap นิดหน่อย อันเนื่องมาจาก RAM ขนาด 512 Mb ที่ติดตั้งอยู่นั้น พอดิบพอดีเลยเชียว ส่วนการทำงานก็ CPU ก็กำลังดีเลย

2 สภาวะที่ทำงาน Server spac ดังนี้

CPU : model name      : Intel(R) Pentium(R) 4 CPU 3.20GHz
stepping        : 5
cpu MHz         : 3211.567
cache size      : 2048 KB
bogomips        : 6422.74
RAM : 1034216 kB
ผู้ใช้ : 60 เครื่อง

ส่วนตัวนี้ CPU เหลือๆแม้จะมีจำนวนผู้ใช้มากถึงประมาณ 60 คน แต่สิ่งที่เกือบจะไม่พอเสียแล้วกลับเป็น RAM ขนาด 1 GB ซึ่งแน่นอนว่าหากมีจำนวนผู้ใช้งานมากขึ้นกว่านี้ หากต้องการให้การทำงานดีขึ้น RAM ก็ควรจะเพิ่มเป็น 2 GB ไปเลย

ผมเอามาให้ดูกันเพื่อเป็นแนวทางนะครับ นี่คือจากสภาวะการใช้งานจริงครับ

Endian Firewall Community release 2.2 ที่ออกมามีfeatureเพิ่มขึ้นมามากพอควร หนึ่งในนั้นที่เป็นที่นิยมชมชอบของผมคือ multi wan port และได้นำไปประยุคใช้งานบ้างแล้ว แต่ก็ติดนิดนึงตรงที่ว่า การทำ ddns หรือ dynamic dns นั้นสามารถทำได้แค่ wan แรกเท่่านั้น ถึงแม้ตอนนี้มีการแก้บักมาถึง rc.2 แล้ว และมีการพูดถึงเรื่องนี้บ้างและแอบเห็นว่ามีการแก้ปัญหาบ้างแล้ว เช่นบักที่ 0000979 แต่ที่จะเขียนนี่เอาเป็นวิธีของผมเอง

wan1 หรือ main uplink นั้นสามารถคอนฟิกได้ปกติอยู่แล้ว จึงเขียนถึง wan2 โดยการเตรียมการดังต่อไปนี้

ผมใช้วิธีการเชื่อมต่อผ่าน PPPOE โดยมีชื่อ interface เป็น ppp1

ใช้โปรแกรมอัพเดท ddns ชื่อ ddclient ver. 3.7.3 ดาวน์โหลด

และก็ต้องมีการใช้งาน ddns จาก dyndns.com ด้วยนะครับ

เริ่มจาก

1. ดาวน์โหลดโปรแกรม ddclient มาและuploadไปไว้บนเครื่องendian firewall

2. สร้างคอนฟิกไฟล์ ddclient.conf โดยอาจจะใช้ตัวช่วยนี้ในการสร้้างซึ่งจะได้คอนฟิกออกมาประมาณนี้โดยมีเนื้อหาภายในประมาณนี้

## ddclient configuration file
daemon=600                  # check every 600 seconds
syslog=yes                  # log update msgs to syslog
mail-failure=wutthiphan@gmail.com # Mail failed updates to user
pid=/var/run/ddclient.pid   # record PID in file.
 
## Detect IP with our CheckIP server
use=if, if=ppp1
#use=web, web=checkip.dyndns.com/, web-skip='IP Address'
 
## DynDNS username and password here
login=mylogin
password=mypassword
 
## Default options
protocol=dyndns2
server=members.dyndns.org
 
## Dynamic DNS hosts
mydomain.dyndns.org

สร้างเสร็จแล้วเอาไปไว้ที่ /etc/ddclient/ddclient.conf  จบเรื่องคอนฟิกไป

3. แตกไฟล์ ddclient-3.7.3.tar.bz2 จะเห็นไฟล์ ddclient ที่เป็น perl script ให้ย้ายไปไว้ที่ /usr/sbin

4. อย่าลืมสร้างพาร์ท /var/cache/ddclient

5. ทดสอบการทำงานโดยสั่ง

/usr/sbin/ddclient -daemon=0 -syslog -quiet retry

หากทำงานได้ก็เรียบร้อย

6. คราวนี้ต้องการให้มันมีการอัพเดทก็ต่อเมื่อมีการได้ไอพีใหม่ของ interface ppp1 ก็โดยการเอาคำสั่ง

/usr/sbin/ddclient -daemon=0 -syslog -quiet retry ไปไว้ล่างสุดของไฟล์ /etc/ppp/ip-up

7. จากนี้ก็ดูการทำงานของมันว่าตรงตามความต้องการหรือเปล่า จากการใช้งานของผมตอนนี้ก็ถือว่าเป็นที่น่าพอใจ

Endian Firewall - 2.2-rc2
=========================
- 0000529: [GUI] interface-editor: hide current uplink on "if this uplink fails activate" selectbox (simon) - resolved.
- 0000787: [High Availability] If slave cannot be joined, the GUI doesn't popup an error (simon) - resolved.
- 0000990: [Proxy HTTP] squid reads from subnet_*.acl but cgi writes to src_subnet_*.acl (simon) - resolved.
- 0000991: [Proxy HTTP] acls have same entries twice (simon) - resolved.
- 0001114: [GUI] Autosync is switched off, if ntp settings are changed. (lukas) - resolved.
- 0000822: [Other Services] NTPD: unable to disable (simon) - resolved.
- 0001099: [Proxy HTTP] proxy unusable after upgrade (simon) - resolved.
- 0000825: [Application Level Proxies] pop3 proxy filtert eicartestfile nicht heraus (peter) - resolved.
- 0001139: [Other Services] Snort can be started, even if no zones are selected (lukas) - resolved.
- 0000566: [Firewall (iptables)] Local Network Ping Limit Unacceptable (peter) - resolved.
- 0000977: [Proxy HTTP] http proxy log settings seem to have no influence (simon) - resolved.
- 0000985: [Proxy HTTP] proxy configuration vanishes completely (simon) - resolved.
- 0000765: [Hardware related (kernel, drivers, hardware)] Error unmounting old /dev: 2 after restart (xed0) - resolved.

- 0000767: [Hardware related (kernel, drivers, hardware)] df : '/tmp/tmpCCmuiZA510': No such file or direcory (xed0) - resolved.
- 0000770: [Network related (VPN, uplinks)] uplinkeditor.cgi loops for ever, so selecting "Interfaces" on the Network tab stalls. (simon) - resolved.
- 0000837: [GUI] Services -> Time Server (simon) - resolved.
- 0000869: [Migration] efw-smtpd: restartsmtpd.py blocks within post* script during upgrade (peter) - resolved.
- 0000796: [Network related (VPN, uplinks)] openvpnclient: kills itself after during reconnection (peter) - resolved.
- 0000613: [Network related (VPN, uplinks)] ipsec.cgi: no special characters allowed in PSK key string (peter) - resolved.
- 0000760: [GUI] interface-editor: new added uplinks is missing in the backup uplinks list (simon) - resolved.
- 0000795: [GUI] uplinkseditor: "if this uplink fails activate" checkbox does not store its value (simon) - resolved.
- 0000797: [GUI] openvpn_server.cgi: cannot kill connection (peter) - resolved.
- 0000798: [Application Level Proxies] Dansguardian settings not saved !! (simon) - resolved.
- 0000801: [Other Services] pop3 proxy filtert eicartestfile nicht heraus (peter) - resolved.
- 0000808: [Firewall (iptables)] SNAT rule cant specify Service (peter) - resolved.
- 0000823: [Network related (VPN, uplinks)] VPN - Advanced - Global push options - save button not working (peter) - resolved.
- 0001141: [Proxy HTTP] bypass transparent proxy is not case insensitive for mac addresses (peter) - resolved.
- 0001140: [Other Services] Snort rule fetching generates a high bandwidth load on emerging threats server (lukas) - resolved.
- 0001136: [Other Scripts] framework for customized error message pages (peter) - resolved.
- 0001137: [Other Scripts] p3scan error message template need to get rid of languages (peter) - resolved.
- 0001134: [Proxy HTTP] creating zone subnet acl if <zone>_IPS ends with , fails (simon) - resolved.
- 0001129: [Proxy HTTP] havp: blocks completely after a while of usage (peter) - resolved.
- 0001122: [Proxy SMTP] add permit_mx_backup before reject_unverified_recipients (peter) - resolved.
- 0001110: [GUI] netwizard: thinks domains starting with numbers are invalid (peter) - resolved.
- 0000534: [Application Level Proxies] Content Filter does not start when enabled so proxy denies access to all web pages (raphael) - resolved.
- 0001044: [Network related (VPN, uplinks)] it is not possible to create more than 2 uplinks (simon) - resolved.
- 0001037: [Network related (VPN, uplinks)] change of main uplink name is saved but not shown in uplinkeditor (simon) - resolved.
- 0001034: [Network related (VPN, uplinks)] if uplink is removed, uplinkeditor.cgi crashes in certain situation (simon) - resolved.
- 0001036: [Network related (VPN, uplinks)] after some clicks on editbutton of diffrent uplinks backupuplinklist is not correct anymore (simon) - resolved.
- 0001003: [Hardware related (kernel, drivers, hardware)] openswan 2.4.11 produces kernel panics sometimes (peter) - resolved.
- 0001039: [Firewall (iptables)] iptables has a race condition when it will be started in parallel (peter) - resolved.
- 0001035: [Network related (VPN, uplinks)] uplink copy button does not work (simon) - resolved.
- 0001013: [Proxy HTTP] default profile holds MAX_OUTGOING_SIZE= (simon) - resolved.
- 0000972: [GUI] squid proxy conf: visible hostname check too strong (simon) - resolved.
- 0000986: [Proxy HTTP] windows authentification causes proxy to crash (simon) - resolved.
- 0000984: [Proxy HTTP] allowed ports and allowed ssl ports configuration vanish (simon) - resolved.
- 0000987: [Proxy HTTP] label in interzone traffic settings displays html code (simon) - resolved.
- 0000862: [GUI] xtaccess.cgi: add rule form displays "update rule" instead of "create rule" when creating a new rule (simon) - resolved.
- 0000852: [GUI] outgoingfw.cgi: editing a rule display "Create rule" button (simon) - resolved.
- 0000836: [GUI] Services -> Traffic Shaping / misleading label (simon) - resolved.
- 0000878: [Security] Changing ClamAV update sequence not possible (simon) - resolved.
- 0000860: [Application Level Proxies] Snort rules update mit OINK code (peter) - resolved.
- 0000964: [Other Services] cron does not start any job after huge time changes (peter) - resolved.
- 0000962: [GUI] netstatus.cgi: use ip addr show instead of ifconfig (peter) - resolved.
- 0000799: [GUI] Gui firewall mesaj Firewall rules have been changed and need to be applied in order to make the changes active (peter) - resolved.
- 0000929: [Other Scripts] csvfile class need to ignore carriage returns (peter) - resolved.
- 0000961: [Other Scripts] havp: should remove it's legacy files (peter) - resolved.
- 0000958: [Proxy SMTP] clamav: fills harddisk with temporary files (peter) - resolved.
- 0000959: [Proxy SMTP] amavis: temporary amavis files should be removed after a day (peter) - resolved.
- 0000930: [Backup/Restore] backup: cgi removes only the meta file (peter) - resolved.
- 0000931: [Backup/Restore] backup: import does not work because of missing meta file (peter) - resolved.
- 0000809: [GUI] No proxy configuration possible (simon) - resolved.
- 0000902: [Proxy HTTP] Cannot access HTTP Proxy logs (simon) - resolved.
- 0000896: [GUI] openvpn_user.cgi: should not allow static ips inside openvpn DHCP pool (peter) - resolved.
- 0000910: [GUI] openvpn_users.cgi: should check if a static ip address is already assigned to another user (peter) - resolved.
- 0000908: [GUI] openvpnclient.cgi: remote host does not allow to specify an alternative port (peter) - resolved.
- 0000895: [GUI] openvpn_users.cgi: set blue, set orange are disappeared (peter) - resolved.
- 0000905: [Backup/Restore] gpg key import does not work anymore (peter) - resolved.
- 0000906: [Backup/Restore] backup: download icon missing (peter) - resolved.
- 0000882: [Hardware related (kernel, drivers, hardware)] RAID: reinstallation causes raid to block installation until sync is finished (peter) - resolved.
- 0000942: [Network related (VPN, uplinks)] implement umts/cdma support in interface editor (simon) - closed.
- 0000889: [Proxy HTTP] Users cannot change HTTP proxy password by himself (simon) - closed.
- 0001021: [GUI] custom upload of snort rules does not work (lukas) - closed.
- 0000921: [Application Level Proxies] Active Directory And Squid Problem (simon) - closed.

Change Log แบบเต็ม : http://bugs.endian.it/changelog_page.php

ที่มา : Endian News

ว่าด้วย Endian firewall กับระบบ auto login ที่เมื่อบูทระบบขึ้นมาแล้วผ่านทางหน้าจอเราจะเห็นเมนูประมาณด้านล่างนี้

0 shell
1 reset to factory default
2 reboot

เมื่อเลือกเมนู 0 ระบบมีการถาม user และ password แต่กับเมนู 1 และ 2 กลับไม่ถาม ก็ลองคิดดูว่าไฟล์วอลล์ที่ใช้ในการรักษาความปลอดภัย แต่กลับถูก reset to factory default ง่ายๆ ไม่ว่าจะผ่านคีย์บอร์ด หรือผ่าน rs232 console หรือแค่เอามือเผลอไปเฉี่ยวๆคีย์บอร์ดก็อาจจะเดี้ยงแล้ว

ผมได้แนะนำการแก้ปัญหาไปดังนี้คือ ให้ดูที่ไฟล์ /etc/inittab โดยจะมีข้อมูลอยู่ดังนี้

#
# $Id: inittab,v 1.6 2003/12/24 19:51:23 riddles Exp $
#
id:3:initdefault:
 
l0:0:wait:/etc/rc.d/rc.halt halt
l6:6:wait:/etc/rc.d/rc.halt reboot
 
si::sysinit:/etc/rc.d/rc.sysinit
 
# Trap CTRL-ALT-DELETE
ca::ctrlaltdel:/sbin/shutdown -r now
 
# Run gettys in standard runlevels
1:2345:respawn: /sbin/mingetty --autologin root --loginprog /usr/sbin/efw-console tty1
2:2345:respawn: /sbin/mingetty --autologin root --loginprog /usr/sbin/efw-console tty2
3:2345:respawn: /sbin/mingetty --autologin root --loginprog /usr/sbin/efw-console tty3
4:2345:respawn: /sbin/mingetty --autologin root --loginprog /usr/sbin/efw-console tty4
5:2345:respawn: /sbin/mingetty --autologin root --loginprog /usr/sbin/efw-console tty5
6:2345:respawn: /sbin/mingetty --autologin root --loginprog /usr/sbin/efw-console tty6
 
# s0:2345:respawn: /sbin/agetty -n -l /usr/sbin/efw-console -L 38400 ttyS0 vt100

จะเห็นว่ามันทำ autologin โดยผู้ใช้ root เลย แล้วก็รันสคริป /usr/sbin/efw-console เลย แก้ใหม่เป็นดังนี้

#
# $Id: inittab,v 1.6 2003/12/24 19:51:23 riddles Exp $
#
id:3:initdefault:
 
l0:0:wait:/etc/rc.d/rc.halt halt
l6:6:wait:/etc/rc.d/rc.halt reboot
 
si::sysinit:/etc/rc.d/rc.sysinit
 
# Trap CTRL-ALT-DELETE
ca::ctrlaltdel:/sbin/shutdown -r now
 
# Run gettys in standard runlevels
1:2345:respawn: /sbin/mingetty tty1
2:2345:respawn: /sbin/mingetty tty2
3:2345:respawn: /sbin/mingetty tty3
4:2345:respawn: /sbin/mingetty tty4
5:2345:respawn: /sbin/mingetty tty5
6:2345:respawn: /sbin/mingetty --autologin root --loginprog /usr/sbin/efw-console tty6
 
# s0:2345:respawn: /sbin/agetty -n -l /usr/sbin/efw-console -L 38400 ttyS0 vt100

จากนั้นลอง boot ใหม่ หรือรัน init q ก็จะสามารถใช้งานแก้ปัญหา autologin ได้แล้ว ผมทิ้งเทอมินอลที่ 6 ไว้เผื่อจำเป็นอยากจะ reset to factory default แบบตั้งใจด้วย หรือถ้าอยากให้แจ่มจริงๆก็ทำทั้งหมดเลยได้ครับ

ปล. เรื่องนี้ที่ http://bugs.endian.it/ ก็มีคุยกันด้วยแฮะ..
ปล2. ตอนนี้กำลังลอง Endian Firewall Community release 2.2.beta4 บั๊กบานเลย อ้อแล้วก็กำลังโหลด Endian Firewall Community 2.2 RC1 อยู่

วิธีการคือ

1. remote ​เข้า​ไปแก้​ไขไฟล์​ /home/httpd/cgi-bin/vi pppsetup.cgi
ก่อนแก้​ให้​ทำ​การ​ backup ​ไฟล์​เก่า​ไว้​ก่อนนะครับ​กัน​ผิดพลาด

# cp pppsetup.cgi pppsetup.cgi-25-06-2008

เสร็จ​แล้ว​ vi ​แก้​ไฟล์​ pppsetup.cgi ​ตรงบรรทัดที่​ 35 ​ตามจำ​นวนที่​ต้อง​การ​ ​เช่นผม​ต้อง​การ​ 15

1
2
3
4
5
6
7
8
9
10
11
12
13
14

our %pppsettings=();
my %temppppsettings=();
our %modemsettings=();
our %isdnsettings=();
our %netsettings=();
my %selected=();
my %checked=();
my @profilenames=();
my $errormessage = '';
my $maxprofiles = 15;
my $kernel=`/bin/uname -r | /usr/bin/tr -d '\012'`;
our $drivererror = '';
 
&Header::showhttpheaders();

2. ​เสร็จ​แล้ว​ cd ​ไปที่​ /var/ipcop/ppp ​ใน​ขั้นตอนนี้​จะ​เป็น​การเพิ่มจำ​นวน​ file ​ที่​เก็บ​ profile ​ให้​เท่า​กับ​จำ​นวน​ maxprofiles ​ที่​เรา​ได้​กำ​หนดไป​ใน​ขั้นตอนที่​ 1
ใน​ paht ​นี้​เดิมที​จะ​มี​ไฟล์​อยู่​เท่า​กับ​ด้านล่างนี้คือ

root@aone-dial:/var/ipcop/ppp # ls -l
total 72
-rw-r--r-- 1 nobody nobody  22 2005-11-07 04:31 fake-resolv.conf
-rw------- 1 nobody nobody  20 2006-10-06 09:19 secrets
-rw-r--r-- 2 nobody nobody 469 2006-10-06 09:19 settings
-rw-r--r-- 1 nobody nobody 464 2006-09-12 03:03 settings-1
-rw-r--r-- 1 nobody nobody 470 2006-10-03 09:56 settings-2
-rw-r--r-- 1 nobody nobody 463 2006-09-28 10:26 settings-3
-rw-r--r-- 1 nobody nobody 473 2006-08-03 21:44 settings-4
-rw-r--r-- 1 nobody nobody 462 2006-10-05 18:27 settings-5

ซึ่ง​เท่า​กับ​จำ​นวน​ porfile ​ที่มี​ ​เพื่อ​จะ​ให้​มันมี​ 15 profiles ​ตามที่​ต้อง​การ​ ​ให้​ทำ​การสร้างไฟล์​ settings-6 ​ถึง​ settings-15 ​ขึ้นมา​ ​วิธีที่ง่ายที่สุดคือ​ copy ​จาก​ไฟล์​เดิมครับ

# cp settings-1 settings-6
# cp settings-1 settings-7
# cp settings-1 settings-8
# cp settings-1 settings-9
# cp settings-1 settings-10
# cp settings-1 settings-11
# cp settings-1 settings-12
# cp settings-1 settings-13
# cp settings-1 settings-14
# cp settings-1 settings-15

3. profile ​ที่​เพิ่มขึ้นมาอีก​ 10 profiles ​นี้​จะ​ต้อง​แก้ค่า​ PROFILE​ข้าง​ใน​ไฟล์ทุกไฟล์​ ​ให้​ตรง​กับ​ชื่อ​ profile ​เช่น​ ​ของไฟล์​ settings-6 ​โดย​การ​เข้า​ไปแก้ที่บรรทัดที่​ 24 ​ให้​ตรง​กับ​ชื่อ​ profile ​นั่นคือแก้​เป็น​ 6

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34

PHONEBOOK=RELAY_PPP1
PROTOCOL=RFC2364
MAXRETRIES=2
DIALMODE=T
DNS1=
SENDCR=off
DEBUG=off
MODEM=PCIST
RECONNECTION=manual
DNS=Automatic
TELEPHONE=
USEIBOD=off
SPEAKER=on
ENCAP=
HOLDOFF=30
TIMEOUT=0
AUTH=pap-or-chap
METHOD=PPPOE_PLUGIN
DTERATE=115200
PASSWORD=user123
AUTOCONNECT=off
DNS2=
MODULATION=AUTO
PROFILE=6
LINE=WO
COMPORT=ttyS1
USERNAME=user1
VALID=yes
TYPE=modem
USEDOV=off
BACKUPPROFILE=1
PROFILENAME=FNS-PNK
DIALONDEMANDDNS=off
LOGINSCRIPT=

ให้​ทำ​อย่างนี้​กับ​ทุกๆ​ ​ไฟล์ที่สร้างขึ้นมา​ใหม่

4. ​สุดท้าย​ ​ต้อง​ chown ​ด้วย​เพราะ​เรา​ login ​เข้า​มา​ด้วย​ user root ​ซึ่ง​ไฟล์ที่​เป็น​ของ​ root ​จะ​แก้​ไขผ่านหน้า​เว็บเพจ​ ​ของ​ IPCop ​ไม่​ได้​เพราะ​ web server ​ของ​ IPCop start ​ด้วย​ user nobody ​ต้อง​ chown ​เป็น​ nobody ​ก่อน

# chown nobody:nobody settings-*

เสร็จ​แล้ว​ถ้า​ไม่​มีอะ​ไรผิดพลาด​ ​ก็​สามารถ​เข้า​ไปที่หน้า​เพจ​ Network -> Dialup
ก็​จะ​เห็นจำ​นวน​ profile ​เพิ่มขึ้น​ ​ตามรูปด้านบน​…

เมื่อคืนนี้เลยได้อัพเกรดทั้งแรมเองและ Endian Firewall แรมนั้นใส่ไป 128MB + 256MB ทำให้ได้ swap มาประมาณ 771MB (โล่งอกโล่งใจไปเลย) ก่อนติดตั้งก็ได้แบคอัพ คอนฟิก และ log ต่างๆของเวอร์ชันเดิมไว้ (ขนาดตั้งเกือบ 200 MB) แต่สุดท้ายก็ไม่ได้ใช้ ด้วยเหตุผลว่า ไปค้นพบว่าตัวเครื่องไฟร์วอลล์มันมีแลนออนบอร์ดอยู่อีกอันเลย เปิดการใช้งานเพิ่มเข้ามาจากไบออส ทำให้ตอนนี้มี LAN 4 ports เลยกลัวว่าถ้าrestoreข้อมูลเก่าเข้าไปมันจะงง และบวกกับอยากลองคอนฟิกใหม่ทั้งหมดว่ามีอะไรเปลี่ยนแปลงเพิ่มเติมบ้างก็เลยเริ่มใหม่หมด

การติดตั้งก็ไม่ยาก ใส่แผ่นแล้วก็ ปื๊ดๆๆๆๆ สิบกว่านาที กับ บูตเครื่อง 1 ครั้ง หน้าจอก็มาอยู่ที่ prompt ให้login แต่เข้าไม่ได้เพราะมันต้องเข้าไปคอนฟิกผ่านเว็บก่อน และด่านแรกเลยมันไม่ได้จับแลนใบเดิมเป็น GREEN ZONE เลยต้อง ping IP ไว้แล้วเอาสายแลนจิ้มหาจนเจอ –” จากนั้นก็เข้าไปผ่านเบราเซอร์ไฟร์ฟอก ด่านสองเลย ติดล๊อคอิน ตายแล้วไม่ได้อ่านอะไรมาเลยเดาไปหลายอันก็ไม่ถูก เข้าเน็ตก็ไม่ได้ เลยเดาไปเรื่อยๆจนเจอ คือ user : admin, password : endian ถือว่ารอดไป โดยรวมแล้วถือว่าแจ่มมากๆ เดี๋ยวจะหาทางลองเรื่อง Multi uplinks ต่อไป (ที่อยากลอง)

มาต่อถึงเรื่องปัญหาที่เจอ เมื่อคืนเจอไปสองอย่างคือ

1. เผลอไปตั้งชื่อ connection ของ vpn โดยมีช่องว่างทำให้มันเอ๋อไปเลย ลบออกก็ไม่ได้ ต้อง ssh เข้าไปไล่ลบเอาเองอีกที

2. Content filter เปิดใช้งานแล้วออกอินเตอร์เน็ตไม่ได้ อันนี้เกิดจากโปรแกรม dansguardian ไม่สมบูรณ์ efw-dansguardian-2.2.16-0.endian9.i586.rpm

ถ้าเจอดาวน์โหลดไปแล้วโยนเข้าเครื่องไปผ่าน scp หรือ sftp ก็แล้วแต่แล้วก็สั่ง

1
2
3
4

root@firewall:~ # rpm -Uvh efw-dansguardian-2.2.16-0.endian9.i586.rpm
Preparing...                ########################################### [100%]
1:efw-dansguardian       ########################################### [100%]
root@firewall:~ # restartdansguardian

ก็จะใช้งานได้ปกติ การใช้งานโล่งขึ้นมากจากการเพิ่มแรมและ swap อ้อคิดว่าเวอร์ชันนี้ squid คงถูกจุนมาอย่างดี คือเวอร์ชันเดิม กิน cpu ค่อยข้างมาก (squidgraph) แต่ตอนนี้ดูกราฟของ cpu ยังเบาๆอยู่มาก อีกทั้ง swap ก็ใช้นิดๆ จากเดิม 90% ได้อย่างนี้ก็ถือว่าน่าจะแจ่มกว่าเดิมมากเลย ..

อ้อเกือบลืม ตอนนี้ ใครที่มีเวลาลองก็ไปโหลดมาลอง(ยา)กันอีกนะครับ และแน่นอนผมคงช่วยอะไรได้ไม่มาก เนื่องจากยังไม่ได้ลอง  (ช่วยอะไรไม่ค่อยได้เลย)

Beta 3 นี้มีอะไรเปลี่ยนไปจาก Beta 2 บ้างดูจากข้างล่างเลยครับ

Changes from 2.2 Beta 2:
- New uplink control made with Javascript/JSON, enhances responsiveness on
uplink status change. The user can now decide if uplink should be “managed”
automatically (for automatic failover) or manually
- Updated kernel to version 2.6.22.16, rebuilt with gcc 4.1.2 to solve some
compiler related issues and added drivers that where missing in Beta 2
- Rebuilt packages for i586 instead of i686 to support embedded/older
systems (VIA C3, AMD LX, etc.)
- 60+ bugfixes and other enhancements

รายละเอียด : http://bugs.endian.it/changelog_page.php

ปล. วันนี้ฝนก็ตกแต่เช้านะ 

คืนนี้นอนไม่หลับเลยเข้าไปดูที่ File Release Notes and Changelog เห็นว่าได้ออก Version 2.2 Beta 1 มาแล้ว โดยมีรายละเอียดตามนี้

Release Highlights:

- Enhanced management of WAN/RED connections
* Support for multiple uplinks
* Multiple IPs/networks on each WAN/RED interface in STATIC mode
* Uplink monitoring with automatic failover (ISP failover)
* Uplink editor

- Port Forwarding
* Multiple uplink support, allowing different rules per uplink
* Port Forwarding of traffic coming from VPN endpoints
* Option for rule based Logging
* GUI enhancements

- System Access
* External Access has now been enhanced and renamed to System Access
* Fine grained management of permissions regarding access to the system from LAN, WAN, DMZ and VPN endpoints
* Default policy for firewall/system access is now set to DENY
* Firewall services automatically define ports required for their proper function, but access can be restricted
* Support for ICMP protocol
* GUI enhancements

- Outgoing Firewall
* Support for ICMP protocol
* Handling of multiple sources/ports/protocols per Rule
* GUI enhancements

- Zone Firewall
* DMZ Pinholes has been enhanced and renamed to Zone Firewall
* Fine grained filtering of local network traffic
* Rules based on zones, physical interfaces, MAC addresses
* Support for ICMP protocol
* Handling of multiple sources/ports/protocols per rule
* GUI enhancements

- HTTP Proxy
* Time based access control with multiple time intervals
* Group based web access policies
* Major GUI enhancements

- OpenVPN
* X.509 and 2 factor based authentication
* Pushing of DNS settings to clients
* Pushing of global or per client routes
* Support for NATed VPN endpoints
* Support for VPN over HTTP Proxy
* Automatic connection failover
* Every VPN endpoint is resolvable through DNS (vpn..domain)

- Logs
* Every service supports remote logging
* Daily log rotation
* GUI enhancements

- System
* Accelerated and polished boot process
* Firewall logs rule number and target
* Refactoring of service scripts
* Squid 2.6 with major performace improvements
* Updated packages for ClamAV, Amavis, Postrey and much more

เท่าที่ดูสิ่งที่อยากลองที่สุดในเวอร์ชั่นนี้ก็คงเป็น Multiple Uplinks กับ VPN over HTTP Proxy สองอย่างนี้แหละ แต่ตอนนี้ไม่ค่อยว่าง และไม่มีเครื่องลองเลย คงรอปลดBeta แล้วค่อยเอามาอัพเกรดใช้งานเลยดีกว่า ..

ลิ้งค์ที่มา : http://www.endian.com/