สองวันมานี้ ไฟร์วอลล์ของผมมันโดนเครื่องบางเครื่องกระทำชำเราอย่างหนัก ผ่านการสร้าง connection จำนวนมหาศาล (น่าจะจากพวกโหลดบิททำนองนั้น) ทำให้แรมที่มีอยู่น้อยนิดหมด ตามมาด้วย swap file ก็ถูกใช้จนหมด แล้วก็ลามไปที่ cpuที่ต้องทำงานหนักเข้าไปอีก ก็เล่นเอาอืดเว้นคลานเลยทีเดียว อีกอย่างไฟร์วอลล์ตัวนี้ซีพียู 1100 Mhz เอง และครั้งแรกติดตั้งแรมไว้แค่ 128 MB ทำให้ระบบคำนวนค่าของ swap ไว้แค่ 256 MB ในภายหลังได้ติดตั้งแรมเพิ่มไปอีก 128 MB ทำให้แรม กับ swap เท่าๆกันเลย ตอนนี้อืดมากๆ

เมื่อคืนนี้เลยได้อัพเกรดทั้งแรมเองและ Endian Firewall แรมนั้นใส่ไป 128MB + 256MB ทำให้ได้ swap มาประมาณ 771MB (โล่งอกโล่งใจไปเลย) ก่อนติดตั้งก็ได้แบคอัพ คอนฟิก และ log ต่างๆของเวอร์ชันเดิมไว้ (ขนาดตั้งเกือบ 200 MB) แต่สุดท้ายก็ไม่ได้ใช้ ด้วยเหตุผลว่า ไปค้นพบว่าตัวเครื่องไฟร์วอลล์มันมีแลนออนบอร์ดอยู่อีกอันเลย เปิดการใช้งานเพิ่มเข้ามาจากไบออส ทำให้ตอนนี้มี LAN 4 ports เลยกลัวว่าถ้าrestoreข้อมูลเก่าเข้าไปมันจะงง และบวกกับอยากลองคอนฟิกใหม่ทั้งหมดว่ามีอะไรเปลี่ยนแปลงเพิ่มเติมบ้างก็เลยเริ่มใหม่หมด

การติดตั้งก็ไม่ยาก ใส่แผ่นแล้วก็ ปื๊ดๆๆๆๆ สิบกว่านาที กับ บูตเครื่อง 1 ครั้ง หน้าจอก็มาอยู่ที่ prompt ให้login แต่เข้าไม่ได้เพราะมันต้องเข้าไปคอนฟิกผ่านเว็บก่อน และด่านแรกเลยมันไม่ได้จับแลนใบเดิมเป็น GREEN ZONE เลยต้อง ping IP ไว้แล้วเอาสายแลนจิ้มหาจนเจอ –” จากนั้นก็เข้าไปผ่านเบราเซอร์ไฟร์ฟอก ด่านสองเลย ติดล๊อคอิน ตายแล้วไม่ได้อ่านอะไรมาเลยเดาไปหลายอันก็ไม่ถูก เข้าเน็ตก็ไม่ได้ เลยเดาไปเรื่อยๆจนเจอ คือ user : admin, password : endian ถือว่ารอดไป โดยรวมแล้วถือว่าแจ่มมากๆ เดี๋ยวจะหาทางลองเรื่อง Multi uplinks ต่อไป (ที่อยากลอง)

มาต่อถึงเรื่องปัญหาที่เจอ เมื่อคืนเจอไปสองอย่างคือ

1. เผลอไปตั้งชื่อ connection ของ vpn โดยมีช่องว่างทำให้มันเอ๋อไปเลย ลบออกก็ไม่ได้ ต้อง ssh เข้าไปไล่ลบเอาเองอีกที

2. Content filter เปิดใช้งานแล้วออกอินเตอร์เน็ตไม่ได้ อันนี้เกิดจากโปรแกรม dansguardian ไม่สมบูรณ์ efw-dansguardian-2.2.16-0.endian9.i586.rpm

ถ้าเจอดาวน์โหลดไปแล้วโยนเข้าเครื่องไปผ่าน scp หรือ sftp ก็แล้วแต่แล้วก็สั่ง

root@firewall:~ # rpm -Uvh efw-dansguardian-2.2.16-0.endian9.i586.rpm
Preparing...                ########################################### [100%]
1:efw-dansguardian       ########################################### [100%]
root@firewall:~ # restartdansguardian

ก็จะใช้งานได้ปกติ การใช้งานโล่งขึ้นมากจากการเพิ่มแรมและ swap อ้อคิดว่าเวอร์ชันนี้ squid คงถูกจุนมาอย่างดี คือเวอร์ชันเดิม กิน cpu ค่อยข้างมาก (squidgraph) แต่ตอนนี้ดูกราฟของ cpu ยังเบาๆอยู่มาก อีกทั้ง swap ก็ใช้นิดๆ จากเดิม 90% ได้อย่างนี้ก็ถือว่าน่าจะแจ่มกว่าเดิมมากเลย ..

สองสามเดือนที่ผ่านมานี้มีหลายคน add msn ผมเข้ามาคุยกันเรื่อง Endian Firewall ก็หลายคน แต่ก็ต้องผิดหวังจริงๆ ที่ผมยังไม่มีเครื่องและเวลาที่จะลองเล่น feature ใหม่ๆของเจ้า Endian อยากจริงจังเลยตอนนี้ หลักๆอย่างที่เคยเขียนไป คือ อยากลองส่วนของการทำ multiple uplinks ไอ้จะเอามาอัพเกรดตัวปัจจุบันที่ใช้อยู่ก็กลัวกระทบระบบ และ เสียเวลา เลยอดไว้ก่อน (อีกครั้ง) ตัวเต็มออกแล้วค่อยตัดใจอัพเกรด พร้อมขอ ADSL ต่างผู้ให้บริการ(ต้องไม่ใช้ ทีโอที) ซักราย น่าจะได้ผลประโยชน์จาก multiple uplinks เต็มๆ

อ้อเกือบลืม ตอนนี้ ใครที่มีเวลาลองก็ไปโหลดมาลอง(ยา)กันอีกนะครับ และแน่นอนผมคงช่วยอะไรได้ไม่มาก เนื่องจากยังไม่ได้ลอง  (ช่วยอะไรไม่ค่อยได้เลย)

Beta 3 นี้มีอะไรเปลี่ยนไปจาก Beta 2 บ้างดูจากข้างล่างเลยครับ

Changes from 2.2 Beta 2:
- New uplink control made with Javascript/JSON, enhances responsiveness on
uplink status change. The user can now decide if uplink should be “managed”
automatically (for automatic failover) or manually
- Updated kernel to version 2.6.22.16, rebuilt with gcc 4.1.2 to solve some
compiler related issues and added drivers that where missing in Beta 2
- Rebuilt packages for i586 instead of i686 to support embedded/older
systems (VIA C3, AMD LX, etc.)
- 60+ bugfixes and other enhancements

รายละเอียด : http://bugs.endian.it/changelog_page.php

ปล. วันนี้ฝนก็ตกแต่เช้านะ  :-P

ช่วงนี้เจ้า endian firewall ของผมก็ถือว่าทำงานได้เป็นที่น่าประทับใจ จนไม่ค่อยได้เข้ามาเอาใส่ใจดูแลมันบ้างเลย จนอาทิตย์ที่ผ่านมา มีเครื่อง os windows ที่อยู่ภายในติดโทรจันและพยายามส่งอีเมล์ออกนาทีล่ะเป็นหมื่นฉบับ เล่นเอาเจ้า endian firewall ซีพียูเข็มกระดิกตีมิดเกย์ที่ 100% นานเป็นหลายชั่วโมง ในแต่ล่ะวัน ซึ่งก็ขึ้นกับการเปิดเครื่อง windows ที่ติดโทรจันนั่นเลย หลังจากจับได้ว่าเป็นเครื่องไหน ก็ได้จับมันมาประหารเสียเลย วีธีก็ง่ายๆลง windows ใหม่

คืนนี้นอนไม่หลับเลยเข้าไปดูที่ File Release Notes and Changelog เห็นว่าได้ออก Version 2.2 Beta 1 มาแล้ว โดยมีรายละเอียดตามนี้

Release Highlights:

- Enhanced management of WAN/RED connections
* Support for multiple uplinks
* Multiple IPs/networks on each WAN/RED interface in STATIC mode
* Uplink monitoring with automatic failover (ISP failover)
* Uplink editor

- Port Forwarding
* Multiple uplink support, allowing different rules per uplink
* Port Forwarding of traffic coming from VPN endpoints
* Option for rule based Logging
* GUI enhancements

- System Access
* External Access has now been enhanced and renamed to System Access
* Fine grained management of permissions regarding access to the system from LAN, WAN, DMZ and VPN endpoints
* Default policy for firewall/system access is now set to DENY
* Firewall services automatically define ports required for their proper function, but access can be restricted
* Support for ICMP protocol
* GUI enhancements

- Outgoing Firewall
* Support for ICMP protocol
* Handling of multiple sources/ports/protocols per Rule
* GUI enhancements

- Zone Firewall
* DMZ Pinholes has been enhanced and renamed to Zone Firewall
* Fine grained filtering of local network traffic
* Rules based on zones, physical interfaces, MAC addresses
* Support for ICMP protocol
* Handling of multiple sources/ports/protocols per rule
* GUI enhancements

- HTTP Proxy
* Time based access control with multiple time intervals
* Group based web access policies
* Major GUI enhancements

- OpenVPN
* X.509 and 2 factor based authentication
* Pushing of DNS settings to clients
* Pushing of global or per client routes
* Support for NATed VPN endpoints
* Support for VPN over HTTP Proxy
* Automatic connection failover
* Every VPN endpoint is resolvable through DNS (vpn..domain)

- Logs
* Every service supports remote logging
* Daily log rotation
* GUI enhancements

- System
* Accelerated and polished boot process
* Firewall logs rule number and target
* Refactoring of service scripts
* Squid 2.6 with major performace improvements
* Updated packages for ClamAV, Amavis, Postrey and much more

เท่าที่ดูสิ่งที่อยากลองที่สุดในเวอร์ชั่นนี้ก็คงเป็น Multiple Uplinks กับ VPN over HTTP Proxy สองอย่างนี้แหละ แต่ตอนนี้ไม่ค่อยว่าง และไม่มีเครื่องลองเลย คงรอปลดBeta แล้วค่อยเอามาอัพเกรดใช้งานเลยดีกว่า ..

ลิ้งค์ที่มา : http://www.endian.com/