วิธีที่ดีที่สุดที่จะตั้งเวลาให้ตรงกับมาตรฐานจริงๆ คือต้องใช้ NTP

NTP ย่อมาจาก Network Time Protocol ใช้ในการปรับเวลาของเครื่องต่างๆ ที่อยู่บนเครือข่ายให้มีเวลาตรงกันตลอดเวลา

โดยเครื่องจะรัน ntpd เพื่อใช้เทียบเวลากับเซิร์ฟเวอร์ที่คอนฟิกไว้อยู่เรื่อยๆ ตลอดเวลา ซึ่งถ้าเวลาไม่ตรง โปรแกรม ntpd จะค่อยๆ ปรับเวลาของเครื่อง client ให้ใกล้เคียงเรื่อยๆ จนตรงกับ server ในที่สุด

ในการใช้งาน จะมีวิธีการอ้างอิงเวลาเป็นลำดับขั้นที่เรียกว่า stratum โดยบนเครื่องคอมพิวเตอร์ค่าเริ่มต้นจะตั้งแต่ 1 ซึ่งถือเป็นเวลามาตรฐานกลาง เครื่องที่ทำหน้าที่เป็น stratum 1 นั้น จะมีกระบวนการเทียบเวลาจากอุปกรณ์ชนิดอื่นๆ ที่ไม่ใช่คอมพิวเตอร์  เช่น GPS เป็นต้น อุปกรณ์จำพวกนี้ ถือว่าเป็น stratum 0

ตอนคอนฟิก ถ้าเราไม่มีอุปกรณ์ที่เป็น stratum 0 แล้ว เราก็ต้องต่ออินเตอร์เน็ต เพื่ออ้างอิง (sync) เวลามาจากเครื่องที่เป็น stratum 1 และเมื่อเวลาตรงกันแล้ว เครื่องของเราก็ จะถือว่าเป็น stratum 2 แล้วถ้าเครื่องที่มาอ้างอิงเวลาจากเครื่องนี้อีกที ก็จัดเป็น stratum 3, 4 เรื่อยๆ

ประโยชน์ในการจัดเป็น stratum คือจะลดโหลดที่เกิดขึ้น คือแทนที่ทุกเครื่องจะไปอ้างอิง (sync) เวลามาจาก stratum 1 ก็กระจายโหลดไป ทั้งลดโหลดบน stratum 1 เอง แล้วก็ประหยัด bandwidth อินเตอร์เน็ตด้วย

คำแนะนำ : ในทางปฎิบัติ แนะนำให้คอนฟิก NTP บนเครื่องเดียวหรือสองเครื่อง ที่ต่ออินเตอร์เน็ตได้ ให้ไปเทียบเวลาจาก  stratum 1 ส่วนเครื่องอื่นๆ ในสำนักงานของเรา ก็คอนฟิกเพื่อมาเทียบเวลาจากเครื่องนี้แทน หรืออาจจะมี ลำดับ 3, 4 ต่อไปอีกก็ได้ แล้วแต่จำนวนเครื่องที่มีอยู่ เช่น มีเครื่องที่ทำหน้าที่ stratum 2 ที่ต่ออินเตอร์เน็ตอยู่ 2 เครื่อง แล้วมี stratum 3 อีกจำนวนหนึ่งของแต่ละฝ่าย ส่วนเครื่อง client ที่อยู่ในฝ่ายก็คอนฟิกให้เทียบเวลาจาก stratum 3 อีกที ก็จะเป็น statum 4

โดยดีฟอลต์แล้ว NTP จะติดตั้งมาพร้อมกับ CentOS 6 และจะมีคอนฟิกไฟล์หลักคือ /etc/ntp.conf ในคอนฟิกจะอ้างอิงเวลากับเซิร์ฟเวอร์จำนวน 3 ตัว พร้อมใช้งานได้เลย หากเครื่องเราต่ออินเตอร์เน็ตได้

ตัวอย่างคอนฟิก NTP ที่ติดตั้งมากับ CentOS 6.2

[root@cent6 ~]# cat /etc/ntp.conf
# For more information about this file, see the man pages
# ntp.conf(5), ntp_acc(5), ntp_auth(5), ntp_clock(5), ntp_misc(5), ntp_mon(5).
...
# Use public servers from the pool.ntp.org project.
# Please consider joining the pool (http://www.pool.ntp.org/join.html).
server 0.centos.pool.ntp.org
server 1.centos.pool.ntp.org
server 2.centos.pool.ntp.org
...

หากเครื่องที่เราจะคอนฟิกไม่สามารถเชื่อมต่ออินเตอร์เน็ตได้ หรือต้องการแก้ไข NTP server ให้ชี้ไปยัง IP อื่น ก็สามารถทำได้โดยลบคอนฟิก server ทั้งสามบรรทัดนี้ (อาจใส่เป็นเครื่องหมาย # นำหน้าคอนฟิก) แล้วเพิ่มคอนฟิก server ตามด้วย IP ของเซิร์ฟเวอร์ที่เราต้องการไป sync ด้วย เช่น

#server 0.centos.pool.ntp.org
#server 1.centos.pool.ntp.org
#server 2.centos.pool.ntp.org
server 192.168.1.1

รันเซอร์วิส ntpdate, ntp

หลังจากแก้ไขคอนฟิก ขั้นต่อไปคือการรัน service โดยจะมี ntpdate และ ntpd ที่ต้องรัน

ntpdate จะเป็นเซอร์วิสที่รันเพื่อปรับเวลาของเครื่องให้ใกล้เคียงกับเซิร์ฟเวอร์ที่เราคอนฟิกไว้ มากที่สุด จะทำให้เวลาของเครื่องเปลี่ยนไปทันที เหมือนกับคำสั่ง date

รันเซอร์วิส ntpdate

[root@cent6 ~]# service ntpdate start
ntpdate: Synchronizing with time server:                   [  OK  ]

ส่วนการปรับโดยละเอียดจะเป็นหน้าที่ของ ntpd ซึ่งจะรันเป็น daemon อยู่ตลอดเวลา ค่อยๆ ปรับเวลาให้ตรงกับ server ซึ่งบางครั้งต้องใช้เวลานานพอสมควร

รันเซอร์วิส ntpd เพื่อสตาร์ต ntpd

[root@cent6 ~]# service ntpd start
Starting ntpd:                                             [  OK  ]

ตรวจสอบสถานะการ sync

เราสามารถใช้คำสั่ง ntpstat เพื่อตรวจสอบสถานะการ ลำดับ stratum เท่าไร

[root@cent6 ~]# ntpstat
unsynchronised
  time server re-starting
   polling server every 64 s

ถ้าขึ้น “unsynchronised” แปลว่าเวลาของเครื่องเรายังไม่ตรง

เมื่อเวลาผ่านไปซักพัก  เครื่องก็น่าจะสามารถปรับเวลาให้ตรงได้แล้ว อาจใช้ tail -f ดูไฟล์ /var/log/messages

เมื่อ sync ได้แล้วจะมีข้อความ “synchronized to …”  พร้อมรายงาน IP และ stratum ของเซิร์ฟเวอร์ที่ sync ได้ ตัวอย่างเช่น

[root@cent6 ~]# tail -f /var/log/messages
May  7 21:14:14 cent6 ntpd[1813]: synchronized to 203.158.118.2, stratum 2
May  7 21:14:14 cent6 ntpd[1813]: kernel time sync status change 2001

ลองใช้สั่ง ntpstat ดูสถานะอีกครั้ง

[root@cent6 ~]# ntpstat
synchronised to NTP server (203.158.118.2) at stratum 3
   time correct to within 655 ms
   polling server every 64 s

ผลลัพธ์ที่ได้ หมายความว่าเครื่องเซิร์ฟเวอร์ของเรา มีเวลาตรง (sync) กับเซิร์ฟเวอร์ 203.158.118.2 ที่มี stratum 3 แล้ว

เปิดเซอร์วิสตอนบู๊ตเครื่อง

หลังจากทดสอบเรียบร้อยแล้ว ใช้คำสั่ง chkconfig เพื่อเปิดเซอร์วิส ntpdate และ ntpd ตอนบู๊ตเครื่องด้วย

[root@cent6 ~]# chkconfig ntpdate on
[root@cent6 ~]# chkconfig ntpd on

[root@cent6 ~]# chkconfig --list | grep ntp
ntpd            0:off   1:off   2:on    3:on    4:on    5:on    6:off
ntpdate         0:off   1:off   2:on    3:on    4:on    5:on    6:off

ข้อมูลอ้างอิง

• คอนฟิก NTP บนลินุกซ์

ซึ่งอาจทำให้เกิดความยากสำหรับผู้เริ่มต้น เพราะไม่รู้ว่าจะเพิ่ม หรือลบ rule อย่างไร ใส่ออปชั่นอะไรบ้าง

สำหรับผู้เริ่มต้นหัดใช้ แนะนำให้ใช้โปรแกรม system-config-firewall เพื่อช่วยแก้ไข rule ของ firewall บนลีนุกซ์

โปรแกรม system-config-firewall มีสองเวอร์ชั่น ทำงานได้เหมือนกัน

• system-config-firewall รันเป็น GUI บน X Window เช่น GNOME
• system-config-firewall-tui รันบนหน้าจอคอนโซล จะเป็นแบบเมนูให้เลือก

ในที่นี้จะแสดงวิธีการใช้แบบรันบนหน้าจอคอนโซล

เพื่อเปรียบเทียบสิ่งที่โปรแกรม system-config-firewall จะแก้ไข ก่อนรันคำสั่ง ใช้คำสั่ง iptables -L เพื่อแสดงคอนฟิก firewall ที่ทำงานอยู่

[root@cent6 ~]# iptables -L -v -n --line-numbers
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1     2414  180K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
2        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
3        0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
4        1    64 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
5        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 

Chain OUTPUT (policy ACCEPT 1379 packets, 505K bytes)
num   pkts bytes target     prot opt in     out     source               destination

พิมพ์คำสั่ง system-config-firewall-tui

[root@cent6 ~]# system-config-firewall-tui

หมายเหตุ หากรันคำสั่งแล้วขึ้น “command not found” ให้ติดตั้งไฟล์ rpm ชื่อ system-config-firewall-tui-1.2.27-5.el6.noarch.rpm

หน้าจอ Firewall Configuration สามารถเลือกที่จะเปิด ปิด firewall ได้

[*] Enabled เปิดใช้งาน firewall
[ ] Enabled ปิดการใช้ firewall (ไม่แนะนำ)

กดปุ่ม [Tab] เพื่อเลื่อนแถบสีไปยัง [Customize] แล้วกดปุ่ม [Enter]

หน้าจอแสดง Services ต่างๆ ที่โปรแกรมเตรียมไว้ให้สามารถเลือกคอนฟิกได้

กดปุ่มลูกศร (cursor) ขึ้นลง เพื่อเลื่อนไปยังเซอร์วิสต่างๆ ได้

โดยดีฟอลต์จากการติดตั้ง ถ้าไม่ได้แก้ไข จะอนุญาตให้เครื่องอื่นเข้ามาใช้ SSH ได้อย่างเดียว

เครื่องหมายดอกจัน ในวงเล็บสี่เหลี่ยม [*] หน้าเซอร์วิส หมายถึงการอนุญาตเซอร์วิสนั้น

กดปุ่มลูกศรลง เพื่อไปยังชื่อเซอร์วิสที่ต้องการอนุญาตให้เครื่องอื่นสามารถเข้ามาใช้บนเครื่องลีนุกซ์นี้ได้

เช่นต้องการให้เครื่องอื่น สามารถใช้เว็บเซิร์ฟเวอร์พอร์ต 80 WWW (HTTP) บนเครื่องเราได้

กดปุ่ม [Spacebar] เพื่อเปลี่ยนค่าในวงเล็บสี่เหลี่ยม ต้องเปลี่ยนให้เป็นเครื่องหมายดอกจัน

หลังจากเปลี่ยนเป็นเครื่องหมายดอกจันเรียบร้อยแล้ว กดปุ่ม [Tab] เพื่อเลื่อนแถบสีมาที่ [Close] แล้วกดปุ่ม [Enter]

จะกลับมาหน้าจอหลัก กดปุ่ม [Tab] เลื่อนไปยัง [OK] แล้วกดปุ่ม [Enter]
หน้าจอเตือน Warning ว่าจะมีการสร้างคอนฟิกไฟล์ของ firewall ใหม่ เลื่อนแถบสีอยู่ที่ [Yes] แล้วกดปุ่ม [Enter]

ลองใช้คำสั่ง iptables -L เพื่อดูคอนฟิก firewall ที่เปลี่ยนไป จะเห็น num 5 เพิ่มขึ้นมา เพื่ออนุญาต tcp dpt:80 หรือพอร์ตเว็บ WWW (HTTP) นั่นเอง

[root@cent6 ~]# iptables -L -v -n --line-numbers
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1       13   916 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
2        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
3        0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
4        1   100 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
5        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:80
6        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 

Chain OUTPUT (policy ACCEPT 8 packets, 960 bytes)
num   pkts bytes target     prot opt in     out     source               destination

หากต้องการยกเลิก หรือไม่ต้องการให้เครื่องอื่นเข้าใช้งานพอร์ตเว็บบนเครื่องนี้อีกต่อไปแล้ว ก็ใช้คำสั่ง system-config-firewall-tui เข้าไปเอาเครื่องหมายดอกจันหน้าเซอร์วิส WWW (HTTP) ออกไป ทำตามขั้นตอนอื่นๆ เหมือนเดิม

การใช้คำสั่ง system-config-firewall ไม่ว่าจะแบบ GUI หรือคอนโซล เมื่อแก้ไขเสร็จแล้วกดยืนยันเพื่อให้คอนฟิกใหม่มีผล นอกจากจะทำให้คอนฟิกใหม่มีผลทันทีแล้ว คำสั่งนี้จะเข้าไปแก้ไขไฟล์คอนฟิกของ iptables เพื่อให้มีผลต่อการบู๊ตเครื่องครั้งต่อไปด้วย

ไฟล์คอนฟิกของ iptables ของ CentOS คือไฟล์ /etc/sysconfig/iptables

ตัวอย่างของไฟล์หลังจากเพิ่ม การอนุญาตพอร์ต 80

[root@cent6 ~]# cat /etc/sysconfig/iptables
 # Firewall configuration written by system-config-firewall
 # Manual customization of this file is not recommended.
 *filter
 :INPUT ACCEPT [0:0]
 :FORWARD ACCEPT [0:0]
 :OUTPUT ACCEPT [0:0]
 -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
 -A INPUT -p icmp -j ACCEPT
 -A INPUT -i lo -j ACCEPT
 -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
 -A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
 -A INPUT -j REJECT --reject-with icmp-host-prohibited
 -A FORWARD -j REJECT --reject-with icmp-host-prohibited
 COMMIT

ชื่อเซอร์วิสที่มาอ่านไฟล์นี้ก็คือ iptables โดยดีฟอลต์จะถูกรันเมื่อเข้าสู่ runlevel 2,3,4,5 หรือการบู๊ตเครื่องใหม่

[root@cent6 ~]# chkconfig --list iptables
iptables        0:off 1:off 2:on 3:on 4:on 5:on 6:off

ข้อมูลอ้างอิง

• แก้ไขคอนฟิก firewall บนลีนุกซ์ด้วย iptables
• การเปิดเซอร์วิสตอนบู๊ตเครื่องของ CentOS 6

จุดมุ่งหมายหลักๆ ของ firewall ก็เพื่อเพิ่มความปลอดภัยให้กับเครื่องเซิร์ฟเวอร์

หลายคนมักจะปิดคุณสมบัตินี้ไป ด้วยเหตุผลบอกว่ายากต่อการทำความเข้าใจ และแก้ไข

ในบทความนี้จะอธิบายการใช้คำสั่ง iptables เพื่อแสดงสถานะ firewall ที่เปิดใช้งาน การเพิ่ม rule เพื่ออนุญาตการเชื่อมต่อ การลบ rule ที่ไม่ได้ใช้แล้ว

ลองทำตามดู ในหลายเซอร์วิส เพียงแค่แก้ไข rule นิดเดียวเท่านั้น ก็จะใช้งานได้แล้ว ไม่จำเป็นต้องปิดคุณสมบัติ firewall แต่อย่างได้

แสดง (list) rule ที่เปิดใช้งานอยู่

ใช้คำสั่ง iptables ออปชั่น “-L” เพื่อแสดงคอนฟิก firewall ที่เปิดใช้งานอยู่

ออปชั่นเพิ่มเติม ที่มักจะใช้ร่วมกับออปชั่น “-L”

• ออปชั่น “-v” เพื่อแสดงรายละเอียดเพิ่มเติมของ rule เช่นผลรวมสะสมของจำนวน packets (pkts) ขนาด (bytes)
• ออปชั่น “-n” เพื่อแสดง IP (source และ destination) และพอร์ตให้เป็นตัวเลข
• ออปชั่น “–line-numbers” เพื่อแสดงตัวเลขกำกับ rule ในแต่ละบรรทัด เพื่อสะดวกต่อการแก้ไข rule

ตัวอย่างการใช้คำสั่ง iptables ออปชั่น “-L” เพื่อแสดงค่าคอนฟิก firewall ที่ใช้งานอยู่

[root@cent6 ~]# iptables -L -v -n --line-numbers
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1      630 49714 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
2        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
3        0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
4        2   128 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
5        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 

Chain OUTPUT (policy ACCEPT 349 packets, 55278 bytes)
num   pkts bytes target     prot opt in     out     source               destination

คอนฟิก rule ที่แสดงนี้ เป็นคอนฟิกดีฟอลต์จากติดตั้ง CentOS 6 (หากไม่ได้มีการเลือกแก้ไข firewall ระหว่างการติดตั้ง)

ในที่นี้ขออธิบาย rule คร่าวๆ ในส่วนของ Chain INPUT ที่เปิดใช้งานอยู่ดังนี้

• num 1 : อนุญาต (ACCEPT) ให้ทุก packet ที่ผ่านขั้นตอนการเชื่อมต่อเรียบร้อยแล้ว (RELATED, ESTABLISHED) เข้าสู่เครื่องได้
• num 2 : อนุญาต (ACCEPT) ให้ packet ประเภท (icmp) เช่น ping เข้าสู่เครื่องได้
• num 3 : อนุญาต (ACCEPT) ให้ทุก packet ที่ส่งภายในของเครื่องเองได้ (lo หรือ loopback)
• num 4 : อนุญาต (ACCEPT) ให้ packet แรก (NEW) ที่พยายามเชื่อมต่อเข้าพอร์ตปลายทาง tcp dpt:22 (secure shell) สามารถเข้าสู่เครื่องได้ หรือสรุปง่ายๆ คืออนุญาตให้สามารถ ssh เข้าสู่เครื่องนี้ได้นั่นเอง
• num 5 : packet อื่นๆ นอกจากนี้ จะถูกปฏิเสธ (REJECT) การเข้าถึงเครื่อง และจะมีการตอบ icmp-host-prohibited กลับไปยังเครื่องต้นทางที่พยายามส่ง packet เข้ามา

การทำงาน firewall ของลีนุกซ์จะตรวจสอบ (match) ตามลำดับ rule num ที่คอนฟิกไว้ เช่นเมื่อมี packet พยายามส่งเข้า (INPUT) ก็จะตรวจสอบเรียงตาม num 1, 2, 3, 4, 5

เพิ่ม (insert) rule ใหม่

หากเราติดตั้งเซอร์วิสใหม่ คอนฟิกและรันได้เรียบร้อยแล้ว เช่นเว็บเซิร์ฟเวอร์ เปิดใช้งานพอร์ต tcp 80

ตัวอย่างการใช้คำสั่ง netstat -an เพื่อดูพอร์ตที่เปิดอยู่ ในที่นี้จะใช้คำสั่ง grep เพื่อเลือกแสดงเฉพาะบรรทัดที่มีตัวเลข 80

[root@cent6 ~]# netstat -an | grep 80
tcp        0      0 :::80                       :::*                        LISTEN

เราสามารถทดสอบจากเครื่องที่รันเว็บเซิร์ฟเวอร์เองได้ เพราะ rule ของ firewall โดยดีฟอลต์อนุญาตให้การส่งข้อมูลภายใน (lo) สามารถทำได้ (rule num 3)

ตัวอย่างการใช้คำสั่ง telnet เพื่อทดสอบการเชื่อมต่อเข้าพอร์ต 80 ของเว็บเซิร์ฟเวอร์ 192.168.5.62 (ทดสอบบนเครื่องเดียวกัน กับที่รันเว็บเซิรฟ์เวอร์)

[root@cent6 ~]# telnet 192.168.5.62 80
Trying 192.168.5.62...
Connected to 192.168.5.62.
Escape character is '^]'.

HEAD / HTTP/1.0

HTTP/1.1 403 Forbidden
Date: Sun, 08 Apr 2012 08:53:11 GMT
Server: Apache/2.2.15 (CentOS)
Accept-Ranges: bytes
Content-Length: 5039
Connection: close
Content-Type: text/html; charset=UTF-8

Connection closed by foreign host.

คำอธิบายการใช้คำสั่ง telnet เข้าพอร์ต

• หากใช้คำสั่ง telnet แล้วขึ้น “command not found” ต้องติดตั้งไฟล์ rpm ของโปรแกรม telnet เพิ่ม ซึ่งอยู่ในแผ่นดีวีดีติดตั้ง CentOS อยู่แล้ว

[root@cent6 Packages]# rpm -i telnet-0.17-47.el6.x86_64.rpm

• เราสามารถใช้คำสั่ง telnet เพื่อทดสอบเข้าพอร์ตเว็บ (tcp 80) ได้ โดยพิมพ์คำสั่ง telnet ตามด้วย IP ของเว็บเซิร์ฟเวอร์ แล้วตามด้วยพอร์ตที่รันเว็บ
• ในคำสั่ง telnet เมื่อขึ้น Connected แปลว่าสามารถเชื่อมต่อเข้าพอร์ตที่ระบะไว้ได้
• กดปุ่ม [Enter] หนึ่งครั้ง แล้วพิมพ์คำสั่ง HEAD / HTTP/1.0 เพื่อเป็นการส่งคำสั่งขอดูข้อมูลเบื้องต้นของเว็บเซิร์ฟเวอร์ได้
• หากต้องการออกจากคำสั่ง telnet ให้กดปุ่ม [Ctrl] และ ] พร้อมกัน จะมีพร้อมพต์ telnet> ขึ้นมาให้พิมพ์คำสั่ง quit เพื่อออจาก telnet

[root@cent6 ~]# telnet 192.168.5.62 80
Trying 192.168.5.62...
Connected to 192.168.5.62.
Escape character is '^]'.
^]
telnet> quit
Connection closed.

แต่ถ้าใช้ browser หรือทดสอบด้วยคำสั่ง telnet เข้าพอร์ต 80 จากเครื่องอื่นๆ เปิดเว็บเข้ามา จะเข้าไม่ได้

$ telnet 192.168.5.62 80
 Trying 192.168.5.62...
 telnet: connect to address 192.168.5.62: No route to host

ต้องเพิ่ม rule ใหม่ เข้าไปเพื่ออนุญาตการเชื่อมต่อเข้ามา โดย rule ที่เพิ่มใหม่ ต้องเพิ่มก่อน rule สุดท้ายที่มีการปฏิเสธการเข้าถึง (REJECT) ทุก packet

ใช้คำสั่ง iptables ออปชั่น “-L” เพื่อแสดงคอนฟิก firewall ที่ใช้งานอยู่

[root@cent6 ~]# iptables -L -v -n --line-numbers
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1     2363  182K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
2        2   168 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
3       11   660 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
4        4   252 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
5       10   620 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 

Chain OUTPUT (policy ACCEPT 1358 packets, 169K bytes)
num   pkts bytes target     prot opt in     out     source               destination

ใช้คำสั่ง iptables ออปชั่น “-I” เพิ่มด้วยการแทรก (insert) rule ใหม่เข้าไปแทนที่ rule num 5 ระบุว่าอนุญาต (ACCEPT) ให้การเชื่อมต่อใหม่ (NEW) เข้า (INPUT) พอร์ต tcp 80 ได้

[root@cent6 ~]# iptables -I INPUT 5 -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT

ตรวจสอบผลลัพธ์ที่ได้จาก iptables ออปชั่น “-L”

[root@cent6 ~]# iptables -L -v -n --line-numbers
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1     2383  184K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
2        2   168 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
3       11   660 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
4        4   252 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
5 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80
6       10   620 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 

Chain OUTPUT (policy ACCEPT 5 packets, 692 bytes)
num   pkts bytes target     prot opt in     out     source               destination

ทดสอบจากเครื่องอื่นด้วยการ telnet เข้าพอร์ต 80 อีกครั้ง จะสามารถเชื่อมต่อได้แล้ว

$ telnet 192.168.5.62 80
Trying 192.168.5.62...
Connected to 192.168.5.62.
Escape character is '^]'.

HEAD / HTTP/1.0

HTTP/1.1 403 Forbidden
Date: Sun, 08 Apr 2012 09:06:10 GMT
Server: Apache/2.2.15 (CentOS)
Accept-Ranges: bytes
Content-Length: 5039
Connection: close
Content-Type: text/html; charset=UTF-8

Connection closed by foreign host.

ลบ (delete) rule

หากต้องการยกเลิก rule ที่ใส่ไว้ เช่นไม่ต้องการให้เครื่องอื่นสามารถเชื่อมต่อเข้าพอร์ต 80 ได้อีกต่อไปแล้ว สามารถทำได้โดยใช้คำสั่ง iptables ออปชั่น -D ตามด้วย rule num ที่ต้องการลบ (delete) ใช้คำสั่ง iptables ออปชั่น “-L” เพื่อแสดง rule ที่เปิดใช้งานอยู่

[root@cent6 ~]# iptables -L -v -n --line-numbers
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1     2417  186K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
2        2   168 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
3       11   660 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
4        4   252 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
5 1 60 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80
6       10   620 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 

Chain OUTPUT (policy ACCEPT 27 packets, 5466 bytes)
num   pkts bytes target     prot opt in     out     source               destination

สมมติว่าต้องการลบ rule ที่อนุญาตการเชื่อมต่อเข้า (INPUT) พอร์ต 80 หรือ rule num 5 สามารถทำได้โดย

[root@cent6 ~]# iptables -D INPUT 5

ใช้คำสั่ง iptables -L จะเห็นว่า rule num 5 ถูกลบไป

[root@cent6 ~]# iptables -L -v -n --line-numbers
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1     2518  194K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
2        2   168 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
3       11   660 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
4        4   252 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
5       10   620 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 

Chain OUTPUT (policy ACCEPT 6 packets, 728 bytes)
num   pkts bytes target     prot opt in     out     source               destination

ลองทดสอบ telnet เข้าพอร์ต 80 จากเครื่องอื่นดู ก็ไม่สามารถเชื่อมต่อได้แล้ว

$ telnet 192.168.5.62 80
 Trying 192.168.5.62...
 telnet: connect to address 192.168.5.62: No route to host

ข้อมูลอ้างอิง

• แก้ไขคอนฟิก firewall ด้วย system-config-firewall

หากเราต้องการแก้ไขชื่อ hostname หรือ เปลี่ยน IP Address ของเครื่องสามารถทำได้สองวิธี

• ใช้โปรแกรม system-config-network
• แก้ไขไฟล์ในไดเร็คทอรี /etc/sysconfig/network-scripts โดยตรง

ล็อกอินด้วย root

ชื่อเครื่อง hostname

ใช้คำสั่ง hostname เพื่อดูชื่อเครื่อง

[root@cent6 ~]# hostname
cent6.example.com

หมายเหตุ โดยดีฟอลต์ เชลล์ (shell) หรือพร้อมต์ (prompt) จะขึ้นชื่อเครื่องด้วย เช่นในที่นี้คือ cent6

คำสั่ง ifconfig เพื่อดู IP, Netmask ของพอร์ตแลน

ใช้คำสั่ง ifconfig เพื่อดูคอนฟิกเน็ตเวิร์ก เช่น IP Address, Netmask ชองพอร์ตแลน (LAN) ได้

พอร์ตแลนของ CentOS หรือลีนุกซ์ส่วนใหญ่ ที่ใช้รับส่งข้อมูล จะมีชื่อขึ้นต้นด้วย eth แล้วตามด้วยตัวเลขแสดงลำดับพอรต์ โดยเริ่มจากเลข 0

เช่น พอร์ตแลนแรก ชื่อ eth0 พอร์ตที่สองก็จะเป็น eth1 ตามลำดับ

ส่วน lo เป็นพอร์ตพิเศษคือ (loopback) มี IP เป็น 127.0.0.1 ใช้สำหรับติดต่อส่งข้อมูลภายในเครื่องลีนุกซ์เอง เราไม่ต้องแก้ไขอะไร

ตัวอย่างการใช้คำสั่ง ifconfig

ในตัวอย่าง พอร์ตแลนแรก eth0 มีคอนฟิกเน็ตเวิร์กดังนี้

• IP Address: 192.168.5.62
• Netmask: 255.255.255.0

[root@cent6 ~]# ifconfig
eth0      Link encap:Ethernet  HWaddr ...
          inet addr:192.168.5.62  Bcast:192.168.5.255  Mask:255.255.255.0
          inet6 addr: ... Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:436 errors:0 dropped:0 overruns:0 frame:0
          TX packets:200 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:113770 (111.1 KiB)  TX bytes:32038 (31.2 KiB)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:26 errors:0 dropped:0 overruns:0 frame:0
          TX packets:26 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:2254 (2.2 KiB)  TX bytes:2254 (2.2 KiB)

คำสั่ง netstat -rn เพื่อดู Routing Table

ใช้คำสั่ง netstat -rn หรือ route -n เพื่อดู routing table ของลีนุกซ์ได้ ตัวอย่าง

[root@cent6 ~]# netstat -rn
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
192.168.5.0     0.0.0.0         255.255.255.0   U         0 0          0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U         0 0          0 eth0
0.0.0.0         192.168.5.1     0.0.0.0         UG        0 0          0 eth0

โปรแกรม system-config-network เพื่อเปลี่ยน IP Address

พิมพ์คำสั่ง system-config-network เพื่อเข้าสู่โปรแกรม

[root@cent6 ~]# system-config-network

ในหน้าจอ “Select Action”  ใช้ปุ่มลูกศร (cursor) ขึ้นลง เลือกที่ “Device Configuration” แล้วกด [Enter]

หน้าจอ “Select A Device” แสดงพอร์ตแลน ที่มีอยู่ เลือกที่ “eth0″ แล้วกด [Enter]

หน้าจอแสดงคอนฟิกเน็ตเวิร์กของพอร์ตแลน eth0 ใช้ลูกศรขึ้น ลง หรือกดปุ่ม [Tab] เพื่อเลื่อนไปยังช่องต่างๆ

คำเตือน ไม่แนะนำให้เปลี่ยน Name: eth0 และ Device: eth0

• Use DHCP L หากต้องการเลือกคอนฟิกแบบ DHCP ให้เลื่อน มาที่บรรทัดนี้แล้วกดปุ่ม [Spacebar] เพื่อเลือก [*]
• Static IP : IP Address ของพอร์ต
• Netmask : Netnmask ของพอร์ต
• Default gateway IP : default gateway ของเครื่อง
• Primary DNS Server : IP Addrss ของ DNS Server ตัวหลัก
• Secondary DNS Server : IP Addrss ของ DNS Server ตัวสำรอง (ถ้ามี)

เมื่อใส่เรียบร้อยแล้ว ให้เลื่อนมาที่ปุ่ม [Ok] แล้วกด [Enter]

หน้าจอจะกลับมาที่หน้า “Select A Device” กดปุ่ม [Tab] มาที่ปุ่ม [Save] แล้วกด [Enter]

หน้าจอจะกลับมาที่หน้า “Select Action” กดปุ่ม [Tab] เลื่อนมาที่ [Save&Quit] แล้วกด [Enter]

โปรแกรม system-config-network จะเข้าไปเปลี่ยนไฟล์คอนฟิกใน /etc/sysconfig/network-scripts/ เช่นเมื่อแก้ไข IP Address ของ eth0 โปรแกรมจะเปลี่ยนไฟล์

[root@cent6 ~]# cat /etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0
NM_CONTROLLED=yes
ONBOOT=yes
HWADDR=...
TYPE=Ethernet
BOOTPROTO=none
IPADDR=192.168.5.162
PREFIX=24
GATEWAY=192.168.5.1
DNS1=192.168.5.1
DOMAIN=example.com
DEFROUTE=yes
IPV4_FAILURE_FATAL=yes
IPV6INIT=no
NAME="System eth0"
UUID=...
NETMASK=255.255.255.0
USERCTL=no

แทนที่จะรันโปรแกรม system-config-network เราก็สามารถเข้ามาเปลี่ยนไฟล์นี้โดยตรงได้

หลังจากรันโปรแกรม หรือแก้ไขไฟล์ ifcfg-eth0 แล้ว  ลองใช้คำสั่ง ifconfig ดู จะเห็นว่า IP Address ของพอร์ตแลน ยังคงเหมือนเดิม

[root@cent6 ~]# ifconfig
eth0      Link encap:Ethernet  HWaddr ...
          inet addr:192.168.5.62  Bcast:192.168.5.255  Mask:255.255.255.0

ต้องรันคำสั่ง service network restart เพื่อให้อ่านคอนฟิกในส่วนเน็ตเวิร์กใหม่

คำเตือน หากมีการเปลี่ยน IP Address ของเครื่อง เช่นในตัวอย่างนี้  แนะนำให้ทำหน้าเครื่อง หรือจอคอนโซลของเครื่อง

ใช้คำสั่ง ifconfig เพื่อดู IP Address ของพอร์ต จะเห็นว่าเปลี่ยนเป็น IP ใหม่แล้ว

[root@cent6 ~]# ifconfig
eth0      Link encap:Ethernet  HWaddr ...
          inet addr:192.168.5.162  Bcast:192.168.5.255  Mask:255.255.255.0

ใช้โปรแกรม system-config-network เพื่อเปลี่ยน hostname

พิมพ์คำสั่ง system-config-network เพื่อเข้าสู่โปรแกรม

[root@cent6 ~]# system-config-network

ในหน้าจอ “Select Action”  ใช้ปุ่มลูกศร (cursor) ขึ้นลง เลื่อนมาที่ “DNS configuration” แล้วกด [Enter]

หน้าจอ “DNS configuration” แสดงคอนฟิก หากต้องการเปลี่ยนชื่อเครื่อง ก็แก้ไขในช่อง Hostname เช่นเปลี่ยนเป็น cent62.example.com

เมื่อแก้ไขเรียบร้อยแล้ว เลื่อนมาที่ปุ่ม [Ok] แล้วกด [Enter]

หน้าจอจะกลับมาที่หน้า “Select Action” กดปุ่ม [Tab] เลื่อนมาที่ [Save&Quit] แล้วกด [Enter]

หลังจากออกจากโปรแกรมแล้ว เช่นเดียวกับการเปลี่ยน IP คือคอนฟิกใหม่ยังไม่มีผล

[root@cent6 ~]# hostname
cent6.example.com

การแก้ไขชื่อ hostname นี้ โปรแกรมจะเข้าไปแก้ไขไฟล์ /etc/sysconfig/network

[root@cent6 ~]# cat /etc/sysconfig/network
NETWORKING=yes
HOSTNAME=cent62.example.com

เพื่อจะให้ชื่อ hostname ใหม่ (ไม่สามารถใช้คำสั่ง service network restart ได้ เพื่อเปลี่ยนชื่อได้)

มีผลทันที สามารถทำได้สองวิธี

1. ใช้คำสั่ง shutdown -r now เพื่อรีบู๊ตเครื่องใหม่
2. ใช้คำสั่ง hostname เพื่อเปลี่ยนชื่อใหม่เลย

ตัวอย่างการใช้คำสั่ง hostname เพื่อเปลี่ยนชื่อเครื่อง

[root@cent6 ~]# hostname
cent6.example.com

[root@cent6 ~]# hostname cent62.example.com

[root@cent6 ~]# hostname
cent62.example.com

ลอง logout แล้ว login ใหม่ด้วย root

จะสังเกตว่า พร็อมต์ เปลี่ยนไปเป็นขื่อใหม่แล้ว

[root@cent62 ~]# hostname
cent62.example.com

หมายเหตุ การเปลี่ยนชื่อ hostname อาจมีผลต่อโปรแกรมอื่นๆ ที่ใช้ชื่อ hostname ในการทำงาน เช่น X window หรือ แม้กระทั่ง syslog อาจมีปัญหาในการใช้งานได้ ต้องตามแก้เป็นโปรแกรมไป

สำหรับการหัดใช้ การรีบู๊ตเครื่องใหม่ หลังจากการเปลี่ยน hostname ก็อาจเป็นวิธีที่ง่ายกว่า

แนะนำให้ใส่เป็นชื่อเต็มคือมีชื่อเครื่องและชื่อโดเมนเนมด้วย

ในหน้านี้ สามารถกดปุ่ม [Configure Network] เพื่อเข้าสู่หน้าคอนฟิกเน็ตเวิร์คได้

ตัวอย่างเครื่องที่มีการ์ดแลนหนึ่งพอร์ต

คลิ้กที่พอร์ต “System eth0”   แล้วกดปุ่ม [Edit] เพื่อแก้ไขค่าคอนฟิกของพอร์ตได้

คลิ้ก [x] Connect automatically แล้วกดแท็ป “IPv4 Settings”

เลือก Method เป็น Manual แล้วกดปุ่ม [Add] เพื่อใส่ค่า IP Address, Netmask, Gateway

ใส่ค่า DNS Servers, Search Domain

เสร็จเรียบร้อยกดปุ่ม [Apply]

เลยต้องมาทดสอบกันหน่อย ในที่นี้จะทดสอบคอนฟิกเบื้องต้น

รายละเอียดรุ่น

• AirLive WL-5460AP v2
• 802.11g Multi-function Wireless Access Point
• LAN: 2 port LAN1, LAN2

ดีฟอลต์คอนฟิกจากโรงงาน

• AP default IP address : 192.168.100.252
• Subnet Mask : 255.255.255.0
• default passsword: airlive

คำแนะนำ ให้ทดสอบทำความเข้าใจ ก่อนที่จะต่อเชื่อม Access Point เข้ากับ network ที่ใช้งานจริงอยู่

เริ่มคอนฟิก Access Point

เซ็ต IP ของพอร์ต LAN เครื่อง PC หรือ Notebook ที่จะใช้คอนฟิกให้อยู่ใน Subnet 192.168.100.x (ห้ามตั้งชนกับ 192.168.100.252)

ต่อสายแลนเข้ากับพอร์ต LAN1 ของ AirLive

ใช้ Browser เปิดไปที่ http://192.168.100.252

หน้าเว็บขอบคุณที่เลือกใช้

คลิ้กที่แท็ป “Mode” เพิ่อเริ่มคอนฟิก Wireless

หน้าเว็บ “Wireless Mode”

•  เลือกโหมด AP (Access Point) แล้วกดปุ่ม [Setup]

หน้าเว็บ “AP Mode Settings” เพื่อแก้ไขค่าคอนฟิก Wireless

• แนะนำให้เปลี่ยนชื่อ SSID
• บรรทัด Secrity: กดปุ่ม [Setup] เพื่อตั้งค่ารหัส (Encryption key) => ไปที่หน้าเว็บ “Wireless Security Setup”
• บรรทัด Advanced Settings: กดปุ่ม [Setup] เพื่อเข้าสู่การตั้งค่าขั้นสูง => ไปที่หน้าเว็บ “Wireless Advanced Settings”

หน้าเว็บ “Wireless Security Setup”

• เลือก Encryption: ที่ต้องการใช้ เช่นเลือกเป็น WPA-PSK2 Mixed
• เลือก Pre-Shared Key Format: Passphrase
• ใส่ค่า Pre-Shared Key: ที่ต้องการ เป็นรหัสที่ Wireless Client ต้องใส่ก่อนที่จะเชื่อมต่อกับ Access Point ได้

กดปุ่ม [Apply Changes]

หมายเหตุ ข้อเสียอย่างหนึ่งของ Access Point ยี่ห้อนี้คือ เปลี่ยนคอนฟิกไปแล้ว จะมีผลหลังจาก “Reboot” เท่านั้น เพราะฉะนั้น แนะนำให้เปลี่ยนคอนฟิกทุกอย่างให้เรียบร้อย แล้วค่อย reboot ครั้งเดียว

หน้าเว็บ “Wireless Advanced Settings”

• แนะนำให้ปิดการ “Broadcast SSID:” โดยเปลี่ยนเป็น “Disabled”

กดปุ่ม [Apply Changes]

คอนฟิก DHCP Server บน Access Point

สำหรับการทดสอบนี้ จะคอนฟิกให้ Access Point แจก IP address ด้วย

คำเตือน ปิดการใช้งาน DHCP บน AP นี้ ก่อนจะเชื่อมต่อเข้ากับ network ที่มี DHCP Server อยู่แล้ว ยกเว้น คุณจะตั้งใจให้ AP ตัวนี้เป็น DHCP Server

คลิ้กแท็ป “TCP/IP” หน้าเว็บจะแสดง LAN Interface Setup

• บรรทัด DHCP: เลือกเป็น Server
• บรรทัด DHCP Client Range: ใส่ IP address ที่ต้องการแจก

เบื้องต้นทดลองเปลี่ยนคอนฟิกแค่นี้ก่อน กดแท็ป “Reboot” แล้วกดปุ่ม [Reboot] เพื่อรีบู๊ตอุปกรณ์

กดปุ่ม [OK] เพื่อยีนยันการ reboot

หน้าเว็บแสดงกำลัง Reboot เท่าที่จับเวลา ประมาณ 100 วินาที ถึงจะกลับมาใช้ได้ ใกล้เคียงกับแถบสีแดงที่ขึ้นบนหน้าเว็บเต็มพอดี เพราะฉะนั้นเปิดหน้า Rebooting ทิ้งไว้ได้เลย แต่ยกเว้นมีการเปลี่ยน IP ของ Access Point

ลองเซ็ต Wireless Client ตั้งค่า SSID, Encryption และ key ที่คอนฟิกไว้ แล้วลองเชื่อมต่อดู

หากต้องการดู Client ที่เชื่อมต่อ ให้คลิ้กแท็ป “Status” แล้วคลิ้กลิ้งค์ย่อย “Active Clients” ที่อยู่ข้างล่างแท็ป

ข้อมูลอ้างอิง

• www.airlive.com

ถ้าเป็นเครื่องที่เราสามารถดูแลได้ วิธีหนึ่งที่ทำได้คือ คอนฟิก Proxy ใน ฺBrowser ของแต่ละเครื่องที่จะใช้อินเตอร์เน็ต ชี้ไปยัง Proxy Server ที่ทำหน้าที่เก็บข้อมูลการใช้งาน

แต่ถ้าเราไม่สามารถควบคุมดูแลได้ หรือเครื่องที่ใช้งานมีการเปลี่ยนแปลงตลอดเวลา เช่นให้บริการอินเตอร์เน็ต สำหรับผู้มาติดต่องาน

ถ้าเป็นแบบนี้ แนะนำให้คอนฟิก Transparent Proxy บน Linux Router เพื่อให้ทำหน้าที่เก็บข้อมูลการใช้เว็บโดยอัตโนมัติ

ระบบทดสอบ

• Linux Router ติดตั้ง Squid มีพอร์ต LAN สองพอร์ต eth0, eth1
• เครื่องผู้ใช้งานทั้งหมดต่อพอร์ต eth0 ของ Linux Router
• พอร์ต eth1 ของ Linux Router ต่อไปยังอินเตอร์เน็ต

Redirect Web Traffic ให้เข้าไปใน Proxy Server

เริ่มแรกต้องบังคับให้การใช้เว็บอินเตอร์เน็ตทั้งหมดต้องผ่าน Linux Router เข้าพอร์ต eth0 แล้วออกอินเตอร์เน็ตทางพอร์ต eth1

ถ้าเราต้องการให้การใช้เว็บ (TCP Port 80) ทั้งหมด เข้าพอร์ต eth0 ต้องผ่านเข้าไปใน Proxy Server (TCP Port 3128) ก่อน เพื่อให้เก็บข้อมูลการใช้งาน สามารถใช้คำสั่ง iptables ตามตัวอย่าง

[root@router ~]# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

คอนฟิก Squid ให้ทำหน้าที่เป็น Transparent Proxy

อย่างที่สองคือต้องแก้ไขไฟล์คอนฟิก Squid ซึ่งอยู่ใน /etc/squid/squid.conf

การแก้ไขคอนฟิกขึ้นอยู่กับเวอร์ชั่นของ Squid ที่ติดตั้ง

คำแนะนำ : เพื่อคุณสมบัติและประสิทธิภาพที่ดีกว่า แนะนำให้ใช้เวอร์ชั่นใหม่ล่าสุดที่สามารถติดตั้งได้

เวอร์ชั่นเก่ากว่า 2.6

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

เวอร์ชั่น 2.6 – 3.0

http_port 3128 transparent

ตั้งแต่เวอร์ชั่น 3.1

http_port 3128 intercept

หรือ

http_port 3128 transparent

หลังการแก้ไขคอนฟิกไฟล์ของ squid ต้องรีสตาร์ตเซอร์วิส squid

[root@router ~]# service squid restart

สามารถดูข้อมูลการใช้งานเว็บได้ในไฟล์ /var/log/squid/access.log

ข้อมูลอ้างอิง

• คอนฟิก Squid Proxy Server
• squid : Optimising Web Delivery
• Quick HOWTO : Ch32 : Controlling Web Access with Squid

ตัวอย่างทั้งหมด แสดงการเพิ่ม และ ลบ route เพื่อไปยัง network “172.16.1.0/255.255.255.0″ โดยผ่าน gateway “192.168.1.254″

ส่วนการแสดง routing table นั้น จะแสดงผลลัพธ์เฉพาะส่วนที่เพิ่ม route เท่านั้น

Linux

[root@linux ~]# route add -net 172.16.1.0 netmask 255.255.255.0 gw 192.168.1.254

[root@linux ~]# netstat -rn
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
172.16.1.0      192.168.1.254   255.255.255.0     UG      0 0          0 eth0

[root@linux ~]# route del -net 172.16.1.0 netmask 255.255.255.0 gw 192.168.1.254

MAC OS X

[root@osx ~]# route add -net 172.16.1.0 192.168.1.254 255.255.255.0
add net 172.16.1.0: gateway 192.168.1.254

[root@osx ~]# netstat -rn
Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
172.16.1/24        192.168.1.254      UGSc        0        0    en0

[root@osx ~]# route delete -net 172.16.1.0 192.168.1.254 255.255.255.0
delete net 172.16.1.0: gateway 192.168.1.254

Solaris 

[root@solaris /]# route add -net 172.16.1.0 -netmask 255.255.255.0 192.168.1.254
add net 172.16.1.0: gateway 192.168.1.254 

[root@solaris /]# netstat -rnv

IRE Table: IPv4
  Destination             Mask           Gateway          Device Mxfrg Rtt   Ref Flg  Out  In/Fwd
-------------------- --------------- -------------------- ------ ----- ----- --- --- ----- ------
172.16.1.0           255.255.255.0   192.168.1.254               1500*    0    1 UG      0      0

[root@solaris /]# route delete -net 172.16.1.0 -netmask 255.255.255.0 192.168.1.254
delete net 172.16.1.0: gateway 192.168.1.254

Windows

C:\> route add 172.16.1.0 mask 255.255.255.0 192.168.1.254

C:\> netstat -rn

Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
       172.16.1.0      255.255.255.0     192.168.1.254  192.168.1.       1

C:\> route delete 172.16.1.0 mask 255.255.255.0 192.168.1.254

มีประโยชน์อย่างมาก เพื่อใช้ในการวิเคราะห์ ตรวจสอบ หรือแก้ปัญหาเกี่ยวกับ Network ได้

tcpdump ต้องรันด้วย root หรือเทียบเท่า และรันแบบ command line ติดตั้งมาเป็นดีฟอลต์บนลีนุกซ์เกือบทุกตระกูล เวอร์ชั่น จึงใช้งานได้สะดวก ไม่ต้องติดตั้งเพิ่มเติมเหมือนโปรแกรมอื่นๆ

ในที่นี้ขอแนะนำวิธีการใช้งานเบื้องต้นของ tcpdump

รันคำสั่ง tcpdump

ล็อกอินเป็น root แล้วพิมพ์คำสั่ง tcpdump

หมายเหตุ พอร์ตที่ใช้ในดักจับ packet ไม่จำเป็นต้องใส่ IP Address หรือเป็น IP ในกลุ่มเดียวกับ IP อื่นๆ ใน Network ที่ต้องการดักจับ ขอให้สถานะ Up พอ

หากไม่ระบุออปชั่นใดๆ เลย tcpdump จะเลือกดักจับ packet ที่เข้าออก พอร์ตแลนแรก โดยทั่วไปคือ eth0

ตัวอย่างการรันคำสั่งแบบไม่ระบุออปชั่น

[root@server ~]# tcpdump
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
09:15:53.948422 IP 192.168.1.102.jwalkserver > server.example.com.ssh: Flags [.], ack 1108, win 64623, length 0
09:15:53.955117 IP server.example.com.ssh > 192.168.1.102.jwalkserver: Flags [P.], seq 1108:1384, ack 1, win 8576, length 276
09:15:53.963948 IP server.example.com.ssh > 192.168.1.102.jwalkserver: Flags [P.], seq 1384:1548, ack 1, win 8576, length 164
09:15:53.964191 IP 192.168.1.102.jwalkserver > server.example.com.ssh: Flags [.], ack 1548, win 64183, length 0
09:15:53.972707 IP server.example.com.ssh > 192.168.1.102.jwalkserver: Flags [P.], seq 1548:1824, ack 1, win 8576, length 276
^C

102 packets captured
102 packets received by filter
0 packets dropped by kernel

กด [Ctrl-C] เพื่อออกจากคำสั่ง tcpdump ด้านล่างจะมีรายงานสรุปว่า ดักจับได้กี่ packet

ผลลัพธ์ที่แสดงจากคำสั่ง tcpdump จะแตกต่างกันไปขึ้นกับ Network Protocol ที่รับ/ส่ง เช่นถ้าเป็น IP Protocol (TCP, UDP) รูปแบบจะเป็น

• เวลา
• IP
• [Source IP Address].[Source Port]
• [Destination Address].[Destination Port]
• IP, TCP, UDP Headers

เลือกพอร์ตที่ดักจับ

ระบุออปชั่น “-i” แล้วตามด้วยชื่อพอร์ต เช่น ต้องการจับ packet ที่เข้าออก eth1

[root@server ~]# tcpdump -i eth1
tcpdump: WARNING: eth1: no IPv4 address assigned
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes
^C

ในที่นี้ พอร์ต eth1 ไม่มีการใส่ IP Address จึงขึ้นฟ้อง “WARNING: eth1: no IPv4 address assigned” แต่ก็ยังสามารถดักจับ Traffic ได้

ไม่ต้องแปลง IP เป็นชื่อ hostname

ผลลัพธ์ที่แสดงออกมา โปรแกรม tcpdump จะพยายามแปลง IP Address ทั้งต้นทาง ปลายทาง ของ packet ที่ดักจับได้ ให้เป็นชื่อ hostname โดยใช้ไฟล์ /etc/hosts หรือ บริการ DNS

ถ้าหาก traffic มีปริมาณมาก แนะนำให้ปิดคุณสมบัติการพยายามแปลง IP เป็น ชื่อ hostname ออกซะ ด้วยการระบุออปชั่น “-n” เพื่อลดโหลด DNS

[root@server ~]# tcpdump -i eth0 -l -n
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
09:31:10.322145 IP 192.168.1.1.ssh > 192.168.1.102.jwalkserver: Flags [P.], seq 1901277915:1901278111, ack 2244887520, win 8576, length 196
09:31:10.322752 IP 192.168.1.102.jwalkserver > 192.168.1.1.ssh: Flags [.], ack 196, win 65535, length 0
09:31:10.330843 IP 192.168.1.1.ssh > 192.168.1.102.jwalkserver: Flags [P.], seq 196:472, ack 1, win 8576, length 276
09:31:10.332785 IP 192.168.1.1.ssh > 192.168.1.102.jwalkserver: Flags [P.], seq 472:636, ack 1, win 8576, length 164
09:31:10.333209 IP 192.168.1.102.jwalkserver > 192.168.1.1.ssh: Flags [.], ack 636, win 65095, length 0
^C

ไม่ต้องแปลง Port Number เป็นชื่อ Port Name

หากต้องการแสดงชื่อพอร์ต (TCP, UDP ports) เป็นตัวเลข (ไฟล์ /etc/services)  ให้ระบุออปชั่น “-n” เพิ่มอีกหนึ่ง หรือระบุเป็น “-nn” เลย

[root@server ~]# tcpdump -i eth0 -l -nn
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
09:39:38.800430 IP 192.168.1.102.1289 > 192.168.1.1.22: Flags [.], ack 196, win 65535, length 0
09:39:38.802793 IP 192.168.1.1.22 > 192.168.1.102.1289: Flags [P.], seq 196:456, ack 1, win 8576, length 260
09:39:38.805709 IP 192.168.1.1.22 > 192.168.1.102.1289: Flags [P.], seq 456:604, ack 1, win 8576, length 148
09:39:38.805963 IP 192.168.1.102.1289 > 192.168.1.1.22: Flags [.], ack 604, win 65127, length 0
09:39:38.808655 IP 192.168.1.1.22 > 192.168.1.102.1289: Flags [P.], seq 604:848, ack 1, win 8576, length 244
^C

ผลลัพธ์แบบสั้นๆ 

หากไม่สนใจ ข้อมูลใน IP, TCP, UDP Headers ต้องการรู้แค่ว่า IP อะไรคุยกัน ใช้พอร์ตอะไร แค่นั้นพอ ให้ระบุออปชั่น “-q”

[root@server ~]# tcpdump -i eth0 -l -nn -q
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
09:40:48.472427 IP 192.168.1.1.22 > 192.168.1.102.1289: tcp 196
09:40:48.473006 IP 192.168.1.102.1289 > 192.168.1.1.22: tcp 0
09:40:48.479252 IP 192.168.1.1.22 > 192.168.1.102.1289: tcp 164
09:40:48.487003 IP 192.168.1.1.22 > 192.168.1.102.1289: tcp 100
09:40:48.487311 IP 192.168.1.102.1289 > 192.168.1.1.22: tcp 0
^C

แสดงข้อมูล Layer 2 (MAC Address)

ระบุออปชั่น “-e”  หากต้องการแสดงข้อมูล Layer 2 หรือแสดง Source, Destination MAC Address ด้วย

[root@server ~]# tcpdump -i eth0 -l -nn -e -q
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
09:44:05.644395 00:11:22:33:44:55 > 00:55:66:77:88:99, IPv4, length 250: 192.168.1.1.22 > 192.168.1.102.1289: tcp 196
09:44:05.644959 00:55:66:77:88:99 > 00:11:22:33:44:55, IPv4, length 60: 192.168.1.102.1289 > 192.168.1.1.22: tcp 0
09:44:05.652121 00:11:22:33:44:55 > 00:55:66:77:88:99, IPv4, length 314: 192.168.1.1.22 > 192.168.1.102.1289: tcp 260
09:44:05.660897 00:11:22:33:44:55 > 00:55:66:77:88:99, IPv4, length 218: 192.168.1.1.22 > 192.168.1.102.1289: tcp 164
09:44:05.661173 00:55:66:77:88:99 > 00:11:22:33:44:55, IPv4, length 60: 192.168.1.102.1289 > 192.168.1.1.22: tcp 0
^C

 
save ผลลัพธ์เก็บในไฟล์

หากต้องการบันทึก (save) ผลลัพธ์ที่ดักจับได้ ให้เหมือนกับหน้าจอที่แสดงขึ้นมา ก็ใช้การ redirection

ตัวอย่าง การเก็บผลลัพธ์ลงไฟล์ ให้เหมือนกับที่แสดงขึ้นมา

[root@server ~]# tcpdump -i eth0 -l -nn -q > catpure-display.log
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
^C
7 packets captured
7 packets received by filter
0 packets dropped by kernel

หากต้องการหยุด ก็กดปุ่ม [Ctrl-C] เหมือนกัน

ใช้คำสั่ง cat เพื่อดูเนื้อหาไฟล์ที่บันทึก

[root@server ~]# cat capture-display.log
09:57:08.118314 IP 192.168.1.1.22 > 192.168.1.102.1289: tcp 196
09:57:08.118515 IP 192.168.1.102.1289 > 192.168.1.1.22: tcp 0
09:57:09.138258 IP 192.168.1.102.1289 > 192.168.1.1.22: tcp 36
09:57:09.355761 IP 192.168.1.102.1289 > 192.168.1.1.22: tcp 36
09:57:09.356025 IP 192.168.1.1.22 > 192.168.1.102.1289: tcp 0
^C

 แต่ถ้าต้องการบันทึกแบบเต็มรูปแบบ ให้ใช้ออปชั่น “-w” แล้วตามด้วยชื่อไฟล์ โดยทั่วไปนิยมบันทึกเป็นไฟล์นามสกุล “.cap”

[root@server ~]# tcpdump -i eth0 -w capture-raw.cap
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
^C
24 packets captured
24 packets received by filter
0 packets dropped by kernel

ไฟล์ที่บันทึกด้วยออปชั่น “-w” สามารถนำมาเปิดย้อนหลังด้วยคำสั่ง tcpdump ตามด้วยออปชั่น “-r”  นอกจากนี้ ยังสามารถนำไปเปิดกับโปรแกรม Wireshark ได้อีกด้วย

[root@server ~]# tcpdump -r capture-raw.cap -l -nn
reading from file capture-raw.cap, link-type EN10MB (Ethernet)
10:00:14.959339 IP 192.168.1.102.1289 > 192.168.1.1.22: Flags [P.], seq 105:157, ack 236, win 65431, length 52
10:00:14.972070 IP 192.168.1.1.22 > 192.168.1.102.1289: Flags [P.], seq 236:288, ack 157, win 8576, length 52
10:00:15.137079 IP 192.168.1.102.1289 > 192.168.1.1.22: Flags [.], ack 288, win 65379, length 0
10:00:15.221339 IP 192.168.1.102.1289 > 192.168.1.1.22: Flags [P.], seq 157:209, ack 288, win 65379, length 52
10:00:15.227905 IP 192.168.1.1.22 > 192.168.1.102.1289: Flags [P.], seq 288:340, ack 209, win 8576, length 52
^C

ข้อมูลอ้างอิง

• ตรวจสอบสถานะของการ์ดเน็ตเวิร์กบนลีนุกซ์

คุณต้องเคยเจอปัญหานี้แน่นอน คือมีการพยายามเจาะระบบด้วยการ ssh เข้ามา ด้วย user, password ต่างๆ ที่คาดว่าจะมีในเครื่อง

ตัวอย่างไฟล์ /var/log/secure แสดงถึงการพยายาม ssh แต่ไม่สำเร็จ

May  2 16:39:27 server sshd[8309]: Invalid user john from x.x.x.x
May  2 16:39:27 server sshd[8310]: input_userauth_request: invalid user john
May  2 16:39:27 server sshd[8309]: pam_unix(sshd:auth): check pass; user unknown
May  2 16:39:27 server sshd[8309]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=x.x.x.x
May  2 16:39:27 server sshd[8309]: pam_succeed_if(sshd:auth): error retrieving information about user john
May  2 16:39:29 server sshd[8309]: Failed password for invalid user john from x.x.x.x port 3291 ssh2
May  2 16:39:29 server sshd[8310]: Received disconnect from x.x.x.x: 11: Bye Bye

การป้องกัน หรือคำแนะนำอย่างแรก ที่พึงกระทำคือ ตั้ง user, password ให้ยากต่อการคาดเดา แต่เท่านั้นอาจไม่เพียงพอ

บทความนี้ขอเสนอวิธีการป้องกันด้วย fail2ban ซึ่งจะช่วยแบน ip ที่พยายาม login แต่ไม่สำเร็จได้

หลักการทำงานคร่าวๆ คือ โปรแกรม fail2ban จะคอยตรวจสอบไฟล์ที่ตั้งไว้ โดยค้นหาคำหรือประโยคที่เกิดขึ้นในไฟล์ เมื่อมีการ failed attempts เกิดขึ้นถึงจำนวนครั้งที่กำหนด fail2ban จะทำการบางอย่างที่ตั้งไว้ เช่น รันคำสั่ง iptables เพื่อ DROP packets ได้

ติดตั้งไฟล์ rpm

ในที่นี้ทดสอบบน Fedora 14 ต้องติดตั้งไฟล์ rpm เพิ่มเติมดังนี้

[root@fc14-x64 ~]# rpm -ivh gamin-python-0.1.10-8.fc14.x86_64.rpm
[root@fc14-x64 ~]# rpm -ivh shorewall-4.4.11.1-1.fc14.noarch.rpm
[root@fc14-x64 ~]# rpm -ivh fail2ban-0.8.4-25.fc14.noarch.rpm

เพื่อความชัดเจนในการทดสอบ จะรันคำสั่ง service iptables stop เพื่อเคลียร์ rule ของ iptables ทั้งหมดออกก่อน

[root@fc14-x64 ~]# service iptables stop
iptables: Flushing firewall rules:                         [  OK  ]
iptables: Setting chains to policy ACCEPT: filter          [  OK  ]
iptables: Unloading modules:                               [  OK  ]

ใช้คำสั่ง iptables เพื่อแสดง rule ที่ใช้งานอยู่

[root@fc14-x64 ~]# iptables -L -v -n
Chain INPUT (policy ACCEPT 46 packets, 3176 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 40 packets, 5272 bytes)
 pkts bytes target     prot opt in     out     source               destination

ใช้คำสั่ง service เพื่อสตาร์ต fail2ban

[root@fc14-x64 ~]# service fail2ban start
Starting fail2ban:                                         [  OK  ]

ใช้คำสั่ง ps เพื่อดูโปรเซสของ fail2ban

[root@fc14-x64 ~]# ps -ef | grep fail2ban
root      1151     1  0 23:32 ?        00:00:00 /usr/bin/python /usr/bin/fail2ban-server -b -s /var/run/fail2ban/fail2ban.sock -x

ดูในไฟล์ /var/log/messages แสดงการเริ่มต้นทำงานของ fail2ban

[root@fc14-x64 ~]# tail /var/log/messages

May  6 23:35:32 fc14-x64 fail2ban.server : INFO   Changed logging target to SYSLOG for Fail2ban v0.8.4
May  6 23:35:32 fc14-x64 fail2ban.jail   : INFO   Creating new jail 'ssh-iptables'
May  6 23:35:32 fc14-x64 fail2ban.jail   : INFO   Jail 'ssh-iptables' uses Gamin
May  6 23:35:32 fc14-x64 fail2ban.filter : INFO   Added logfile = /var/log/secure
May  6 23:35:32 fc14-x64 fail2ban.filter : INFO   Set maxRetry = 5
May  6 23:35:32 fc14-x64 fail2ban.filter : INFO   Set findtime = 600
May  6 23:35:32 fc14-x64 fail2ban.actions: INFO   Set banTime = 600
May  6 23:35:32 fc14-x64 fail2ban.jail   : INFO   Jail 'ssh-iptables' started

ดีฟอลต์คอนฟิกไฟล์ rpm ที่ได้มาจาก Fedora 14 จะตรวจสอบเฉพาะการพยายาม SSH โดยดูในไฟล์ /var/log/secure

fail2ban จะสร้าง rule และ chain ใหม่ขึ้นมา ใน iptables

[root@fc14-x64 ~]# iptables -L -v -n
Chain INPUT (policy ACCEPT 92 packets, 7885 bytes)
 pkts bytes target     prot opt in     out     source               destination
   53  4052 fail2ban-SSH  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 84 packets, 8087 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain fail2ban-SSH (1 references)
 pkts bytes target     prot opt in     out     source               destination
   53  4052 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0

ไฟล์คอนฟิกของ fail2ban

ไฟล์คอนฟิกของ fail2ban อยู่ใน /etc/fail2ban/

ไฟล์ /etc/fail2ban/jail.conf จะเป็นการกำหนดการทำงานของ fail2ban

คอนฟิกบางส่วนจากไฟล์ jail.conf

[root@fc14-x64 ~]# cat /etc/fail2ban/jail.conf
...
[DEFAULT]
...
# "bantime" is the number of seconds that a host is banned.
bantime  = 600

# A host is banned if it has generated "maxretry" during the last "findtime"
# seconds.
findtime  = 600
...
[ssh-iptables]

enabled  = true
filter   = sshd
action   = iptables[name=SSH, port=ssh, protocol=tcp]
           sendmail-whois[name=SSH, dest=root, sender=fail2ban@mail.com]
logpath  = /var/log/secure
maxretry = 5

คำอธิบายคร่าวๆ จากไฟล์ jail.conf คือ ให้ตรวจสอบ (filter) การ ssh โดยดูในไฟล์ (logpath) /var/log/secure ว่า ถ้ามีการ failed login เกิน (maxretry) ครั้ง ภายในเวลา (findtime) 600 วินาที ให้ทำการ (action) รัน iptables ด้วยออปชั่นในวงเล็บ

สามารถดูรายละเอียด filter ในไฟล์ /etc/fail2ban/filter.d/sshd.conf

[root@fc14-x64 ~]# cat /etc/fail2ban/filter.d/sshd.conf
...
[Definition]

_daemon = sshd
...
failregex = ^%(__prefix_line)s(?:error: PAM: )?Authentication failure for .* from <HOST>\s*$
            ^%(__prefix_line)s(?:error: PAM: )?User not known to the underlying authentication module for .* from <HOST>\s*$
            ^%(__prefix_line)sFailed (?:password|publickey) for .* from <HOST>(?: port \d*)?(?: ssh\d*)?$
            ^%(__prefix_line)sROOT LOGIN REFUSED.* FROM <HOST>\s*$
            ^%(__prefix_line)s[iI](?:llegal|nvalid) user .* from <HOST>\s*$
            ^%(__prefix_line)sUser \S+ from <HOST> not allowed because not listed in AllowUsers$
            ^%(__prefix_line)sauthentication failure; logname=\S* uid=\S* euid=\S* tty=\S* ruser=\S* rhost=<HOST>(?:\s+user=.*)?\s*$
            ^%(__prefix_line)srefused connect from \S+ \(<HOST>\)\s*$
            ^%(__prefix_line)sAddress <HOST> .* POSSIBLE BREAK-IN ATTEMPT!*\s*$
            ^%(__prefix_line)sUser \S+ from <HOST> not allowed because none of user's groups are listed in AllowGroups$

คำอธิบายจากไฟล์คอนฟิก filter คือ ให้ตรวจสอบหาคำหรือประโยคที่ระบุไว้ใน failregex (regular expression)

ส่วน action ที่ทำ หลังจาก maxretry ดูได้ในไฟล์  /etc/fail2ban/action.d/iptables.conf

[root@fc14-x64 ~]# cat /etc/fail2ban/action.d/iptables.conf
...
actionban = iptables -I fail2ban-<name> 1 -s <ip> -j DROP
...
actionunban = iptables -D fail2ban-<name> -s <ip> -j DROP

คำอธิบาย คือการรันคำสั่ง iptables เพื่อสร้าง rule เพื่อจะ ban <ip> ที่พยายามเข้ามา

และเมื่อเกินเวลา (bantime) 600 วินาที แล้ว ก็รันคำสั่ง iptables เพื่อลบ rule ที่สร้างขึ้น อนุญาตให้ <ip> สามารถเข้ามาได้อีกครั้ง

ทดสอบการ login fail

คำเตือน การทดลองใช้ fail2ban ให้ลองบนเครื่องที่สามารถ console ได้  เพราะการคอนฟิกหรือลอง login fail จะทำให้คุณไม่สามารถ ssh เข้าเครื่องนั้นได้ ช่วงเวลาหนึ่ง

สมมุติให้ลอง ssh login fail ด้วย root จาก 192.168.1.12

ดูไฟล์ /var/log/secure ที่เกิดขึ้นบน server

[root@fc14-x64 ~]# tail -f /var/log/secure
May  6 23:43:47 fc14-x64 unix_chkpwd[1340]: password check failed for user (root)
May  6 23:43:47 fc14-x64 sshd[1338]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.12  user=root
May  6 23:43:49 fc14-x64 sshd[1338]: Failed password for root from 192.168.1.12 port 34811 ssh2

May  6 23:43:56 fc14-x64 unix_chkpwd[1342]: password check failed for user (root)
May  6 23:43:58 fc14-x64 sshd[1338]: Failed password for root from 192.168.1.12 port 34811 ssh2

May  6 23:44:00 fc14-x64 unix_chkpwd[1343]: password check failed for user (root)
May  6 23:44:01 fc14-x64 sshd[1338]: Failed password for root from 192.168.1.12 port 34811 ssh2
May  6 23:44:01 fc14-x64 sshd[1339]: Connection closed by 192.168.1.12
May  6 23:44:01 fc14-x64 sshd[1338]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.12  user=root

May  6 23:44:16 fc14-x64 unix_chkpwd[1348]: password check failed for user (root)
May  6 23:44:16 fc14-x64 sshd[1346]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.12  user=root
May  6 23:44:19 fc14-x64 sshd[1346]: Failed password for root from 192.168.1.12 port 34812 ssh2

May  6 23:44:22 fc14-x64 unix_chkpwd[1349]: password check failed for user (root)
May  6 23:44:25 fc14-x64 sshd[1346]: Failed password for root from 192.168.1.12 port 34812 ssh2
May  6 23:44:25 fc14-x64 sshd[1347]: Connection closed by 192.168.1.12
May  6 23:44:25 fc14-x64 sshd[1346]: PAM 1 more authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.12  user=root

เมื่อ login fail เกินค่า maxretry ที่ตั้งไว้ ในที่นี้คือ 5 ครั้ง สังเกตในไฟล์ /var/log/messages  โปรแกรม fail2ban จะทำการ action ขึ้นมา เพื่อ ban 192.168.1.12

[root@fc14-x64 ~]# tail /var/log/messages
May  6 23:44:27 fc14-x64 <28>fail2ban.actions: WARNING [ssh-iptables] Ban 192.168.1.12

ใช้คำสั่ง iptables เพื่อตรวจสอบ rule ที่เพิ่มขึ้น

[root@fc14-x64 ~]# iptables -L -v -n
Chain INPUT (policy ACCEPT 61 packets, 10699 bytes)
 pkts bytes target     prot opt in     out     source               destination
  453 37587 fail2ban-SSH  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 60 packets, 7044 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain fail2ban-SSH (1 references)
 pkts bytes target     prot opt in     out     source               destination
    2   120 DROP       all  --  *      *       192.168.1.12            0.0.0.0/0
  451 37467 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0

สังเกตว่า rule ที่สร้างขึ้น จะ DROP เฉพาะการ ssh (tcp 22) เท่านั้น แปลว่า ip ที่ถูก ban ไป จะไม่สามารถ ssh เข้าเครื่อง server ได้อีก แต่ยังสามารถเปิด web (tcp 80) หรืออื่นๆ ได้ตามปกติ

คอนฟิกในไฟล์ jail.conf เมื่อมีการ ban เกิดขึ้น จะมีการส่ง mail หา root ด้วย

ตัวอย่าง mail ที่ส่งให้ root

From fail2ban@mail.com  Fri May  6 23:44:28 2011
Return-Path: <fail2ban@mail.com>
Date: Fri, 6 May 2011 23:44:27 +0700
Subject: [Fail2Ban] SSH: banned 192.168.1.12
From: Fail2Ban <fail2ban@mail.com>
To: root@fc14-x64.example.com
Status: R

Hi,

The IP 192.168.1.12 has just been banned by Fail2Ban after 5 attempts against SSH.
...

เมื่อเวลาผ่านไป เกินเวลา bantime ในที่นี้ 600 วินาที  โปรแกรม fail2ban ก็จะปลดการ ban ออก ดูได้จากไฟล์ /var/log/messsages

[root@fc14-x64 ~]# tail /var/log/messages
May  6 23:44:27 fc14-x64 <28>fail2ban.actions: WARNING [ssh-iptables] Ban 192.168.1.12
May  6 23:54:28 fc14-x64 <28>fail2ban.actions: WARNING [ssh-iptables] Unban 192.168.1.12

ใช้คำสั่ง iptables เพื่อตรวจสอบ rule ที่ใช้งานอยู่ หลังจาก unban

[root@fc14-x64 log]# iptables -L -v -n
Chain INPUT (policy ACCEPT 561 packets, 50572 bytes)
 pkts bytes target     prot opt in     out     source               destination
 1753  141K fail2ban-SSH  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 501 packets, 50410 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain fail2ban-SSH (1 references)
 pkts bytes target     prot opt in     out     source               destination
 1751  141K RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0

ลองนำไปใช้ดูครับ เพิ่มความปลอดภัยให้เครื่องได้อีกระดับ

ข้อมูลอ้างอิง

• Fail2ban