27 ก.พ. 2553

ไม่สามารถลบ Folder บนหน้า desktop ได้

Windows Vista

ปัญหา: มี Folder บนหน้าจอ desktop อันหนึ่งไม่มีชื่อ vpkdจะลบก็ลบไม่ได้ อยากจะเปลี่ยนชื่อFolder ก็ไม่ได้

วิธีแก้: ไปที่ Start ตรงช่อง start search ให้พิมพ์ CMD แล้ว Enter
แล้ว cd เข้าไปที่ Desktop แล้ว dir /x จะเห็นชื่อ Folder แบบสั้น ก่อนที่เราจะลบได้ ต้องแก้ไขสิทธิ์ ของ Folder ให้สามารถ ลบได้ก่อนด้วย
attrib -r <ชื่อ Folder> แล้วเราก็ลบมันด้วย คำสั่ง
rd <ชื่อFolder> แล้ว enter

20 ก.พ. 2553

Samples Iptables for Demilitarized Zone

Q. Can you tell me more about Linux Demilitarized Zone and Ethernet Interface Card Requirements for typical DMZ implementation? How can a rule be set to route traffic to certain machines on a DMZ for HTTP or SMTP?

A. Demilitarized zone, used to secure an internal network from external access. You can use Linux firewall to create DMZ easily. There are many different ways to design a network with a DMZ. The basic method is to use a single Linux firewall with 3 Ethernet cards. The following simple example discusses DMZ setup and forwarding public traffic to internal servers.

Sample Example DMZ Setup
Consider the following DMZ host with 3 NIC:
[a] eth0 with 192.168.1.1 private IP address - Internal LAN ~ Desktop system
[b] eth1 with 202.54.1.1 public IP address - WAN connected to ISP router
[c] eth2 with 192.168.2.1 private IP address - DMZ connected to Mail / Web / DNS and other private servers


(Fig 01: A typical Linux based DMZ setup [ Image modified from Wikipedia article] )

Routing traffic between public and DMZ server
To set a rule for routing all incoming SMTP requests to a dedicated Mail server at IP address 192.168.2.2 and port 25, network address translation (NAT) calls a PREROUTING table to forward the packets to the proper destination.

This can be done with appropriate IPTABLES firewall rule to route traffic between LAN to DMZ and public interface to DMZ. For example, all incoming mail traffic from internet (202.54.1.1) can be send to DMZ mail server (192.168.2.2) with the following iptables prerouting rule (assuming default DROP all firewall policy):


# ### end init firewall .. Start DMZ stuff ####
# forward traffic between DMZ and LAN
iptables -A FORWARD -i eth0 -o eth2 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth2 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

# forward traffic between DMZ and WAN servers SMTP, Mail etc
iptables -A FORWARD -i eth2 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth2 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

# Route incoming SMTP (port 25 ) traffic to DMZ server 192.168.2.2
iptables -t nat -A PREROUTING -p tcp -i eth1 -d 202.54.1.1 --dport 25 -j DNAT --to-destination 192.168.2.2

# Route incoming HTTP (port 80 ) traffic to DMZ server load balancer IP 192.168.2.3
iptables -t nat -A PREROUTING -p tcp -i eth1 -d 202.54.1.1 --dport 80 -j DNAT --to-destination 192.168.2.3

# Route incoming HTTPS (port 443 ) traffic to DMZ server reverse load balancer IP 192.168.2.4
iptables -t nat -A PREROUTING -p tcp -i eth1 -d 202.54.1.1 --dport 443 -j DNAT --to-destination 192.168.2.4
### End DMZ .. Add other rules ###

Where,

■-i eth1 : Wan network interface
■-d 202.54.1.1 : Wan public IP address
■--dport 25 : SMTP Traffic
■-j DNAT : DNAT target used set the destination address of the packet with --to-destination
■--to-destination 192.168.2.2: Mail server ip address (private IP)

17 ก.พ. 2553

Re-enable Hibernate บน Windows Vista

ถ้าสมมุติว่าหาหน้าต่าง Hibernate option ไม่พบ ในเครื่องที่ลง Windows Vista เค้าบอกว่ามันเป็น Bug ของ Vista เอง ผมก้ไม่รู้ว่าเค้าออก update ที่แก้ไขตรงนี้รึยัง ช่วงนี้ก็ต้องหาวิธีอื่นไปก่อน ขอแนะนำหนึ่งวิธี
เริ่มกันเลย ไปที่ start พิมพ์ cmd ที่ช่อง search เมื่อพิมพ์เสร็จแล้ว ให้กด Ctrl+Alt+Enter (อลังการงานสร้าง) เพื่อจะได้ Run as Administrator ไง เพราะถ้าไม่กด 3 ปุ่มนี้ จะเป็นแค่ User ธรรมดา ไม่มีสิทธิ์แก้ไขอะไร





ต่อมาจะมีหน้าต่างขึ้นมาก็พิมพ์ต่อไปว่า

powercfg /hibernate on










ถ้าอยากจะปิด hibernate ก็พิมพ์แบบนี้

powercfg /hibernate off

อ้างอิง: http://www.howtogeek.com/howto/windows-vista/re-enable-hibernate-option-in-windows-vista/

วิธีเพิ่ม user ใน Daloradius

หลังจากติดตั้ง Daloradius และปรับแต่งค่าต่างๆ เรียบร้อยแล้ว
ขั้นตอนต่อไปจะเป็นการเพิ่ม user เข้าไปในระบบ ซึ่งมีขั้นตอนดังนี้
ก่อนที่จะเพิ่ม user ได้ต้องสร้าง Groups ขึ้นมาก่อน ดังนี้
ไปที่ >Management>Groups>New Group Reply Mapping จะมีช่องให้กรอกข้อมูลตามแบบด้านล่าง



เริ่มจากตั้งชื่อกลุ่มผู้ใช้งานก่อน เพิ่มชื่อกลุ่มแล้วยังไม่ต้องกด Apply นะต้องเพิ่ม Attribe ก่อน ค่าที่จะเพิ่มมีดังนี้

1. Simultaneous-Use คือจะไม่ใช้ username ซ้อนกันได้
2. Acct-Interim-Interval คือ ตรวจสอบการใช้งานทุกๆ หน่วยเป็นวินาที
3. Idle-Timeout หากไม่ใช้งานให้ diconnect 15 นาที (900 วินาที)
4. WISPr-Redirection-URL คือหลังจาก loginให้ redirect ไปยังเวบนี้
5. Session-Timeout คือ เวลาที่ใชงานต่อครั้ง หน่วยวินาที
เมื่อเพิ่มตามรูปเสร็จแล้วจึงกด apply เป็นเสร็จการสร้าง group

ขั้นตอนต่อไปก็ไปสร้าง user เลย
ไปที่ >Management>Groups>User>New User
Daloradius มี user account ด้วยกัน 3 แบบ คือ
1. แบบใช้ Username + password
2. แบบใช้ Mac address วิธีใช้ง่ายที่สุด เสียบสายก็เล่นเน็ตได้เลย
3. แบบ PinCode แบบนี้ยังไม่ลอง ข้ามไปก่อน

เอาแบบที่ 1. ก่อนนะครับ

ตรง Account info เลือก Username Authentication พิมพ์ตามรูปเลย แล้ว กด apply ถือเป็นอันเสร็จพิธี

ทดลองนำ user นี้ไป Authen ดูนะครับ

12 ก.พ. 2553

ติดตั้ง Rsyslog + Stunnel บน Ubuntu 9.10


  • Rsyslog สามารถส่ง syslog แบบ tcp บน stunnel ส่งแบบ TCP มีความน่าเชื่อถือกว่า UDP
  • Stunnel สร้างการเชื่อมต่อแบบ ssl โดยมีการเข้ารหัสและถอดรหัสระหว่างต้นทางและปลายทาง เพื่อกันคนมาทำมิดีมิร้าย

เริ่มติดตั้ง rsyslog ที่เครื่อง Authen-gateway

#apt-get install rsyslog

ปรับแต่งค่าconfig

# nano/etc/rsyslog.conf

*.*;auth,authpriv.none -/var/log/syslog แก้ไขให้เป็นตามนี้
*.*;auth,authpriv.none -/var/log/messages

ปิดการทำงานของ syslogd เพราะ rsyslog กับ syslog ทำงานที่ portเดียวกันต้องเลือกเอาว่าจะใช้อันไหน

#cd /etc/rc2.d
#mv S10sysklogd _s10sysklogd

แก้ไขไฟล์ /etc/logrotate.d/rsyslog เพื่อ บีบอัดไพล์ log ให้มีขนาดเล็ก และแยกไพล์ log แยกเป็นวัน

#nano /etc/logrotate.d/rsyslog

/var/log/messages // log file ที่ต้องการ rotate
{
compress // บีบอัด log ที่ rotate
rotate 90 // rotate log ไว้ 90 วัน
daily // rotate log แยกเป็นรายวัน
missingok
notifempty
delaycompress
sharedscripts
postrotate
invoke-rc.d rsyslog reload > /dev/null
endscript
}


สั่งให้ Squid และ Freeradius ส่ง ส่ง Log มาที่ rsyslog โดยสร้างไพล์ชื่อ rc.capture

#nano /etc/init.d/rc.capture

โดยข้างในใส่ command ตามนี้

#!/bin/bash
tail -F /var/log/squid/access.log logger -t squid -p local3.info &
tail -F /var/log/freeradius/radacct/127.0.0.1/details logger -t radiusd -p local3.info &

ถ้าใช้ freeradius 2.0 ต้องไปแก้ไขไพล์นี้

#nano /etc/freeradius/modules/detail

#detailfile = ${radacctdir}/%{Client-IP-Address}/detail-%Y%m%d แก้ไขให้เป็นแบบบรรทัดล่าง detailfile = ${radacctdir}/%{Client-IP-Address}/details


สั่งให้รันทุกครั้งเมื่อเปิดเครื่อง

#chmod a+x /etc/init.d/rc.capture
#ln -s /etc/init.d/rc.capture /etc/rcS.d/S88rccapture

แก้ไขไพล์ config เพื่อส่งข้อมูลไปที่ Centralize-log Server

# nano/etc/rsyslog.conf

เพิ่มเข้าไปบรรทัดสุดท้าย เพื่อส่งข้อไปที่ centralize-log Server แบบTCP port 1468

*.* @@192.168.0.2:1648 สมมุติว่าเป็น ip 192.168.0.2

เพิ่มกฏเข้าไปใน iptables เพื่อส่งข้อมูลมาที่ rsyslog โดยที่ผมเข้าไปเพิ่มที่ /etc/chilli/up.sh แล้วเพิ่มต่อบรรทัดสุดท้าย


$IPTABLES -t nat -I POSTROUTING -o $EXTIF -j LOG

การนำ Stunnel มาใช้ร่วมกับ rsyslog

  • Stunnel สร้างการเชื่อมต่อแบบ ssl โดยมีการเข้ารหัสและถอดรหัสระหว่างต้นทางและปลายทาง
  • ฝั่ง client rsyslog จะทำการ forward message ไปยัง stunnel local port 61514
  • local stunnel ก็จะทำการ forward data ไปยัง port 60514 ไปยังเครื่อง remote
  • ฝั่ง server จะมี Stunnel ที่รอรับ port 60514 ที่ client จะ connect เข้ามา
  • จากนั้นก็จะทำการ forward ต่อไปยัง local rsyslog ที่รอรับอยู่ที่ port 61514

วิธีการติดตั้ง แบ่งออกเป็น 2 ส่วนคือ

1. ติดตั้งที่เครื่อง Centralize-log Server

2. ติดตั้งที่เครื่อง Client หรือ เครื่องที่ forward log ไปให้ Centralize-log Server

เริ่มจากเครื่อง Client ก่อน

#apt-get install openssl stunnel

สร้างคอนฟิกไฟล์สำหรับ stunnel

#nano /etc/stunnel/syslog-client.conf

พิมพ์ตามนี้เลย
debug = 7
client = yes
[rsyslogd]
accept = 127.0.0.1:61514
connect = [ip ของ centralize log server]:60514

แก้ไขไฟล์ /etc/default/stunnel4

#nano /etc/default/stunnel4

แก้ไข
ENABLED=1
FILES="/etc/stunnel/syslog-client.conf"

เริ่มโพรเซส stunnel

#/etc/init.d/stunnel4 start

ทดสอบ

#netstat -an grep 61514

แก้ไขไฟล์ /etc/rsyslog.conf

#nano /etc/rsyslog.conf

เพิ่มบรรทัด
*.* @@127.0.0.1:61514


สั่ง restart service rsyslog

#/etc/init.d/rsyslog restart

ติดตั้งที่ Centralize-Log server

ติดตั้ง openssl และ stunnel

#apt-get install openssl stunnel

• สร้าง certificat

#cd /etc/stunnel
#openssl req -new -x509 -days 3650 -nodes -out stunnel.pem -keyout stunnel.pem


• สร้างคอนฟิกไฟล์สำหรับ stunnel

#nano /etc/stunnel/syslog-server.conf

พิมพ์
cert = /etc/stunnel/stunnel.pem
debug = 7
[rsyslogd]
accept = 60514
connect = 61514
แก้ไฟล์ /etc/default/stunnel4
แก้ไข
ENABLED=1
FILES="/etc/stunnel/syslog-server.conf"


• เริ่มโพรเซส stunnel

#/etc/init.d/stunnel4 start

• เริ่ม rsyslog

#/etc/init.d/rsyslog restart

•ทดสอบ

#netstat -an grep 514

tcp 0 0 0.0.0.0:60514 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:61514 0.0.0.0:* LISTEN

$IPTABLES -A INPUT -p tcp -m tcp --dport 60514 -j ACCEPT

ที่มา: http://log.cm.edu/workshop.pdf
http://www.thaicert.org/paper/encryption/stunnel.php
http://www.rsyslog.com/doc-install.html

11 ก.พ. 2553

หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. ๒๕๕๐

เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. ๒๕๕๐

ข้อ ๘ การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ ผู้ให้บริการต้องใช้วิธีการที่มั่นคง และปลอดภัยดังต่อไปนี้

  • (๑) เก็บในสื่อ (Media) ที่สามารถรักษาความครบถ้วนถูกต้องแท้จริง (Integrity) และระบุตัวบุคคล (Identification) ที่เข้าถึงสื่อดังกล่าวได้
  • (๒) มีระบบการเก็บรักษาความลับของข้อมูลที่จัดเก็บ และกำหนดดชั้นความลับในการเข้าถึงข้อมูลดังกล่าว เพื่อรักษาความน่าเชื่อถือของข้อมูล และไม้ให้ผู้ดูแลระบบสามารถแก้ไขข้อมูล ที่เก็บรักษาไว้ เช่น การเก็บไว้ใน Centralized Log Server หรือการทำ Data Archiving หรือทำ Data Hashing เป็นต้น เว้น แต่ ผู้มีหน้าที่เกี่ยข้องที่เจ้าของ หรือผู้บริหารองค์กร กำหนดให้ สามารถเข้าถึงข้อมูลดังกล่าวได้ เช่น ผู้ตรวจสอบระบบสารสนเทศขององค์กร ( IT Auditor ) หรือบุคคลที่องค์กรมอบหมาย เป็นต้น รวมทั้งพนักงานเจ้าหน้าที่ตามพระราชบัญญัตินี้
  • (๓) จัดให้มีผู้มีหน้าที่ประสานงาน และให้ข้อมูลแก่พนักงานเจ้าหน้าที่ซึ่งได้รับการแต่งตั้ง ตามพระราชบัญญัติ ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. ๒๕๕๐ เพื่อให้การส่งมอบข้อมูลนั้นเป็นไปด้วยความรวดเร็ว
  • (๔) ในการเก็บข้อมูลจราจรนั้น ต้องสามารถระบุรายละเอียดผู้ใช้บริการเป็นรายบุคคลได้(Identification and Authentication) เช่น ลักษณะการใช้บริการ Proxy Server , Network Address Translation (NAT) หรือ Proxy Cacheหรือ Cache Engine หรือบริการ Free Internet หรือ บริการ 1222 หรือ Wi-Fi Hostpot ต้องสามารถระบุตัวตนข้องผู้ใช้บริการเป็นรายบุคคลได้จริง

ข้อ ๙ เพื่อให้ข้อมูลจราจรถูกต้อง และนำมาใช้ประโยชน์ได้จริงผู้ให้บริการ ต้องตั้งนาฬิกาของอุปกรณ์บริการทุกชนิดให้ตรงกับเวลาอ้างอิงสากล (Stratum 0) โดยผิดพลาด ไม่เกิน ๑๐ มิลลิวินาที

  • ข้อความข้างต้นคัดลอกมาจากส่วนหนึ่งของ พรบ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ สำหรับบทความนี้เป็นการกล่าวถึงวิธีการติดตั้ง Log Server ตามกฏหมายอย่างประหยัดด้วย Open Source ที่มีมาให้ใช้บน Linux ไม่ต้องไปเสียค่าลิขสิทธิ์ใดๆ เพราะ Linux ทุกค่ายออกแบบมาให้ใช้เป็น Network Operrating System (NOS) มีการบันทึก Log file ให้เป็นปกติเพื่อให้ผู้ดูแลระบบสามารถ วิเคราะห์ปัญหาหรือควบคุมรดูแลระบบได้เป็นอย่างดี และครบถ้วนอยู่แล้ว เพียงแต่ผู้ดูแลระบบต้องปรับวิธี การวางแผนการติดตั้งเสียใหม่ให้ตรงตามกฏหมาย
  • สำหรับกฏหมายฉบับนี้ไม่อนุญาติให้ผู้ดูแลระบบ (System Administrator) เข้าถึง Log file ได้ ดังนั้นผู้ดูแลระบบคงต้องทำการวางแผนติดตั้งและทำการ กำหนดเรื่อง Security ให้ระบบรวมถึงการทำ Data hashing และ Data Archiving ในการเข้าถึงข้อมูล ต้องให้ IT Auditor หรือผู้ที่ได้รับมอบหมายจากผู้บริหารระดับสูงให้ดูแล Log file และประสานงานกับ พนักงานเจ้าหน้าที่จากฝ่ายสืบสวนเท่านั้น

    ที่มา: http://forums.networkthai.org/index.php?topic=90.0

ความน่าเชื่อถือของ Log ที่เก็บตามพรบ.

เรื่องของความหน้าเชื่อถือของก็เก็บบันทึก และรักษาข้อมูล log ในส่วนของพรบ. คอม ไม่ได้มีการกล่าวชัดเจนว่าต้องทำอย่างไรในทางเทคนิค แต่พรบ. คอม ระบุุว่าข้อมูลที่เก็บต้องน่าเชื่อถือ และต้องไม่สามารถถูกแก้ไขได้ ในประเด็นนี้ต้องทำ Risk Assessment ครับ ประมาณนี้ครับ

- ความเสี่ยงหลักคือ ความเสี่ยงต่อการถูกแก้ไขข้อมูล Log (Non-reputation Data Risk)
- มีภัยคุกคามจาก (Threat)
* Hacker
* Malware
- มีช่องโหว่ (Vulnerability)
* OS/Application ในระบบ Log server
* Data log จากการ fake log และ compromise log
* Network/system Access

- แนวทางการสร้างความมั่นคงปลอดภัย (Security control )
* ต้อง Hardening ระบบ Log server ที่ติดตั้ง เพื่อป้องกัน hacker/malware ได้แก่
-- Patch OS /App อย่างสม่ำเสมอ
-- ปิด service ทั้งหมดที่ไม่มีการใช้งาน เปิดเฉพาะ บริการรับ log

* OS/System Access control
-- หลังการติดตั้งระบบเสร็จ ยกเลิกการใช้งาน root/Administrator และสร้าง user ทดแทนที่เป็น user ที่ต้องถือโดยผู้ประสานงานที่ต้องตั้ง ตามพรบ. และรหัสผ่านของ user ดังกล่าวต้อง secure คือเดาสุ่มยาก และเปลี่ยนทุก 3 เดือน เพื่อป้องกันการ compromise system/data จาก root/Administrator
-- หากเป็นไปได้ควรเข้าใช้งานระบบเฉพาะหน้าเครื่องเท่านั้น แต่หากจะ remote ก็กำหนดให้ใช้ SSH จากเครื่อง user ที่กำหนดเท่านั้น

* Data Log Access Control
-- ข้อมูลของ log ควรใช้ tcp แทน udp ในการรับส่ง เพื่อลดความเสี่ยงต่อการ fake log จาก client
-- ต้องกำหนดเฉพาะ client ที่สามารถรับ log ได้ผ่าน ACL ของ log server เช่น iptables เพื่อลดความเสี่ยงต่อการ fake log จาก client
-- File Permission ของ datalog ต้องให้ user เฉพาะที่ตั้งไว้เท่านั้น เพื่อป้องกันการแก้ไขข้อมูล log
-- ต้องเข้ารหัสข้อมูล log ก่อนเก็บเข้าสู่สื่อบันทึก เช่น DVD, Tape เพื่อป้องกันการแก้ไขข้อมูล log
-- (optional) ติดตั้งโปรแกรม file integrity checker เพื่อกำหนดข้อมูล log ให้ append only เพื่อเฝ้าระวังการแก้ไขข้อมูล log
-- (optional) ใน Log software บางตัวมี feature ของการ encryption ระหว่าง client - server ก็ให้ใช้งาน เพื่อป้องกันความเสี่ยงต่อการ fake log จาก client แต่ว่าในบาง client ไม่ support encryption เช่น network device
-- (optional) ใน Log software บางตัวมี feature ของการเก็บ log แบบ binary ก็ให้ใช้งานแทนการเก็บ log แบบ textfile เพื่อป้องกันการแก้ไขข้อมูล

* Network Access control
-- กำหนด rule firewall ให้สอดคล้องกับการรับส่ง log ว่าเป็นเฉพาะที่กำหนดเท่านั้นเพื่อป้องกันการ fake log และป้องกันการ hack
-- ต้อง set port security ใน switch ที่เชื่อมต่อกับ client เพื่อป้องกันการ fake log และป้องกันการ hack
-- ติดตั้งระบบ monitoring เช่น IPS, IDS แล้วปรับปรุง rule ให้เหมาะสมเพื่อป้องกันการ hack

Security control ข้างต้นเป็น mandatory คือสิ่งที่ต้องทำครับ (ยกเว้น optional) แต่อย่างไรก็ตาม ขึ้นกับองค์กรว่ามี Infra. และ security มากน้อยเพียงใด เช่น นโยบายการใช้งานเครื่อข่ายขององค์กร การติดตั้ง CCTV เป็นต้น

****** อย่างไรก็ตามการใช้งาน security control ต่างๆ ต้องตอบโจทย์กับเจ้าหน้าที่ตำรวจ ณ. ตอนที่เข้ามาขอข้อมูลให้ได้ว่า ข้อมูล log ที่ส่งให้กับศาล มีความน่าเชื่อถือ *****


ที่มา: http://linux.blog.in.th/node/230

10 ก.พ. 2553

CoovaChilli and Squid Transparent Proxy

Requiement:
Ubuntu 9.0.4 + LAMP server
Coova-Chilli 1.0.13
Freeradius 2.0

Step 1. ติดตั้ง Squid
apt-get install squid ติดตั้ง Squid ก่อนเลย
nano /etc/squid/squid.conf

# http_port 3128 comment

acl chillispot src 192.168.0.0/255.255.255.0
http_port 192.168.0.1:3128 transparent
http_access allow chillispot
บรรทัดล่างสุดเพิ่มข้อความ
visible_hostname administrator-desktop

คำอธิบาย
# http_port 3128 เป็นการยกเลิกการทำงานของโปรแกรมแบบไม่ทำ transparent
visible_hostname ต้องกำหนดชื่อเครื่องให้กับระบบหากไม่ใส่จะทำให้ไมสามารถสตาร์ตเซอร์วิสได้
acl chillispot src เป็นการกำหนดค่าเน็ตเวร์คของเครื่องขายคอมพิวเตอร์ที่จะอนุญาตให้ใช้งานผ่านโปรแกรม squid
http_port x.x.x.x.3128 transparent เป็นการกำหนดให้พอร์ต 3128 เป็น transparent proxy
http_access allow กำหนดค่า access control ให้เน็ตเวร์ควง chillispot สามารถใชงานผ่าน transparent proxy squid ได้

/etc/init.d/squid start สั่งให้โปรแกรม squid ทำงาน
netstat -lnt ตรวจสอบเซอร์วิสของ squid ว่าทำงานหรือไม่

Step 2. แก้ไข Firewall ชอง Coova เพื่อให้สามารถทำ Transparent proxy ได้
nano /etc/chilli/up.sh เรียกไพล์มาเพิ่มเติมกฎ ตามข้างล่างนี้
------------------------------------------

# may not have been populated the first time; run again

[ -e "/var/run/chilli.iptables" ] && sh /var/run/chilli.iptables 2>/dev/null

# force-add the final rule necessary to fix routing tables

iptables -A POSTROUTING -t nat -o $HS_WANIF -j MASQUERADE



iptables -P INPUT DROP
iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT



iptables -I INPUT -p icmp --icmp-type 8 -s 0/0 -d 192.168.0.1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -I OUTPUT -p icmp --icmp-type 0 -s 192.168.0.1 -d 0/0 -m state --state ESTABLISHED,RELATED -j ACCEPT

#SSH Accept from tun0
iptables -I INPUT -i tun0 -p tcp -m tcp --dport 22 --dst 192.168.0.1 -j ACCEPT

iptables -I INPUT -i eth0 -s 10.10.10.3 -p tcp -m tcp --dport 22 --dst 10.10.10.4 -j ACCEPT


iptables -I INPUT -p udp -s 0/0 --sport 1024:65535 -d 192.168.0.1 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -I INPUT -p udp -i tun0 -d 192.168.0.1 --dport 161 -j ACCEPT


iptables -t nat -I PREROUTING -i tun0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
iptables -I INPUT -i tun0 -p tcp -m tcp --dport 3128 --syn -j ACCEPT
iptables -t nat -I PREROUTING -p tcp -m tcp --dport 3128 -j DROP
iptables -t nat -I PREROUTING -p tcp -m tcp --dport 8080 -j DROP
iptables -t nat -I PREROUTING -p tcp -m tcp --dport 2121 -j DROP


iptables -t nat -I POSROUTING -o eth0 -j LOG

iptables -I INPUT -i lo -j ACCEPT
iptables -I INPUT -p tcp -m tcp --dport 443 --syn -j ACCEPT
iptables -I INPUT -p tcp -m tcp --dport 3990 --syn -j ACCEPT
iptables -I INPUT -p tcp -m tcp --dport 4990 --syn -j ACCEPT

iptables -I INPUT -p tcp -m tcp --dport 80 --syn -j ACCEPT
iptables -I INPUT -p tcp -m tcp --dport 53 --syn -j ACCEPT
iptables -I INPUT -p tcp -m tcp --dport 67:68 --syn -j ACCEPT
iptables -I INPUT -p tcp -m tcp --dport 3306 --syn -j ACCEPT

iptables -A INPUT -i tun0 -j DROP
----------------------------------------------------------------
reboot 1 ครั้ง

4 ก.พ. 2553

การปรับเทียบเวลามาตรฐานประเทศไทยตาม พรบ. log

1.ติดตั้ง ntp ด้วยสั่ง
apt-get install ntp

2.ทำการสำเนาไฟล์คอนฟิกของ ntp ไปไว้เป็นอีกชื่อดังนี้
cp /etc/ntp.conf /etc/ntp.conf.bak

3.แก้ไขไฟล์ /etc/ntp.conf ให้มีค่าเป็นดังนี้
restrict default kod nomodify notrap noquery nopeer
restrict 127.0.0.1
# อนุญาตให้ Internal network เข้าใช้งาน
restrict 192.168.0.0 mask 255.255.255.0 nomodify notrap
server 203.185.69.60 dynamic
server time.navy.mi.th dynamic
server time.nist.gov dynamic
server 127.127.1.0 # local clock
fudge 127.127.1.0 stratum 10
driftfile /var/lib/ntp/ntp.drift
broadcastdelay 0.008
keys /etc/ntp/keys

4.สั่ง restart service ด้วยคำสั่ง

chkconfig ntpd on
/etc/init.d/ntp restart

5. ตรวจสอบ Remote Server ที่ต้องการใช้อ้างอิงฐานเวลา ใช้คำสั่งดังนี้
ntptrace

Microsoft ยันจะ support XP ไปถึงปี 2014

Windows XP เป็นสินค้าที่ประสบความสำเร็จทางการตลาดมากที่สุด เป็นเพราะว่าใช้งานง่าย และไม่กินทรัพยากรมาก (ยอดขาย 538 ล้านชุดเมื่อสินสุดปี 2006)

ทาง Microsoft Corp.'s ประกาศว่า จะยังคง support XP โดยจะออกตัวแก้ bug อุดช่องโหว่เรื่อง security ออกมาเรื่อยๆ จนถึงเดือนเมษา ปี 2014 อย่างไรก็ดี ในอดีตทาง Microsoft ได้เคยประกาศว่าจะเลิก support Windows 98 ในปี 2004 แต่สุดท้ายก็ยืดเวลาออกไป โดยไปเลิก support จริงๆเอากลางปี 2006













ถึงจะยัง Support ต่อไป แต่ก็ได้ประกาศเลิกขาย Windows XP ไปแล้ว แต่ก็ยังมีทางออกสำหรับเครื่องคอมไม่แรง สามารถ Downgrade มาติดตั้ง Windows XP ได้ ถึงแม้จะซื้อ Licence Vista ไป

ที่มา: http://www.microsoft.com/thailand/windowsxp/eos.aspx
http://arstechnica.com/microsoft/news/2009/04/windows-xp-mainstream-support-retired-but-no-need-to-worry.ars http://www.computerworld.com/s/article/9026940/How_to_make_Windows_XP_last_for_the_next_seven_years

3 ก.พ. 2553

NTLDR is missing

"ไม่ต้องตกใจ ปัญหามีเพียงเล็ก
เป็นเรื่องที่เด็กๆเค้าเจอบ่อย
แต่กระผมมีเวลาเพียงเล็กน้อย
จึงขอทยอยทางแก้มาเพียงหนึ่ง"

หน้าจอภายขึ้นข้อความแบบนี้
สาเหตุ: ไพล์ที่ใช้ในการ Boot หายไป (แต่ไม่รู้ว่าหายได้อย่างไร)
วิธีแก้ไข:
สิ่งที่ต้องมี
1. Flash drive USB 1 อัน
2. เครื่องที่เสียด้วยอาการนี้ต้อง boot จาก USB ได้ (boot ไม่ได้ต้องไปอ่านบทความอื่น)
3.ไพล์ที่ใช้เติมไพล์ที่หายไป ntldrusb.zip
Step 1. เริ่มจากนำ Flash Drive USB มาเสียบเครื่องคอมพิวเตอร์ที่สามารถใช้งานได้ก่อน
Step 2. แตกไพล์ ntldrusb.zip จะได้ไพล์ตามนี้














Step 3. จากนั้น Double Click ที่ไพล์ชื่อ HPUSBFW.EXE
เริ่มขั้นตอนการลบข้อมูลใน Flash drive ทิ้ง เพื่อให้ Flash drive สามารถ Bootได้


Check Box ตามรูปเลยคับ และตรงช่อง "using DOS system files locate at:" ให้เลือกตำแหน่ง folder ที่เราแตกไพล์ Zip ไว้ในตอนแรก สุดท้าย กด Start เลยคับแล้วรอแป๊บหนึ่ง
Step 4. จะมีกล่องข้อความบอกประมาณว่า "ทำเสร็จแล้ว" ก็ดึงเอา Flash drive มาเสียบที่เครื่องมีปัญหา แล้วก็เปิดเครื่องเลย



Step 5. หลังจากboot เสร็จก็พิมพ์ตามนี้
copy c:\putunusb\boot.ini d:\ ตามด้วย Enter แล้วพิมพ์ต่อไป
copy c:\putunusb\ntldr d:\ ตามด้วย Enter แล้วพิมพ์ต่อไป
copy c:\putunusb\ntdetect.com d:\ ตามด้วย Enter


เสร็จแล้วคับ restart เครื่องเลย หลังจาก reatart แล้วให้เลือก เมนู 1ST นะคับ
ถ้าต้องให้ boot เร็วขึ้นให้ไปแก้ตามนี้นะคับ screenshot

ที่มา: http://tinyempire.com/notes/ntldrismissing.htm
http://www.pantip.com/tech/techblog/article.php?articleID=SV2793363