dembuonmuoican
Senior Member
M cũng ngẫm đống contain filter của kerio khá nhiều thời gian. Sướng lắm nhưng license khá cao, nên mới nghĩ cách add nó vào mik, owrt hoặc pfsense.nhìn đống của forrtigate xong là hết nghĩ đến việc add tay
M cũng ngẫm đống contain filter của kerio khá nhiều thời gian. Sướng lắm nhưng license khá cao, nên mới nghĩ cách add nó vào mik, owrt hoặc pfsense.nhìn đống của forrtigate xong là hết nghĩ đến việc add tay
Nghe nói có list ip với port của phần lớn ứng dụng. Bố cháu chặn theo ip. Cái đáng giá là db về ip kia.mấy thím cho tôi hỏi khi thằng client nó muốn connect đến 1 server bên ngoài
đầu tiên nó sẽ hỏi dns, sau đó nó gửi yêu cầu bắt tay, lúc này cái firewall của các thím đọc được header về ip,port ( sni thì chưa chắc đọc được vì nó hoàn toàn có thể dựng con server mã hóa sni ở packet hello), sau khi cho nó bắt tay rồi nó mã hóa dữ liệu hết lại rồi mấy thím lấy gì ra để giải mã?
chắc chỉ bắt đc thằng https thôi, trừ phi các thím chơi rắn, kiểu tao ko đọc được payload là tao ko cho chạy qua, còn lại thì lọc kiểu gì với các app nó tự xây dựng kiểu mã hóa riêng để truyền tin
Nó có db của các ip ứng dụng, db các ứng dụng Nên khi chạy qua firewall ngoài kết nối đến ip nào cổng nào thì nó sẽ hiện tên app lên. Lúc đó người quản trị có quyết định chặn hay không.mấy thím cho tôi hỏi khi thằng client nó muốn connect đến 1 server bên ngoài
đầu tiên nó sẽ hỏi dns, sau đó nó gửi yêu cầu bắt tay, lúc này cái firewall của các thím đọc được header về ip,port ( sni thì chưa chắc đọc được vì nó hoàn toàn có thể dựng con server mã hóa sni ở packet hello), sau khi cho nó bắt tay rồi nó mã hóa dữ liệu hết lại rồi mấy thím lấy gì ra để giải mã?
chắc chỉ bắt đc thằng https thôi, trừ phi các thím chơi rắn, kiểu tao ko đọc được payload là tao ko cho chạy qua, còn lại thì lọc kiểu gì với các app nó tự xây dựng kiểu mã hóa riêng để truyền tin
cách này hơi thủ công nhỉ, nếu nó sài 1 ứng dụng opensource ko có trong db là chịu àNó có db của các ip ứng dụng, db các ứng dụng Nên khi chạy qua firewall ngoài kết nối đến ip nào cổng nào thì nó sẽ hiện tên app lên. Lúc đó người quản trị có quyết định chặn hay không.
Thì nó phải khai báo với người quản trị để cho nó vào DB, đã chơi FW thì ngay từ ban đầu phải hiểu là chặn tất tần tật rồi, muốn thông cái gì thì phải có lý do. Chuyên nghiệp hơn thì phải yêu cầu bằng ticket, ticket được các bên đánh giá, phê duyệt mới đẩy qua cho quản trị làm.cách này hơi thủ công nhỉ, nếu nó sài 1 ứng dụng opensource ko có trong db là chịu à
Thường là có hết, cái này bọn firewall nó sẽ cập nhật, nếu nó k có nó sẽ lấy sign từ chỗ khác.cách này hơi thủ công nhỉ, nếu nó sài 1 ứng dụng opensource ko có trong db là chịu à
Nếu làm kiểu này thì dễ quá. Allow port và ip của mình, rồi drop tất cả các thứ còn lại cái này fw nào chả làm được.Thường là có hết, cái này bọn firewall nó sẽ cập nhật, nếu nó k có nó sẽ lấy sign từ chỗ khác.
Còn rules doanh nghiệp dùng thì muốn dùng cái gì thì phải xin phép, mặc định nó sẽ chặn hết chỉ cho phép các ứng dụng nội bộ của doanh nghiệp.
Dùng firewall trả phí thì db ứng dụng, ips, ip bên cung cấp firewall nó sẽ chịu trách nhiệm update, ăn tiền nó ở chỗ đó.
Phần này k chuẩn, vì làm được nhưng firewall trả phí thường độ trễ của nó rất thấp tính bằng μsNếu làm kiểu này thì dễ quá. Allow port và ip của mình, rồi drop tất cả các thứ còn lại cái này fw nào chả làm được.
Cái ăn tiền của bọn kia là allow hết, chỉ chặn những thứ trong blacklist. Mà list này dạng app, ip và port có thể thay đổi, nên nó mới phải cập nhật liên tục.
thím chụp ipv4 rule của thím lên xem nào.Định chuyển từ Ubiquiti qua Fortigate vì có quá nhiều thứ hay ho. Nhưng mà mình đang kẹt vụ mở port trên fortigate, nhờ anh em giúp đỡ.
Hiện làm theo hướng dẫn ở đây: https://community.fortinet.com/t5/F...to-open-a-port/ta-p/191003?externalID=FD46256
Nhưng không được.
View attachment 886785
Đọc được IP: port thì có thể kiểm tra trong db của hãng hoặc bên thứ 3 như maxmind, spamcop, spamhaus,... bằng API để xem có phải spam, app không mong muốn không? Phải thì chặn thôi.mấy thím cho tôi hỏi khi thằng client nó muốn connect đến 1 server bên ngoài
đầu tiên nó sẽ hỏi dns, sau đó nó gửi yêu cầu bắt tay, lúc này cái firewall của các thím đọc được header về ip,port ( sni thì chưa chắc đọc được vì nó hoàn toàn có thể dựng con server mã hóa sni ở packet hello), sau khi cho nó bắt tay rồi nó mã hóa dữ liệu hết lại rồi mấy thím lấy gì ra để giải mã?
chắc chỉ bắt đc thằng https thôi, trừ phi các thím chơi rắn, kiểu tao ko đọc được payload là tao ko cho chạy qua, còn lại thì lọc kiểu gì với các app nó tự xây dựng kiểu mã hóa riêng để truyền tin
Sai rồi, source là bạn muốn từ ip wan nào chứ k chọn all được. chọn all nó sẽ áp dụng cái rules đầu tiên như bạn thấy byte 69GB kìa.
Sai rồi, source là bạn muốn từ ip wan nào chứ k chọn all được. chọn all nó sẽ áp dụng cái rules đầu tiên như bạn thấy byte 69GB kìa.
Thứ hai là đây là rules từ lan ra internet, bạn muốn mở port thì phải là từ wan to lan nhé.
tracetcpMình làm cả 2 rule theo 2 chiều nhưng vẫn không được.
Còn có khả năng tắc ở đâu nữa không nhỉ?
check xem ip có phải bên isp nó cấp cho ip nat k, ip nat thì k thông được.Mình làm cả 2 rule theo 2 chiều nhưng vẫn không được.
Còn có khả năng tắc ở đâu nữa không nhỉ?
chỉ những trang nào bị cấm thì nó hiện báo lỗi ssl thôi, trang cho phép thì vẫn vào bt.Giả sử mình lắp firewall, và muốn decrypt https traffic. Vấn đề là mấy thiết bị như lg smart tv hay android tv k có cách nào để cài cert vào cả. Vậy là tụi nó mất net luôn hả các thím?