|
|
ទំព័រដើម >> អ៊ិនធឺណេត-ប្រព័ន្ធបណ្តាញ >>
គន្លឹះអ៊ិនធឺណេត-ប្រព័ន្ធបណ្តាញ >>ដាក់តួនាទីលើ Port នីមួយៗរបស់ Router ឱ្យដំណើរការ
ដាក់តួនាទីលើ Port នីមួយៗរបស់ Router ឱ្យដំណើរការ
|
កាលពីលេខមុនៗក្រុមការងារយើងខ្ញុំបានបង្ហាញពីការរៀបចំនិងធ្វើការកំណត់លើ Routerដើម្បីចែករំលែកអ៊ិនធឺណិតនៅលើ ប្រព័ន្ធ Network ។ នៅពេលនេះយើងខ្ញុំនិងធ្វើការ Configure នូវ Tools ពិសេសៗមួយចំនួនទៀតដើម្បីឱ្យការប្រើប្រាស់កាន់ តែមានប្រយោជន៍និងប្រសើរជាមុនទៅលើចំនុចសំខាន់ៗមួយចំនួនដូចខាងក្រោម។
I.កំណត់ Virtual Server នៅក្នុង Router:
ប្រសិនបើយើងបានដំឡើង Server មួយនៅក្នុងNetwork/LAN ហើយយើងចង់ចូលកមកាន់ LAN ដោយឆ្លងតាមរយៈឬ (Accessible)ពីអ៊ិនធឺណិត នោះយើងត្រូវកំណត់ដំឡើងឬធ្វើ Virtual Server មានន័យថាធ្វើ Port សម្រាប់បញ្ចួនបន្ដ (Port forwarding) នៅលើ Router។ ភាគច្រើននៃ Router ក៏អាចធ្វើឱ្យទៅជា Port-redirection បានដែរ មានន័យថានៅពេលដែល មានចរាចរណ៍ (Traffic) ចូលមកវាបញ្ចួនទៅកាន់ Port នោះតែម្ដង (Particular Port)ដែលវាអាចត្រូវបានបញ្ចួនទៅវិញ ទៅកាន់ Port ផ្សេងទៀតនៅលើ Server។ ចំនុចសំខាន់ចម្បងនៃការធ្វើ Virtual Server feature នេះគឺយើងត្រូវការតែ WAN IP address តែមួយគត់ដើម្បីអាច Access ដោយអ្នកប្រើប្រាស់អ៊ិនធឺណិត (Internet Users) ទៅកាន់ Servers មួយចំនួននៅក្នុង Network របស់យើង។
នៅចំនុចនេះយើងខ្ញុំលើកយកឧទាហរណ៍ពីរមកបញ្ជាក់ដើម្បីឱ្យងាយយល់ពី Port ផ្សេងៗគ្នាដូចខាងក្រោម។
1.ឧទាហរណ៍ថាយើងដំឡើងវិបសឺវើ (Web Server) មួយជាមួយ IP 192.168.0.15 ដោយប្រើប្រាស់ TCP Port 80 ហើយយើងចង់ឱ្យអ្នកប្រើប្រាស់ (Internet Users)ទាំងអស់អាច Access ចូលទៅកាន់ Web Server បានជារៀងរាល់ពេល។
ឈ្មោះ Web Server, Private IP: 192.168.0.15, Protocol Type: TCP, Private Port:80, Public Port: 80 និង Schedule: Always។ បន្ទាប់ពីកំណត់នេះឡើង អ្នកប្រើប្រាស់អ៊ិនធឺណិត (Internet Users)ទាំងអស់អាច Access ចូលទៅកាន់ Web Server នេះបានដោយវា ៉http://your-WAN-IP-address ចូលក្នុង Favorite Web Browser របស់ពួកគេ។
2.ឧទាហរណ៍ថាយើងដំឡើង Ftp Server មួួយជាមួយ IP address: 192.168.1.16 ប្រើ TCP Port 21និងអនុញ្ញាតឱ្យ Internet users អាចដើម្បី Access វាដោយការប្រើ Port 4500 សម្រាប់តែថ្ងៃសុក្រ។ ដែលយើងត្រូវការដើម្បីដំឡើងដោយផ្ទាល់ទៅ តាមលំដាប់លំដោយ ទៅកាន់ Active នៃ Object នេះ។
ឈ្មោះ FTP Server , Private IP: 192.168.1.16, Protocol Type: TCP, Private Port: 4500, Schedule: ចាប់ពី 12:00AM ទៅ 12:00AM ដែលចាប់ពិថ្ងៃអង្គារដល់ថ្ងៃសុក្រ។ បន្ទាប់ពិយើងបានដំឡើង រួចហើយដើម្បី ឱ្យអ្នកប្រើប្រាស់អ៊ិនធឺណិត ទាំងអស់អាចចូលទៅកាន់ Server (FTP Server) នេះបានដោយវាយ “ftp://4500 នៅក្នុង Favorite Web Browser ឬក៏ប្រើ ftp client Application នៅរាល់ថ្ងៃសុក្រក៍បាន” ។
II.ការកំណត់ប្រើប្រាស់របាំងរារាំង ( Firewall)
Firewall គឺត្រូវបានគេប្រើប្រាស់ដើម្បីជាជញ្ជាំងសម្រាប់ ទប់ទល់ប្រឆាំងរារាំងឬ ក៏អនុវញ្ញាត់ឱ្យរាល់ចរាចរណ៍ (Traffic) ទាំងអស់អាចធ្វើដំណើរ ឆ្លងកាត់ Router បានឬមិនបាន។ បានន័យថាវាអាចបដិសេធឬ មិនផ្ដល់សិទ្ធិរាល់ចរាចរណ៏ (Traffices)ចូលទៅកាន់ Home Network(LAN) របស់យើងបាន និងបដិសេដនូវ Traffic ទាំងឡាយណាដែល វាមិនបានស្គាល់ចេ ញពី Home Network(LAN) របស់យើងឈ្ពោះទៅកាន់អ៊ិនធឺណិតឡើយ។ នៅពេល Virtual Services ត្រូវបានយើងបង្កីតរួចហើយវានិង ចាប់ផ្ដើមដំណើរការទៅតាម ច្បាប់ឬ ក្នុងច្បាប់ Firewall (Firewall rule)។ ខាងក្រោមនេះជាទំរង់មានភ្ជាប់មកស្រាប់ៗនៃ Firewall rules នៅលើ Router:
ការកំណត់ច្បាប់ជាអាទិភាពចេញពីដំបូងដែលខ្ពស់បំផុតគេ (Highest priority)រហូតដល់ចំនុចទាបបំផុតជាងគេ (Lowest Priority)។ ដែលផ្អែកជាចម្បងលើអ្វីដែលមានស្រាប់ៗ(Default)នៅលើ Firewall rules ខាងលើ ដែលវាមានន័យថាៈ
1.ច្បាប់ទីមួួយ (First rule)គឺដើម្បីរារាំង deny any(*) ទៅកាន់ Home Network(LAN)។ នេះនិងត្រូវបានប្រើពេញលេញដើម្បី ធ្វើការបដិសេធឬទបទលរាល់ ចរាចរណ៍ (Traffic) ឆ្លងកាត់ ដែលបង្កបញ្ហាដល់(LAN)របស់យើងដូចជាពពួក worm ឬមេរោគ (virus)ដែលចូលកមតាមអ៊ិនធឺ ណិត។
2.ច្បាប់ទីពីរ (Second rule)គឺត្រូវបានគេប្រើដើម្បីអនុញ្ញាតឱ្យការធ្វើចរាចរណ៍ (Traffic)មួយចំនួនពី Home Network(LAN) ទៅ any(*)។ នេះគឺអនុវញ្ញាតឱ្យកុំព្យូទ័រទាំងអស់នៅក្នុង LAN អាចចូលទៅកាន់ឬប្រើប្រាស់អ៊ិនធឺណិតបាន ។ ទោះបីជាបែបនេះក្ដីការកំណត់យក Firewall rule វាពុំមែនជាមធ្យោបាយដែលល្អ បំផុតនោះទេ។ ខាងក្រោមនេះគឺជាការកំ ណត់ដ៍ល្អមួួយហើយជាមធ្យោបាយមួយ ដែលត្រូវបានគេដាក់កម្រិតដើម្បីកំណត់ Firewall rules។
1.អនុញ្ញាតឱ្យរាល់ចរាចរណ៍ចេញពី LAN ទៅកាន់ any(*)ដែលមានមួលដ្ឋាននៅលើ Network Services (Ports)។ ឧទាហរណ៍យើងអនុញ្ញាតឱ្យតែកុំព្យូទ័រទាំងអស់អាចចូលទៅអ៊ិនធឺណិតរបស់ http Service។
2.Deny any(*) ទៅ any(*) នោះមានន័យថា Deny ទៅគ្រប់ការធ្វើចរាចរណ៍ (Traffic) ផ្សេងៗ។ តែយើងត្រូវចំណាយពេល ខ្លះដើម្បីបើក Firewall, ដែលនេះវាមានភាពពេញលេញដើម្បីឱ្យ
Networkរបស់យើងមានសុវត្ថភាពរួចផុតពីពពួកការវាយប្រ ហាពីសំណាក់ខាងក្រៅផ្សេងៗ។
III.ប្រើប្រាស់ Filters:
Filters គឺត្រូវគេប្រើប្រាស់ដើម្បីផ្ដល់សិទ្ធិ (deny or allow) ទៅលើ Home Network(LAN) ដល់កុំព្យូទ័រទាំងអស់អាចមានសិទ្ធិ Access ចេញពីអ៊ិនធឺណិតបាន។ នៅនោះដែរក៍មាន Filters ចំនួន 4 នៅទំនេរនៅក្នុង Router នេះ
IP Filters: ត្រូវបានគេប្រើដើម្បីធ្វើការទប់ស្កាត់ LAN IP address ចេញពីការ Access តាមអ៊ិនធឺណិតនៅលើ Port ពិសេសណាមួយឬគ្រប់ Ports ទាំងអស់។ ហើយពេលខ្លះយើងអាចប្រើ Feature នេះដើម្បីរារាំងកុំព្យូទ័រមួយចំនួនចូលទៅអ៊ិន ធឺណិត។
MAC Filters: យើងអាចផ្ដល់សិទ្ធិឱ្យឬមិនឱ្យកុំព្យូទ័រចេញចូលទៅអ៊ិនធឺណិតបានដោយអាស្រ័យលើ MAC address។
URL Blocking:វាជាទីតាំងដ៍សម័ញ្ញមួយដែលត្រូវបានរារាំងលើកុំព្យូទ័រនៅក្នុង LAN ទាំងអស់មិនឱ្យចូលទៅកាន់ឬចេញ ពីវិបសាយពិសេសៗមួយចំនួន។ ដូចយើងបានដឹងហើយថាមានបន្ដុំវិបសាយជាច្រើនដែលជាវិបសាយបង្កមហន្ដរាយនៅលើ អ៊ិនធឺណិត ដូច្នេះវាមានគន្លឹះល្អដើម្បីផ្ដល់ពាក្យដ៍ជាក់លាក់ទាំងនោះហើយ Web access វានិងត្រូវបានធ្វើការបដិសេធប្រសិន បើពាក្យគន្លឹះទាំងនោះត្រូវបានរកឃើញនៅលើ URL(Uniform Resource Locator)។
Domain Blocking: យើងប្រើដើម្បីធ្វើការអនុញ្ញាត់ឬមិនអនុញ្ញាត LAN ដែលកុំព្យូទ័រទាំងអស់អាចធ្វើការ Access ចេញពី Domain ជាក់លាក់ណាមួយនៅលើអ៊ិនធឺណិត។ វានិងធ្វើការរារាំងរាល់គ្រប់ Services ទាំងអស់ដូចជា (http, ftp,..) ដែលត្រូវបានផ្ដល់ឱ្យដោយ Domain ប្រសិនបើយើង Blockវា។
IV. ការប្រីប្រាស់លក្ខណៈពិសេសៗ(Special Application):
ប្រសិនបើយើងត្រូវការដំណើរការ Application ទាំងអស់ដូចជា Internet Gaming , video conferencing, internet phone, ជាដើម ដែលទាំងអស់នេះវាទាមទារឱ្យមាន Connection ច្រើន នោះយើងត្រូវធ្វើការកំណត់ចំពោះ Application Feature ពិសេសៗនៅទីនេះ។ នេះក៏ព្រោះថា Application ទាំងអស់នោះវានិងមិនធ្វើការបានត្រឹមត្រូវឆ្លងតាមរយៈ NAT(Network Address Translation) ទេ នៅក្នុង Home Network (LAN)។ នៅក្នុងដែរក៍មានផ្លូវមួយដើម្បីកំណត់ វាជា Port ពិសេសមួយ បញ្ចូលគ្នាជាធម្មតាជាមួយ Application មួួយនៅក្នុង “Trigger Port” field (Port ត្រូវបានប្រើដើម្បី Trigger Application) ហើយរើសយកប្រភេទ Protocol ជា TCP ឬ UDP បន្ទាប់កម key ក្នុង Public Ports ភ្ជាប់ជាមួយ Trigger port ដើម្បីបើក Port ទាំងនោះសម្រាប់ឱ្យ Traffic ចូលមក។ ហើយវាក៍មិនងាយស្រួលដែរដើម្បីប្រើ Feature នេះ វាទាល់តែយើងដឹងគ្រប់ Port ទាំងអស់ជាប់ពាក់ព័ន្ធនៅខាងក្នុង Application នោះ ដែលទោះជាយ៉ាងណាក៍ដោយក៍យើងអាចប្រើបាននូវ Application មួយចំនួនដែលយើងបានដឹងដែល Pre-defined នៅលើ Router នេះ។
V.DMZ (Demilitarized Zone):
Feature នេះនិងបើកទាំង in/out Accesses សម្រាប់កុំព្យទ័រមួយនៃ Network របស់យើង ហើយជាធម្មតាត្រូវបានគេប្រើសម្រាប់ដំណើរការ Game លើអ៊ិនធឺណិត (game application)។ កង្វល់នៅទីនេះគឺវានិង Expose នោះទៀងទាត់ DMZ កុំព្យូទ័រទៅអ៊ិនធឺណិត ហើយបង្កើនសុវត្ថភាពគ្រោះថ្នាក់កាន់តែខ្លាំង។ ចូរកត់ចំណាំៈ សូមកុំប្រើនូវ Option នេះ លុះត្រាតែវាចាំបាច់ណាស់ ដូចនេះសូមព្យាយាមប្រើ Application ពិសេសណាមួយដែលយើងខ្ញុំបានលើកឡើងខាងលើប្រសិនបើអាច។ ប្រសិនបើយើងប្រើវា គ្រានតែប្រើ Key មិនប្រែព្រួល (computer IP) ដើម្បី Enable DMZ Feature នេះ។
|
|
|
|
|
|
|
|
តម្លៃគ្រឿងបន្លាស់កុំព្យូទ័រផ្សេងៗ
|
|
|
|
|
|