แสดงกระทู้

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.


Messages - earth

136
Fortigate / Re: fortigate 200D allow line notify
« เมื่อ: 27 ส.ค. 18, 16:00:53น. »
ก็ต้องสร้าง Policy ให้ SouceAddress ที่มีใช้งาน line notify api ขึ้นบนก่อน
ให้ Policy นี้อยู่ด้านบนของ Policy ที่มีทำ Authen ครับ

เนื่องจาก Policy จะทำงานจากบนลงล่าง  ถ้าเจอ Policy ข้างบน ก็จะใช้งานข้างบนก่อน

137
Fortigate / Re: สอบถามการออก voucher wifi
« เมื่อ: 23 ส.ค. 18, 15:29:33น. »
สามารถกำหนดได้ครับ
 
การทำงานจะเหมือนทำหน้าที่เป็น Hotspot โดยมีการ Generate Users and Password ให้กับลูกค้าที่มาใช้บริการ
สามารถดูใน Youtube และ CookBook เป็นแนวทางมาประยุกต์ใช้ได้นะครับ
 
Guest WiFi accounts (5.4)
http://cookbook.fortinet.com/guest-wifi-accounts-54

Cookbook - Guest WiFi Accounts (5.4)
https://www.youtube.com/watch?v=XLHhw5ND8vU

แต่ใน Youtube และ CookBook จะมี FortiAP ไม่จำเป็นต้องใช้ครับ

ประเด็นคือดูแนวทางบริหารจัดการ Guest Management ครับ
สามารถ Generate Password ได้ แบบ AUTO จาก Box FortiGate เอง
สามารถกำหนดว่า User รายนี้ให้ Expire เมื่อไร ตอนไหนได้
และก็สามารถ Print ออกมาในลักษณะคูปองได้เลยครับ

พอทำเสร็จก็นำ Group Guest นี้ไปใส่ใน Policy หลังจากนั้นก็สามารถกำหนดได้ว่าจะ Block อะไร Allow อะไร ขึ้นอยู่กับ Security Profiles ด้วยครับ



ถ้าจะต้องการสร้าง Users หลายๆ  Users ชุดพร้อมกันนั้น
ให้ติ๊ก Enable Batch Guest Account Creation



เมนู Guest Management > Create New > เลือก Multiple Users



ใส่จำนวน Users ที่ต้องการ

จะได้จำนวน User ตามที่ต้องการ



ถ้าจะต้องการ Print ทีล่ะหลายๆ  User ให้คลิกที่ User ที่ต้องการ ตั้งแต่เริ่มต้น จนถึง User ลำดับสุดท้าย
โดยกด Ctrl (ที่ Keyboard) กดค้างไว้ และกด Shift (ที่ Keyboard) จากนั้นคลิก User ลำดับสุดท้าย แล้วกด Print ใส่จำนวน User ที่จะ Print ลงไป



ก็จะได้เป็นรูปแบบนี้ สามารถ Print ตัดแจกให้ User ได้เลย





138
ไม่มี อะไรเลยครับ Add เพิ่มยังไงหรอครับ

ถ้าหน้าเมนูนี้ก็สร้าง Group เองเลยครับ  เลือกจำพวก Mobile Device ต่างๆ เข้ามา เป็น Member  แล้วไปใช้งานเลยครับ

139
Fortigate / Re: สอบถาม Authen AD
« เมื่อ: 14 ส.ค. 18, 10:20:30น. »
ตกลงให้ Authen แบบ Single Sign on หรือ captive portal (Login ผ่านหน้าเว็บ) ครับ
ที่บอกไว้ตั้งแต่ต้น

140
Fortigate / Re: สอบถาม Authen AD
« เมื่อ: 14 ส.ค. 18, 10:20:17น. »
อ่อ ได้แล้วครับผม ผมใส่ password ที่ agent ที่ install บน ad ไม่ถูกครับ

อ่อ OK ครับ

141
Fortigate / Re: Firewall โดน Ddos แก้ยังงัย
« เมื่อ: 14 ส.ค. 18, 09:27:59น. »
สอบถามเพิ่มเติม ถ้าเปิด  IPv4 Dos policy จะกินทรัพยากร CPU,Ram,HD เยอะไหมครับ และ block จะใช้ CPU,Ram,HD ,etc อะไรมากสุดในการใช้เมนูนี้ครับ

เป็น FortiGate รุ่นไหน และใช้ Firmware เวอร์ชั่นอะไรครับ

142
ขอดูเมนูนี้หน่อยครับ  มีแบบนี้ไหมครับ




143
ถามว่าทำได้ไหม สามารถทำได้ครับ แต่จำนวน Users ที่อยู่ข้างหลังของแต่ล่ะ Port จะต้องไม่มีจำนวนที่เยอะนะครับ
ตัว Firewall เองไม่ได้ทำหน้าที่ Routing ข้ามวงกันหนักๆ  เพราะจะทำให้ใช้ Resource จำนวนมาก โดยจะอิงการเชื่อมต่อข้ามวงจาก Policy Firewall

ถ้าจะแยก Port แยกวงกัน  ถ้าจะต้องการเชื่อมต่อหากัน
ก็จะต้องทำ Policy บน Firewall ถึงกัน (ทำไปกลับ) และทำ Policy เยอะ ก็ใช้  Resource เยอะเช่นกันในการ Process ของจำนวน Users ที่อยู่ Policy นั้นๆ






144
เปิดเมนู Device Detection หรือยังครับ


145
นั้นลองทำตามรูปภาพกับ Link ด้านล่างนี้เป็นแนวทางได้ครับ  (Action : Deny)
เปิดให้ Device Detection ที่ขา LAN
จากนั้นจะ Detect Device ขึ้นมา  โดย Source ที่ Policy เลือก Device และเลือก Address ที่อยู่ภายใน ที่ใช้งานอยู่




User and device authentication
https://cookbook.fortinet.com/user-and-device-authentication-54/

FortiGate Cookbook - User & Device Authentication (5.4)
https://www.youtube.com/watch?v=dsbAGZoSBZM

146
- คือจะ Block การใช้เน็ตบนมือถือของ User เลยเหรอครับ
- Network ที่ใช้งานมีกี่วง (1 วงหรือ 2 วง)  และมีการทำ VLAN บ้างไหมครับ

147
Fortigate / Re: สอบถาม Authen AD
« เมื่อ: 08 ส.ค. 18, 22:51:02น. »
ถ้าแบบใช้ Single sign on แบบใช้ Agent นั้น
จะเป็นการ Auth โดยการ Join Domain เข้าสู่ Domain (Login เข้าสู่ Computer สิทธิ์จาก AD)
แล้วตัว Agent จะไป Query Log การ Auth  จากนั้นตัว Agent จะไปเชื่อมต่อกับ FortiGate ว่า User นี้ ที่อยู่ Group นี้ เข้ามาแล้ว
ให้ไปอยู่ใน Group ที่ต้องการ  แล้ว Group นั้น จะไปอยู่ที่ Policy ที่ต้องการ





ถ้าต้องการให้ Users Login เข้าสู่ Internet โดยต้องการหน้า captive portal ขึ้นมา จะต้องใช้การ Setting แบบ LDAP Server บน FortiGate ครับ   ตามลิ้งค์ด้านล่างนี้

Technical Tip : How to configure LDAP server and restrict access to certain groups in FortiOS 4.0MR2 and above
http://kb.fortinet.com/kb/microsites/search.do?cmd=displayKC&docType=kc&externalId=FD32359


Technical Note: LDAP configuration examples
http://kb.fortinet.com/kb/viewContent.do?externalId=FD37516

FortiGate LDAP Server configuration examples
http://kb.fortinet.com/kb/microsites/search.do?cmd=displayKC&docType=kc&externalId=10963

FortiGate LDAP Server Configuration for Active Directory
https://doitfixit.com/blog/2014/02/11/fortigate-ldap-server-configuration-for-active-directory/

LDAP Authentication on Fortigate
https://itsecworks.com/2012/06/19/ldap-authentication-on-fortigate/

HOW TO CONFIGURE ACTIVE DIRECTORY USERS IN FORTIGATE
https://www.bauer-power.net/2012/11/how-to-configure-active-directory-users.html

Fortigate | FortiOS | 5.6.3 | LDAP Integration
https://www.youtube.com/watch?v=PQpt2tDL8rM

http://help.fortinet.com/fos50hlp/56/Content/FortiOS/fortigate-authentication/UserGroups.htm?Highlight=ldap%20server

http://help.fortinet.com/fos50hlp/56/Content/FortiOS/fortigate-authentication/Servers.htm?Highlight=ldap%20server#LDAP_servers






148
ใช่ครับ  น่าจะโดน DDos ด้วยครับ  เพราะเห็น Service แปลกๆ ของพวก udp ด้วย พยายาม flood เข้ามา
เป็นที่ firewall ที่ tot หรือเปล่าครับ
เส้นของ cat ไม่มีแบบนี้ครับ

แบบนี้เป็นที่ TOT เลยครับผม

149
ใช่ครับ

150
ให้สร้าง Address ขึ้นมา Type : Geography
Country ให้เลือกประเทศที่ต้องการขึ้นมา
สมมติประเทศจีน ก็ Name : IP-China , Type : Geography , Country = China

จากนั้นที่ Policy ทำ Action : Deny ไปครับ