Shunze 學園 > 搜尋 > 搜尋結果 哈囉,還沒有註冊或者登入。請你[註冊|登入]

作者 文章
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2343

shunze 離線
《分享》通行費詐騙顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

5/7一早,順子收到了一封通行費即將到期的簡訊通知,
要順子立即透過簡訊中的連結,下載APP來線上繳費。



順子的ETC是儲值自動扣繳的,印象中還有錢啊!
這個29元的費用,是否意味著順子ETC堭b戶堣w沒錢了?

透過網路查詢後,
帳戶媮晹酗C百多元啊!
那麼這個連結是什麼??

複製連結後,發現它會下載一個apk檔,
一般來說,官方的APP會叫你到市集去下載,
放在市集上的APP基本上也都經過了Apple或Google的驗證,
安全性層基本上比較沒有問題。

這個叫user自己下載apk檔來安裝的,風險很高!
再加上順子帳戶堜明有錢,卻跟你說費用未繳,明顯有鬼!
更詐的是到期日就是簡訊發送當日,擺明了要利用使用者擔心過期罰款的心理,
來詐騙使用者上勾,真是可惡啊!



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2022-05-09, 10:35 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2343

shunze 離線
《分享》SSLVPN客戶端軟體EoL?顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

Sophos公告,基於Open VPN的SSLVPN用戶端軟體(紅緣燈版)將於2022年1月31日EoL



原本已下載安裝的紅綠燈版SSLVPN軟體依然可以使用,
但後續在User Portal上提供的VPN撥接軟體,將會由Sophos Connect來取代。




這意謂著Sophos在Windows上放棄了Open VPN這個公版軟體,
改推自家開發可同時支援IPsec VPN的Sophos Connect軟體。
但在其它系統上,例如Mac,行動裝置上倒是沒有Sophos Connect的對應方案,
所以還是要靠Open VPN。

換成Sophos Connect對Windows User來說有什麼影響?

  1. Sophos Connect不支援Win7,所以若你還是Win7的使用者,還是保留你的紅綠燈版軟體。
    不然就去下載公版的Open VPN來使用吧。

  2. Sophos Connect不支援多帳號切換。
    紅綠燈版的軟體支援多帳號組態匯入,
    同一個撥接IP在匯入多個組態後,您可以自由切換要用哪個帳號來進行SSLVPN的撥接。



    但Sophos Connect不行!
    一個目的地IP只能有一個組態檔。

  3. 安裝Sophos Connect後,使用者組態的取得無法透過User Portal的Download Configuration for Windows來安裝,
    必需透過Download Configuration for Other OSs來下載組態檔,



    然後再由Sophos Connect匯入ovpn格式的組態檔。


其它就沒有太大差別了,畢竟它是一個撥通的媒介,對應的使用權限還是在XG上控制。



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2022-02-18, 17:11 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2343

shunze 離線
《分享》V18的Direct Proxy設定顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

在V18之後,Sophos把原本隱藏的0號阻擋規則強制顯示了!
而這條規則在Direct Proxy的使用上又會造成什麼影響?
就讓順子來實測看看。



經實際測試,將可正常運作的V17 Direct Proxy升級到V18後,
原本user可以正常開啟的網頁,現在都打不開了!



原因就跟V17版一樣,當清單最後有一條阻擋http/https的規則時,
就必需在這阻擋規則的前面,加上一條套用Deny All的Web filter的http/https放行規則,
否則所有網頁都將無法正常開啟!





在預設阻擋規則前,加上Deny All Web filter的http/https放行規則後,網頁就可以正常開啟了,
不僅可以依照Proxy規則中的Web filter來進行網頁控管,
而且log中,也可以看到Proxy的Web filter log記錄。



而端點沒有掛上proxy,就無法打開所有網頁。



基本上V18的Direct proxy的設定就沒有太大問題了。
(除了那個整個目標網段無法在web exception中放行的問題無法解決以外...)


參考資料
Resolve issues related to web proxy when...l rule is added



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2022-01-25, 16:31 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2343

shunze 離線
SD WAN Policy Route顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

順子在這篇文章一開始就提到自V18後“將原本單一firewall rule可以完成的工作,硬是分拆成三種規則來協力達成”,
現在有firewall rule,有NAT rule,那第三種規則是什麼?

第三種規則就是SD WAN Policy Route。

原本在V17中,可以直接在firewall rule堳定這條規則要透過哪一個WAN port連外,
這個功能在V18中也被剝奪了...

在V18版中,多WAN的情境下,要指定透過哪一個WAN連外,
現在只能透過SD WAN Policy Route來設定了...



另外,若您是由V17升版到V18,在這個SD WAN Policy Route頁面還可以看到舊設定被移轉過來的對外組態設定。



這個移轉過來的組態設定只提供修改與刪除的功能,
要建立新的對外端口設定,就只能透過新的SD WAN Policy Route來建立了。


我們姑且不論V18在firewall UI上不便的地方,
但規則一拆三,怎麼看都是化簡為繁,有違Sophos的初衷!

不過在V17就要在2021/11/30停止支援的情況下,
或許也該是時候,挑個適合的時間升級到V18了...



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2021-10-06, 15:39 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2343

shunze 離線
Loopback規則 (SNAT+DNAT)顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

如上情境,假設DMZ區的其它主機也會透過XG上的外部IP來連到同為DMZ區的FTP Server,
那麼情境上有什麼不同呢?

這種同網段電腦,連到SFOS的外部IP後再導回同網段主機的內部服務的需求,
在Cyberoam系列上的防火牆都必需透過Loopback規則來達成。
Loopback詳細說明可參考 這篇

Loopback規則一個設定上的重點就是要做SNAT
而原本對外服務的規則已經做了DNAT,
所以這條loopback規則將同時進行SNAT與DNAT轉址
這是loopback規則設定上最特別的地方!



Loopback規則完成後,再把原本firewall rule的source zone加上DMZ,
同時允許來自WAN與DMZ的連線,這樣loopback規則就完成了∼

那其它內部zone去存取DMZ的外部服務時,也需要透過loopback來完成嗎?
其實要透過loopback來導向也不是不行,
但透過loopback導向後,因為做了SNAT,所以服務server看到的來源IP統一會變成XG的介面IP,
無法正確識別來源IP,安全性較低,因此不建議透過loopback規則來導通,
這種情形順子建議在原來的firewall rule中,直接把內部zone加進去source zone即可。

且以上述範例環境來說,LAN到DMZ的外部服務IP再導回DMZ,並沒有不對稱路由的問題,不需要做SNAT,
所以除了相同zone的存取以外,其它內部zone去存取外部服務,透過基本的DNAT就可以達成。

而在對外服務同時有DNAT與Loopback規則的情況下,
這兩條的優先順序該如何排列呢?


由於loopback規則的來源範圍較小,只鎖定在與服務主機所屬的網段;
而DNAT的來源範圍是Any,所以在套用時,應該是先loopback規則,然後才是DNAT規則。



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2021-10-06, 15:34 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2343

shunze 離線
目的地端NAT規則 (DNAT)顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

在提供對外服務的目的地端DNAT規則上,
順子建議初次接手的工程師透過DNAT精靈來建立。
不過由DNAT精靈建立的規則不見得完全適用,可能需要修改其內容,
由我們可由這樣的範本規則來建立符合自己需求的firewall與DNAT rule。

假設SFOS上的配罝如下,
Port1 LAN 192.168.23.1/24
Port2 WAN 123.123.123.1/24
Port3 DMZ 172.18.10.254/24

我們要建一條DNAT規則,讓DMZ區的FTP server 172.18.10.1能夠提供對外服務,
那麼我們可以先建立一條如下firewall rule。



然後再建立如下對應的DNAT rule,將連接到XG介面的FTP服務轉到內部的172.18.10.1 FTP server。



基本上透過以上兩條規則的協力合作,就可以讓FTP Server透過XG上WAN IP提供對外服務了∼



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2021-10-06, 15:33 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2343

shunze 離線
來源端NAT規則 (SNAT)顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

在內到外的來源端SNAT規則上,
SFOS已有一條內建的SNAT規則 - Default SNAT IPv4。
透過這條規則會把內部去到外部public IP的所有traffic,統一進行SFOS介面IP的MASQ轉址後,再連到外部,
讓內部到外部public IP能夠以SFOS的介面IP去訪問,而不是以內部虛擬IP去裸奔。
這條規則預設適用於所有內部IP,包含LAN、DMZ、Wifi、VPN等zone對外的流量。



不過若是自V17版升級到V18版,這條預設SNAT規則是被停用的,
可以在清整所有內對外的規則後,再啟用這條規則來取代。

我們若想設定不同來源IP所對應的SNAT對外規則時,可以參考這條預設規則來設定,
只要把來源端對應到想要套用的IP區段即可。

另外,若介面上有多個alias IP可用,對外想用不同的alias IP去連結,
則可以在MAQS IP這邊帶上你要的alias IP去取代。



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2021-10-06, 15:32 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2343

shunze 離線
《分享》V18版化簡為繁?顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

Sophos SFOS自V18版後做了重大變革,將原本單一firewall rule可以完成的工作,
硬是分拆成三種規則來協力達成。
對既有V17版的user來說造成了不小的衝擊,
也顛覆了Sophos以往的口號 Security made Simple



不過V17.5版眼看著就要在2021/11/30全面停止技術支援,
化簡為繁,升級到V18,似乎也是一個不得不面對的問題了...


SFOS在V18開始,把原本含在firewall rule中的NAT規則,分拆成一個獨立的頁面,
如果原本的firewall rule並不需要做來源或目的地的NAT,
例如LAN to DMZ或是VPN to LAN這樣的規則,
那麼並不需要去增加NAT規則來對應原本的firewall rule,由這條firewall rule即可獨立達成。

但反過來說,如果原本的firewall rule需要做NAT,
不論是內到外,將內部私有虛擬IP轉成XG介面IP再連外的來源端NAT (SNAT),
或是提供外部IP連到內部私有虛擬IP伺服器的目的地端NAT (DNAT),
那就需要NAT這個新頁面的規則。

以下我們就來看看SNAT與DNAT該如何設定。



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2021-10-06, 15:31 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2343

shunze 離線
《分享》XG LED前面板操作選單顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

Sophos XG LED前面板是可以做些簡單操作的。



ENTER 進入選單
ESC 退出選單
上鍵 往上移動
下鍵 往下移動

其完整操作選單如下

Firmware Version
SFOS XX.X.XX

├─System Menu
│ ├─1.Show Date
│ ├─2.Show Uptime
│ ├─3.Show CPU
│ ├─4.Show Memory
│ ├─5.Show LoadAvg
│ ├─6.Show Disk
│ │ ├─1.Total Usage
│ │ └─2.Detail Usage
│ │
│ └─7.Live Users

├─Network Menu
│ ├─1.Show Port1
│ ├─2.Show Port2
│ ├─3.Show Port3
│ ├─4.Show All
│ └─5.Show Memory

├─Firmware Menu
│ ├─1.Show Firmware
│ ├─2.Factory Reset
│ ├─3.Shutdown
│ └─4.Reoboot

└─HA Info


比較有用的是查看目前設定的IP、關機、重開機、回復到初始值與查看磁碟用量,
其中磁碟的詳細使用內容,還可以直接查看原本需進console才查的到的報表磁碟用量
算是選單功能中比較特別的部分。



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2021-09-14, 14:58 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2343

shunze 離線
《分享》V17.5釋放隔離區郵件的環境需求顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

在V17.5版之前,隔離區的郵件釋放並沒有什麼大問題,
只要XG能解析到郵件的domain name,
不論是外部IP或是內部私有IP,
都能在XG中將隔離郵件釋放回mail server。

但在V17.5之後,Sophos原廠做了很大的變更,
要能成功釋放隔離區郵件,郵件domain的MX record解析出來必需是內部私有IP才行。
若解析出來是外部IP,隔離郵件在釋放時就會被queue住,永遠無法成功釋放!



即便XG中可以直接建立DNS record,
但這DNS record只限A record與CNAME,並不支援MX record。

這讓升級到V17.5後的客戶很困擾,
有的客戶還因此又倒回V17.1版。


因此在V17.5之後,若要使用mail protection中的隔離區功能,
客戶端必需準備一台能解析出內部私有IP的DNS server,
有多個domain的話,這台DNS server就必需提供多個domain的解析,
否則在隔離郵件的使用上就會出問題。



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2020-11-06, 12:06 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
跳到:
顯示從 1 到 10 在所有的 2043 個結果中.  12345...»

Powered by: Burning Board 1.1.1 2001 WoltLab GbR