-Giới thiệu: Phần lớn sinh viên chúng ta chủ yếu là dùng 3G để truy cập Internet, tuy nhiên chi phí tài nguyên của công nghệ mạng này không giống như công nghệ khác là bị giới hạn, do đó việc sử dụng 3G để truy cập mạng rất được cân nhắc đối với sinh viên. Với lý do này, tôi lập topic này mong nhận được những giải pháp hay nhằm tiết kiệm tài nguyên 3G này. -Mục đích: Tiết kiệm chi phí và trao đổi, học hỏi thêm kiến thức. -Yêu cầu: +Thảo luận đúng trọng tâm chủ đề +Khi viết giải pháp của mình, cần viết rõ ràng và trình bày một cách có hệ thống. Tôi xin mở đầu, giải pháp của tồi là: WIPFW và ứng dụng trong trường hợp máy cục bộ Giới thiêu: là một firewall dành cho hệ điều hành Windows dựa trên IPFW đã phát triển trên nền FreeBSD Unix, nó cung cấp các tính năng, chức năng và giao diện tương tự như bản FreeBSD. Nên nhớ tải về bản "GUI frontend" - ngoại trừ bạn đủ chuyên nghiệp để làm việc với WIPFW trên command line. Cả hai tính năng tiêu chuẩn: packet filtering và ip accounting đều được ứng dụng với WIPFW. Packet filtering dùng để ngăn chặn những thông tin bạn không muốn đụng đến máy của mình và ip accounting cho phép bạn tạo các luật để theo dõi và tường trình, ví dụ như mức sử dụng web. WIPFW bao gồm tính stateful nhằm bảo đảm những thông tin cần dùng các cổng "động" không bị cản - để các chương trình sử dụng Internet không bị ảnh hưởng. Có thể download ở đây: http://wipfw.sourceforge.net/index.html 1. Trường hợp: Firewall đơn giản cho một máy đơn. 2. Nhu cầu: Bảo vệ máy đơn không bị rà và truy cập trong khi kết nối vào Internet. Máy đơn này không cung cấp dịch vụ cho những máy bên ngoài truy cập vào. Và ngăn cản 1 số lưu thông phát sinh ngẫu nhiên mà người dùng ko để ý, nhằm tiết kiệm cho những ai dùng những thiết bị mạng bị hạn chế về lưu lượng như 3G. 3. Phương pháp kết nối: Modem, xDSL, Cable, 3G. 4. Nhóm luật: Ipfw add 00101 check-state Ipfw add 00110 allow icmp from any to any icmptypes 0,3,4,8,11 Ipfw add 00150 allow tcp from any to any dst-port 80,443,22,5050 out setup keep-state Ipfw add 00151 allow tcp from any to any in established Ipfw add 00152 allow tcp from any to any out established Ipfw add 00154 allow udp from any to any dst-port 53 out Ipfw add 00155 allow udp from any 53 to any in Ipfw add 65533 deny ip from any to any 5. Phân tích Dòng 1: Kiểm tra trạng thái gói tin đầu tiên, trạng thái mà ta ấn định cho gói tin bởi các luật dòng 3,4,5. Dòng 2: Dòng náy ấn định cho phép những thông điệp ICMP được cho phép lưu thông. ICMP có 15 loại và mỗi loại có ít nhất là một code khác nhau. Riêng ICMP loại 3 có đến 15 code khác nhau. Vậy, chúng ta nên chọn và giới hạn ICMP nào? Sự chọn lựa này mang tính cá nhân vì mỗi người có cách nhìn khác nhau về ICMP. Riêng tôi, ICMP 0, 3, 4, 8 và 11 nên được dùng, số còn lại không nên cho phép ra vào vì chúng mang những tính chất ảnh hưởng đến vấn đề bảo mật. Dòng 3: Như mục đích ban đầu tôi đã nói là chặn những lưu thông phát sinh ngẫu nhiên. Tuy nhiên câu hỏi được đặt ra là các loại lưu thông cụ thể nào cần được cho phép? Vấn đề này phụ thuộc vào mức cẩn thận (hoặc paraniod)hoặc nhu cầu của từng người dùng. Với một cá nhân muốn truy cập bất cứ nơi đâu, bằng bất cứ giao thức nào thì không cần quan tâm nhiều đến vấn đề này, tuy nhiên nếu như vậy đã mất đi mục đích của chúng ta lúc đầu là ngăn chặn những lư thông phát sinh ngẫu nhiên mà chúng ta chưa biết. Tuy nhiên, với một cá nhân chỉ cần duyệt web và chat bằng Yahoo Instance Messenger chẳng hạn thì giới hạn này có thể thu hẹp lại rất nhiều. Trong trường hợp này, dòng này có ý nghĩa như sau: Dòng này ấn định OUTPUT rule cho mọi packet thuộc giao thức tcp đi từ bất kỳ card mạng này ra ngoài truy cập đến các dịch vụ có cổng 80(HTTP),443(HTTPS), 22(SSH), 5050(chat yahoo), có trạng thái SETUP{1} thì được cho phép và lưu giữ trạng thái. Hay nói cụ thể đây có thể xem là bước 1 trong quá trình bắt tay 3 bước. Dòng 4: Dòng này hoạt động phụ thuộc vào dòng 3 nếu gói tin đi đến dòng 3 mà được tìm thấy thì tại dòng này nó được phép đi qua. Ngược lại thì deny gói tin. Ý nghĩa dòng này mọi gói tin đi từ bấy kỳ đâu đến bất kỳ card mạng nào trên hệ thống của bạn ở trạng thái established{2} thì cho phép đi, bước 2 của quá trình bắt tay 3 bước. Dòng 5: Dòng này hoạt động phụ thuộc vào 2 dòng trên thay vì Dòng 4 là INPUT thì dòng này OUTPUT, đồng nghĩa nó là kết thúc quá trình bắt tay 3 bước. Dòng 6, 7: Ấn định mục đích để phân giải domain cho hệ thống của bạn. Dòng 8: Ấn định mọi gói tin không được tìm thấy ở các luật trên nó thì tới dòng này sẽ bị deny. 6. Chú thích: -SETUP: Như đã nói, vì hệ thống chung ta là client không phải là hệ thống cung cấp dịch vụ do đó chỉ có mở kết nối ra ngoài, chúng ta dễ thấy chỉ có packet từ hệ thống chúng ta đi ra mới có thể ở tình trạng SETUP để khởi tạo một xuất truy cập. Hay nói một cách khác, hệ thống của bạn "hỏi" thì đối tượng nào đó từ Internet mới "trả lời". Cụ thể mà nói trạng thái này đồng nghĩa với việc hệ thống khởi tạo 1 gói TCP với cờ SYN được bật. -ESTABLISHED: Một packet ở tình trạng ESTABLISHED có nghĩa nó thuộc một xuất truy cập (connection) đã hình thành và xuất truy cập này đã có diễn tiến trao đổi các packet từ hai phía "gởi và nhận". Packet ở tình trạng ESTABLISHED có nghĩa là nó đã thông qua giai đoạn "hỏi / trả lời" một cách hợp thức. 7. Tổng kết: Với việc thiết lập luật như trên, lưu thông chủ yếu mà hệ thống firewall cho phép chủ yếu là web, chat, ssh,… tùy theo nhu cầu của bạn và những lưu thông này phải được hệ thống của bạn mở kết nối ra ngoài. Từ đó những lưu thông khác hay phát sinh ngẫu nhiên trong quá trình dùng sẽ bị deny theo mặc định.
chỉ là theo dõi lưu lượng sử dụng mạng phải không anh? vậy sao có thể giảm nếu như vẫn đáp ứng nhu cầu mà tiết kiệm được nếu mình vẫn unngf như vậy
---->nó không còn là theo dõi lưu lượng mạng mà là ngăn chặn những lưu thông không được ấn định bởi người quản trị. Anh đã nói rồi, phải xem kỹ chứ, trong quá trình dùng 3G em không thể kiểm soát được hết lưu thông vào và ra, ví dụ nhé ngày hôm nay em download 1 chương trình gì đó, tuy nhiên em ko biết rằng chương trình này lại update tự động. Với firewall trên nó sẽ ngăn hoạt động update của chương trình này vì sao?, đọc lại cho kỹ nhé.
