Firewall Untuk Server Putera.com

[crypto.md5 1]

apa LRP boleh buat? anda boleh jadikan nya router dengan sambungan kepada UTP cable

tapi tidak kepada serial cable seperti PIX atau branded firewall yang lain. dengan erti kata lain LRP boleh diletakkan antara modem/router dengan network dalaman dan boleh berfungsi sebagai firewall.

Modem/Router, salah satu target yg digemari oleh attacker, still ko masih memerlukan hardware-based yg pro untuk defend network ko. Tambahan lagi, Operating System bukan konsentrettt kat LRP jer, banyak lagi applikasi lain yg dia process tahap performance menjadi 1 faktor pulak, dan kalau sebut pasal Denial of Service, memang kita akan teringatkan performance. Sebab tu banyak company yg demand Firewall/Router yg ada processor tersendiri untuk handle such a heavy traffic, complex access-list..

[Ehc 0]

Modem/Router, salah satu target yg digemari oleh attacker, still ko masih memerlukan hardware-based yg pro untuk defend network ko. Tambahan lagi, Operating System bukan konsentrettt kat LRP jer, banyak lagi applikasi lain yg dia process tahap performance menjadi 1 faktor pulak, dan kalau sebut pasal Denial of Service, memang kita akan teringatkan performance. Sebab tu banyak company yg demand Firewall/Router yg ada processor tersendiri untuk handle such a heavy traffic, complex access-list..

ye aku setuju,tapi LRP on hardware maknanya pada satu pc untuk boot disket tak kisahla berapa laju/pantas performance pc(hardware untuk boot LRP) bergantung kepada bajet yang ada. kalau bajet rendah P2 dengan 64 mb memori pun dah cukup dan digunakan di salah satu tempat di Malaysia yang lebih dari 30 server untuk dicapai dan lebih 1000 user duk keluar masuk tru 'firewall' berjenis LRP tu.

tapi kalau rasa cam tak berapa confident kot2 slow, guna la yang latest teknologi punya speed pun no hal, cuma kita berbalik pada persoalan asal jika bajet ciput, jgn pandang big company sebab depa ada big bajet.

dan berbalik kepada sesetengah branded firewall pun rasanya menggunakan intel sebagai processor, rasanya la, aku pun kurang pasti sebab tak pernah buka tengok isi dalamannya.

berkenaan dengan kemudahan yang disediakan, seperti biasalah, LRP tidak tersedia dengan GUI yang berwarna-warni ini kerana hanya disimpan dalam 1 keping disket , tidak juga mempunyai kemudahan "fill in the blank" kepada tools yang ingin dibuat seperi NAT/MASQ, open/block port, reject atau lain.

semua 'kita' sendiri yang perlu meletakkannya kepada skrip tersebut apa yang ingin dibuat.

kalau nak kata susah mmg susah, tapi kalau nak banding harga mmg tak adil, sebab branded firewall sudah mempunyai 'namanya' diperingkat dunia, tinggal lagi kalau nak membeli mmg kena periksa dulu kantung, dan kalau diberikankan kesempatan yang diberi majikan untuk menyelesaikan masalah ni, aku berpendapat

(pendapat aku kalau aku diberi tugas) aku akan memilih untuk menggunakan LRP tidak kepada kosnya, tidak kepada susahnya, tidak kepada cerewatnya, tidak kepada 'firewall ke tu', tapi kepada kesempatan untuk aku memahami dengan lebih dalam berkenaan networking+subnet(vlan)+routing+rules+lain2.

not expert, but already used.

[Shanai 31]

mat tenuk, saya dah emelkan pix config utk direview.

pasal teknologi firewall ni, melalui pembacaan, saya dapat tahu yg intrusion prevention system (IPS) adalah next generation punya firewall. IPS bukan IDS (intrusion detection system).

Benda alah tu yg company tu offer dgn harga 100k - hardware & software. Dia guna UTP in dan out tapi tak ada IP address. Dia sniff semua packet dan baca semua data, dan boleh detect serta block macam2 jenis packet, termasuk brute force ssh, sql injection, sql worm, virus, emel attachment, p2p (dan lain2 yg aku dah tengok)

Ehc, saya pun ada nak try firewall on disk / on cd tapi ari tuh hardware problem so belum berjaya test.

Anyway.. cisco pix506E tu guna intel celeron je processor dia (kalau tak silap la) - check website cisco.

[prontoxp 2]

mat tenuk, saya dah emelkan pix config utk direview.

pasal teknologi firewall ni, melalui pembacaan, saya dapat tahu yg intrusion prevention system (IPS) adalah next generation punya firewall. IPS bukan IDS (intrusion detection system).

Benda alah tu yg company tu offer dgn harga 100k - hardware & software. Dia guna UTP in dan out tapi tak ada IP address. Dia sniff semua packet dan baca semua data, dan boleh detect serta block macam2 jenis packet, termasuk brute force ssh, sql injection, sql worm, virus, emel attachment, p2p (dan lain2 yg aku dah tengok)

Ehc, saya pun ada nak try firewall on disk / on cd tapi ari tuh hardware problem so belum berjaya test.

Anyway.. cisco pix506E tu guna intel celeron je processor dia (kalau tak silap la) - check website cisco.

Kat opis saya ada firewall guna IPS ni.. nak cuba boleh la..tapi tak pandai nak manage ips sbb terlalu banyak rules...

[crypto.md5 1]

Memang LRP menjimatkan kos, tapi its better to have hardware-based kerana hanya tertumpu kepada network processing, kalau nak gabungkan pix & LRP apa salahnya... eheheh

Product yg IPS cisco offer http://www.cisco.com/en/US/products/hw/vpn...4077/index.html , lebih advance dari IDS.

I'll analyze the pix configuration, will let u know later. Sekali imbas aku dah tengok reverse-path belum enable... anyway, will let u know..

[gegule 0]

pasai penggunaan aper² firewall pung tak jadik hal dengan syarat ngko configure perabih baik. beli ler ips skalipun kalu salah edjas, silap² membuka lagik lobang untuk orang lain access masuk secara percuma.

stakat nih lum ader aku jumpa software firewall yang bleh menahan brute-force flood berupa hentaman peket bertalu talu. silap² software tuh sendrik yang crash

hardware firewall pilihan terbaik untuk kes camnih. dan jugak nengok dier nyer keupayaan gaks. bukannya takder aku jumpa hardware firewall yang kong, samader flash memory dia corrupt pasal kena hentam kaw kaw.

since website nih pun leh dikategorikan sebagai sibuk, dan terkenal gaks, better protect with firewall. cisco pix dah memadai kalo configured sebaik mungkin.

[Red-Hat-Enigma 0]

Assalamualaikum dan selamat hari raya pada semua.

Aku tertarik pada thread ni dan teruja untuk memberi sedikit pandangan dan luahan dalam diri aku sendiri untuk dikongsi pada semua rakan rakan sekelian .

@Ehc

Aku setuju dan sokong pendapat ko berkenaan LRP .

@Pada yang lain lain . Ikuti kisah aku dalam hal Fortigate/Fortinet Series 60.

Actually bos aku beli benda alah hardware-based firewall + IDS + IPS + UPS (Kargo)? ntah ape macam nye lagi . Aku telek lah manual nye (dah rajin sgt bebudak mylinux@webchat dot org ckp RTFM) so aku RTFM la . Rerupe nye laaaa GPL software pun duk sumbat kedalam benda alah nih ? dah la RAM kecik (ok la .. yeah mmg bajet kecik jek .. nak tau berapa habis ?? RM 10,000.00 ) . Aku tanya rep yg pasang benda alah nih (kire tech die org la nih dari kampeni yg tersohor kat Mid Valley nuh) . Ape pasal guna GPL ? kan ke tuh free-based software , dah la tuh korang dan dan cas aku nye kampeni beribu.Alasan dia beri ? jenama "nama" tuh ngan dia nye product dari luar negara . Maun jek aku bagi kayu 2x4 kat cine nih kang.

So berbalik la pada Fortigate/Fortinet Series 60 aku tadi ni . Dah la upgrade tak leh (HDD ke CF dalam benda alah tu pun aku taktau) . RAM dah 70% usage .. tuh baru install tak masuk rule ape ape laei . Mmg bagus la pasal semua integrated dalam satu machine dan satu interface (yg die org dah ejas guna web interface jek) . Aku mmg tak puas hati dengan performances tuh .

Mungkin rakan rakan lain kata .. "alah LRP .. boleh ke tahan DDoS net ? boleh ke buat tu dan buat ni ?"

Jawapan dia , boleh !

Cara nya :

Router / Cable Modem / Modem -> LRP -> PC Khas (P4 la senang moden skit dari 486 tuh) OS (Slack ? FC ? BSD_Based? Mandriva ? ikut rasa sendiri) -> The rest Of Network (LAN or VLAN).

Aku pernah cuba benda LRP ni dengan bantuan software yang ada kat luar tuh yang ditawarkan secara free. LRP based ( Coyote , Brazfilfw, IPCop, FreeSCO, m0n0wall, pfSense - nih sume GUI based yang diubah ceria dari LRP , based dia mmg LRP cuma ditambah GUI) . Utk penahanan DDoS ? Stateful inspection ada kat dalam Netfilter tu sendiri (IPTABLES) . Rules mmg kena rajin buat sendiri dan guna idea sendiri . Sebagai seorang system admin yang mentadbir sistem anda , diharap belajar la buat benda benda cam ni , tak rugi mana pun. Macam macam options ade dalam IPTABLES tu sendiri , drop packet , Reject , Deny , "throttle" kan mana yg perlu et.c web port 80 speed up kan dan etc etc etc . Ttg IDS/IPS , elok sgt gunakan honeypot yang dah terbukti dengan track record yang cukup mengagumkan . Tak cukup honeypot pun xpa lagi . Ada banyak IDS/IPS system yang boleh diguna-pakai kat luar tuh secara percuma .

Pendek katanya la , jangan lah cepat berputus asa sehingga sanggup menghabiskan beribu ribu ringgit dengan benda tak sudah kemana pun . Masih ada cara lain untuk menyelesaikan ,

"While no Internet-connected machine is 100% safe, Coyote provides a moderate-to-strong degree of security for the computers that it shares an Internet connection with. Coyote Linux and other distributions like it that do not run services such as web, ftp, email, etc are as secure - or possibly more so - than commercially-offered home firewall/gateway solutions."

Sumber dipetik dari Coyote Linux Floppy Distro FAQ - credit to Mr. Joshua Jackson for the FAQ .

Akhir kata sebelum aku mengundurkan diri , ampun maaf atas keterlanjuran kata atau tersilap bahasa . Yang baik itu datangnya dari Allah dan yang buruk itu adalah diri ku sendiri . Ku susun sepuluh jari memohon ampun dan maaf di hari raya aidilfitiri ini . Selamat Menyambut Hari Raya Aidilfitri kepada semua rakan rakan sekelian .

Edited November 3, 2006 by Red-Hat-Enigma

[azuan 2]

ya. pfSense. aku penah pakai ni dulu, install kat sebijik komputer pentium 3, bubuh kat depan segala jenis server. memang tahan lasak, cuma dia masih belum mampu menahan serangan "pembanjiran di pintu masuk". hokhokhokohhk. aku taktau camana nak dibahasainggeriskan benda ni. tapi memang aku dah test, terus timeout. takboleh akses komputer yang duduk belakang pc yang aku jadikan firewall guna pfSense tu. tapi dari segi kos, dan andaian bahawa webserver ko takkan kena serang teruk macamtu, kira ok la, memang puas hati.

memandangkan admin sendiri cerita ladang yang dia bubuh server putera.com ni pun dah dilengkapi pix506E, aku rasa better teruskan dengan config berlainan supaya lebih tahan lasak.

[crypto.md5 1]

Mr. Shanai, discuss tentang configuration pix putera here can very sensitive, aku send pergi email mr. shanai. Agak terkejut jugak setelah aku review semua config pix... patutla serangan Azuan tu, senang saja melumpuhkan PIX... firewall outside interface tidak dijaga dengan betul...

[Shanai 31]

saya dah agak dah.

tapi saya belum terima lagi emel tu!

make sure @yahoo.com yek

[azuan 2]

untuk melihat log/aktiviti secara langsung, admin dengan mat_tenuk boleh set time bila nak tengok masa aku melakukan serangan itu . waktu tu boleh figure tang mana ada kelemahan dari segi configuration. x-colleague aku kat syarikat telekomunikasi terulung tu dulu cakap PIX506E tu dah terbaik untuk tahan serangan yang wujud pada abad ni. cuma perlukan sentuhan yang berkesan je. pasal model firewall ni banyak digunakan di sana. jadi kalau ada vendor datang cakap syarikat tu kena beli hardware terbaru bernilai RM200,000 sila abaikan sebab diorang cuma merepek® je

[Ehc 0]

jadi kalau ada vendor datang cakap syarikat tu kena beli hardware terbaru bernilai RM200,000 sila abaikan sebab diorang cuma merepek® je

merepek dan cubaan "mengencing", maaflah jika perkataan yang aku guna amat kasar atau

tidak bersopan.

tapi hakikatnya, begitulah kelaziman yang berlaku apabila vendor cuba untuk "menjual" produk mereka

yang kononya lebih hebat, tahan lasak, dan bla bla.

berbalik kepada topik asal, firewall di putera. aku yakin mat_tenuk,azuan, shanai serta puteranians yang lain dpt sesama mengembeling tenaga mengebalkan firewall PIX tersebut . mungkin boleh dikongsi bersama apakah yang perlu dilakukan(bukan cerita contains firewall PIX putera ) terhadap sesuatu firewall untuk menahan segala ancaman terhadap "jagaan" dibelakangnya ataupun "dia"(firewall) sendiri.

cuma sedikit idea dari aku, jika sudah dilaksanakan cantekla.

firewall ni tidak lebih dari packet filtering yang ditugaskan untuk menapis laluan trafik antara untrusted mahupun trusted terhadap server yang memberi perkhidmatan capaian yang biasanya port 80/21/22/23/25/143/110/53 dan byk lagi port aplikasi yang mungkin perlu dibuka/disediakan.

dan semua sedia maklum, server yang menyediakan perkhidmatan tersebut perlulah bersedia dahulu dengan patches terhadap apache, IIS dah tak kira apa jua services. jika tidak, ada 10 lapis firewall pun server tersebut tetap "berterabur" kalau dah isi rumahnya lemah.

begitu juga dengan teknik IP assignment dan routing terhadap firewall. adalah lebih baik IP (eth0/eth1/eth2 kalau ada) pada firewall di"private"kan agar ianya tidak dapat dikenali di "luar sana"(public) selain dari dpt menjimatkan paling kurang 1 public IP . kemudian subnet/IP public dibawa masuk ke belakang firewall dan di"gateway"kan menggunakan teknik host route pada firewall tersebut.

cara ini dpat mengelakkan firewall dari terus dpt dikenali/diserang/disentuh dari "public" kerana menggunakan "private" IP.

ok itu saja untuk pagi ni, sambung kijer dulu.

[Red-Hat-Enigma 0]

Pelik jugak aku eh, ade puteranians yang cuba *hush *hush* kan thread ni . Kenapa cam tu ye ? Tuan punya kandang sendiri yang buka thread ni dan kalau rasa tuan punya kandang nak *hush* *hush* dalam email . Rasanya dari mula lagi tak perlu nak buka thread macam ni. Adakah sesetengah puteranians tak nak berkongsi idea dan pandangan mahupun kritikan ? . Masing masing ada kepakaran masing masing dan idea tersendiri, tak salah jika dikongsi bersama rakan rakan semua . Jadi jika inginkan sesuatu idea itu datang dari segenap pelusuk malaysia. Disinilah arenanya , bukan didalam email atau PM atau Secure Connection .

Terima Kasih

"Berkhidmat Untuk Negara"

[azuan 2]

offtopic: red-hat-enigma, ko cuma berkhidmat untuk negeri je, jadi sila jangan tipu.. hokhokhokhokhokho

kalau admin atau syarikat tempat server putera.com ni dilarikan membenarkan aku masuk, dan mencuit sikit firewall tu, aku dengan berbesar hati boleh datang, tapi bukan bila bila masa la, kena set masa dan hari dulu

[gegule 0]

ekekekeke siap ader ® lagik kat merepek tuh, registered kat saper? kat crap ek

anyway aku stuju ngan zuan. firewall jenih tuh memang banyak digunakan, even dibelakang border gateway tmnet pung ader firewall jenis tuh, digunakan untuk protect certain router daripada sebarang jenih know attacking method. sorry aku tak terlibat dengan network team, dan jugak takder experience configure pix tapi fyi, firewall tuh memang baguih, cuma configuration jeks kena cun. kalo nak aku cuba edjas kengkawan aku kot kot leh pinjam derang nyer config.

basically, standard corporate firewall mesti mampu menahan segala jenis ICMP flood, tcp/udp flood. ader beberapa jenis attacking method yang beruk² nih suka guna, ICMP flood dan jugak tcp/udp flood, dimana tcp/udp flood nih memang susah nak prevent, pasai dia suka attack direct ker specific port, lebih lebih lagik network yang ader run webserver, derang just target port 80 jeks. jadik firewall yang ader mesti mampu untuk mengenalpasti packet header, samader berupa http request ataupun benda lain

plus++: aku agree dengan redhat-enigma, perbincangan camnih diharap takder yang pm admin secara direct, pasai kitorang sumer nak share segala possibilities berkenaan benda camnih. mat_tenuk, ngko jangan ngengada PM/email secara private dengan admin! aku raser config tuh pung leh paste kat sini, guna jels command [ code ] tuh. kitorang sumer nak nengok gaks

Edited November 5, 2006 by gegule

[crypto.md5 1]

Oklah, aku dah send sekali lagi, aisehhhmen, aku ngengade lak? alahai...terpulangla pada admin, nak ke tak.. cadangan yg aku send belum complete lagi, kena test serang dulu baru tau.... config yg pada asalnya, apa yg sana nak cakap ialah, takde filtering langsung!!! admin, boleh tak aku paste config asal kat sini? boleh dibawa bincang bersama, dan... takkan aku jer tau config cisco PIX ni? mana pegi yg lain? yg ada cisco certificate, pegi mana? kan banyak kat putera ni, boleh kongsi idea nanti

[Ehc 0]

config yg pada asalnya, apa yg sana nak cakap ialah, takde filtering langsung!!! admin, boleh tak aku paste config asal kat sini? boleh dibawa bincang bersama, dan... takkan aku jer tau config cisco PIX ni? mana pegi yg lain? yg ada cisco certificate, pegi mana? kan banyak kat putera ni, boleh kongsi idea nanti

takde filtering langsung?

teringat aku pada satu tempat kat malaysia ni yang mempunyai beberapa buah firewall dalam

satu LAN tapi filteringnya accept ALL to ALL.

oleh kerana bajet dah bertimbun maka dibelinya firewall yang bertanda RM????? namun tidak lebih

tugasnya seperti router sahaja.

mat_tenuk dah ready untuk bincangkan pasal PIX, atau tak kiralah mana2 firewall tapi apa yang penting

apa yang perlu dibuat pada firewall untuk mengelakkan dari apa yang tidak dikehendaki, harap admin

dapat pertimbangkan untuk kesejahteraan semua walaupun mungkin sedikit sebanyak menyentuh firewall putera sendiri .

[crypto.md5 1]

takde filtering langsung?

teringat aku pada satu tempat kat malaysia ni yang mempunyai beberapa buah firewall dalam

satu LAN tapi filteringnya accept ALL to ALL.

oleh kerana bajet dah bertimbun maka dibelinya firewall yang bertanda RM????? namun tidak lebih

tugasnya seperti router sahaja.

mat_tenuk dah ready untuk bincangkan pasal PIX, atau tak kiralah mana2 firewall tapi apa yang penting

apa yang perlu dibuat pada firewall untuk mengelakkan dari apa yang tidak dikehendaki, harap admin

dapat pertimbangkan untuk kesejahteraan semua walaupun mungkin sedikit sebanyak menyentuh firewall putera sendiri .

Yer, ader ke patut access-list out_in permit ip any any? and access-list in_in permit ip any any?

[prontoxp 2]

heheheh... boleh jadi ada tapi dari accept in out all tapi spesifik ip address ...

[Ehc 0]

Yer, ader ke patut access-list out_in permit ip any any? and access-list in_in permit ip any any?

mungkin masa configure tempoh hari, yang tukang buat tu terlupa kot.

aku mmg tak pernah sentuh PIX ni, tapi kebiasaan yang aku nengok orang configure dan aku

sendiri configure firewall, defaultnya semua services/laluan ditutup, dan kemudian buka

satu2 port yang diperlukan.

mungkin mat tenuk boleh tunjukkan contoh konfigurasi lam PIX macamana?

cepat mat tenuk aku nunggu ni.

[Shanai 31]

kalau admin atau syarikat tempat server putera.com ni dilarikan membenarkan aku masuk, dan mencuit sikit firewall tu, aku dengan berbesar hati boleh datang, tapi bukan bila bila masa la, kena set masa dan hari dulu

Azuan, aku kalau boleh memang nak kau sentuh2 skit, tapi keadaan belum mengizinkan lagi. Kalau ada peluang nanti, aku setkan masa yg sesuai.

Berkenaan penggunaan PM dan emel, spesifik kepada topik ini adalah perlu dan kritikal, bukan bermaksud nak sorokkan ilmu, tetapi atas sebab-sebab sekuriti.

Saya tahu config firewall yg ada sekarang sangat lemah. Jika saya dedahkan config yg ada skrng kepada public, bermakna saya mengambil risiko yang tersangat besar. Jika ada penggodam sedang mengikuti topik ini, sudah pasti dia akan tahu kelemahan yg ada.

Selain server putera.com, terdapat server2 lain yg turut ada disekitarnya, yang lebih kritikal. Jika apa-apa terjadi, satu Malaya boleh havoc, dan status putera.com sebagai penumpang akan lenyap seumur hidup.

Saya tak nak org2 yg tak suka dgn putera.com ambil kesempatan dan menyusahkan pulak server2 lain. Jadi saya limitkan maklumat kepada segelintir yg saya boleh percaya dulu. Bila dah selesai, baru boleh kita discuss ramai2.

Saya harap semua dapat faham keadaan ini.

[crypto.md5 1]

Ya, memang sebab itulah aku tak dedahkan kat public, banyak lagi server2 & network yg tak berdosa dibelakang sana, bukan maksud aku ngade2 tak nak tunjuk config tu.

Encik Admin, dah banyak kali aku send, mungkin inbox admin penuh kot

Sekian,

- Yang Memegang Amanah

[Ehc 0]

Ya, memang sebab itulah aku tak dedahkan kat public, banyak lagi server2 & network yg tak berdosa dibelakang sana, bukan maksud aku ngade2 tak nak tunjuk config tu.

oklah, kalau mr admin tak benarkan ada logiknya,

cuma aku minta en mat tenuk dapat buat review berkenaan

firewall PIX, mana tahu, selain dari "kita" yang membalas dan membaca

disini ada yang tertawan kepada PIX tersebut.

aku paham, mmg berlambak dlam internet kalau di"google"kan

cuma kalau boleh, dengan ihsan mat tenuk dpat curahkan sedikit idea

dan ilmu bekenaan PIX.

[Red-Hat-Enigma 0]

On-Off-Topic , azuan : aku berkhidmat untuk negara sekali melalui "negeri" . Tujuan yang sama dan implikasi pun sama .

In-Topic : Ha ni yg tgh bagus sgt aku nak mencelah . Bagus sangat sangat kalau benda benda cam ni dibincangkan secara open talk dalam forum . Tapi memandangkan tuan punya kandang kata sesetengah benda terlalu kritikal dan private , tang ni setuju la aku . Tapi takkan la sampai kita nak paste code cam ni

# Ethernet card connected to DSL modem
ETH=eth1

# PPPoE user name.  You may have to supply "haiya_apek@tmnet"  Sympatico
# users in Canada do need to include "@"
# Sympatico uses PAP authentication.  Make sure /etc/ppp/pap-secrets
# contains the right username/password combination.
# For Magma, use [email protected]
USER=haiya_apek_parah_xxxxxxxx@tmnet <-- takkan username pun nak paste JUGAK kat sini ?

Kesimpulannya , berpada la dengan apa yang kita paste dan nak bincang sekalipun . Kalau ada benda yg password ke , lines yg mendedah dedah bahagian "sulit" jgn la duk tunjuk . Kang terjojol mata kawan kawan para penggodam/crackers yang duk tengah mencari cari mana "bahan" yang sedap untuk "sajian" nnt .

[Shanai 31]

Ha.. oklah kalau semua dah faham.

Dalam proses ni pun rasanya banyak juga yg saya belajar (dan terpaksa belajar), apa yg saya dah tahu tu, insya-allah kita kongsi sedapat mungkin.

mat_tenuk,

email awak saya masih tak dapat2 lagi, betul ke awak hantar ke hasani at yahoo dot com, tak ada dot my? mailbox saya baru 75%.

Anyway, semalam saya dah ubah2 sikit pix config tu.

no access-list out_in permit ip any any

ganti dulu dgn

access-list out_in permit tcp any any

lepas tu buat

conduit permit tcp any eq www any
conduit permit tcp any eq ftp any
[/code]


saya juga permit smtp tapi hanya pada mail server
config ni sementara sahaja, sehingga dapat yg betul-betul ketat & sendat.

ada bbrp server yg saya tak tahu dia pakai servis port apa, jadi saya terpaksa permit semua. Bila saya buka www, ftp & ssh, dia masih takleh akses, jadi terpaksalah buka semua dulu.

Bila kita tak permit service/port, macamana nak tahu port apa yg tersangkut/terhalang? Saya cuba buat 
[code]logging buffered debugging

tapi tak nampak hasil / tak reti.