DNS封鎖Facebook技術

DNS封鎖Facebook技術

公司的防火牆只能擋IP
不能擋FQDN
該怎麼封鎖Facebook/Line/Dropbox…

首先我們需要了解電腦上網的原理
IP/Submask/Gateway和DNS

前三項是上網要素的絕對值
無法更動(除非是AnyRoute,啥米是AnyRoute可以洽詢我們公司各區服務處)
所以MIS/IT人員可以動手腳的部份是在 DNS

我們簡單說明打開一個Facebook網頁的動作原理
PC一打開網頁
他會先問DNS Server
Hello DNS Server
請告訴我 www.facebook.com 的IP在那邊
我要打開他的網頁

所以當知道網路是這樣的運作方式之後我們可以掌控的是DNS Server的查詢和回應
所以我們只要把我們當成是root DNS就可以了

回應WWW的URL或是FQDN方法很多
DNS/DNS Proxy/LMHOST…都是
我們先示範DNS Proxy方式

如果您的Firewall防火牆設備有像我們公司所用的MH/MS/MHG/UTM系列一樣
有DNS Proxy功能
在您DHCP Server配發DNS Server IP時
配發Firewall的IP
或是自定DNS Server IP

系統管理 > 組態 > 主機名稱表
自定一筆
www.facebook.com >> 127.0.0.1
127.0.0.1在定義上是指向自己的IP

當然比較厲害的工程師可以架一個Web Server
Ip填入Web Server的IP回應他
[公司政策禁止連線該網址]

但是…
貴公司的Firewall防火牆可能連DNS Proxy的功能都沒有
這時後該怎麼辦
我們教簡單的方式
使用Windows 2003 Server 把DNS Server功能裝起來
當然您可以用其他系統都可以達到同樣的目地
比如BIND DNS server
Windows XP/7/8也有其他可以架設DNS Server的工具

DHCP Server配發DNS Server IP時候記得要改配發這一台DNS Server

當您架好Windows 2003 Server的DNS Server Service之後
您可以新增
Facebook.com的DNS 區域

一樣自定一筆www.facebook.com指向127.0.0.1或是公司的Web Server

這樣他查詢DNS

就會是我們指定的IP

MIS/IT要記得把對外的DNS查詢封掉
只留這一台DNS Server可以對外

當然如果沒有DNS Server還有LMHOST的作法
但是要一台一台匯入
太麻煩了

還是架一台DNS Server最快

以上如果有其他問題
請洽本公司各區服務處
http://www.ublink.org

甲乙兩點新的FTTH光纖長專會碰到的問題

甲乙兩點新的FTTH光纖長專會碰到的問題

這有點像是Hi-Link
但是又不是
他兩端都是光纖FTTB進線
說是數位乙太長專
也不是
因為他也不是透過DTE/DCE設備
他是光纖直接轉Switch進線
我們先暫時稱他是甲乙兩地透通式光纖長專

這種專線挺有趣的
他只會學習8個MAC Address的設備
聽說透過官說 XD
可以開到32個MAC Address
但是如果 B 廠隨便就有33台以上的電腦
那不就還是一樣會碰到問題

因此我們的建議架構是
需要自備一台Route/Router
當兩端的路由
這時後Vigor2920和Vigor2960都是不錯的選擇
當然如果單位更小Vigor2110應該也是OK的
設定的方式大致是兩端不同的IP區段
A廠防火牆把B廠的IP Static Route給Vigor 2920
Vigor 2920的Lan2 Routing B廠的IP給A廠的防火牆就可以了

以上是只有一個A點有出口的狀況之下
但是您也有可能碰到下面的架構方式

A廠和B廠有各自的防火牆
透過這種透通式的FTTH長專
糟糕了
兩端的DHCP Server竟然也混在一起了 ^^
如果DHCP Server沒有透通在一起
IP區段也混在一起了
那他怎麼找到對廠的IP電腦?
這時候我們還是建議您
自備Router
Vigor2110/Vigor2920/Vigor2960
都很便宜又可以達到目地

觀念很簡單
A廠和B廠定義成不同區段IP
A廠的防火牆Static Route B廠的IP區段給 Vigor2920的一個Interface(例如是Wan)
B廠的防火牆一樣也Static Route A廠的區段IP給Vigor 2920的Lan2 Interface(Lan Port 1)
這樣兩端就可以互通了

以上產品如果有其他問題
請洽本公司各區服務處
http://www.ublink.org

Vigor2920和Vigor3200搭配NSH-2926切vLan DHCP Server配發不同區段的IP

Vigor2920和Vigor3200搭配NSH-2926切vLan DHCP Server配發不同區段的IP

NSH-2926

1. Vigor3200 / Vigor2920 設定部分不再贅述(同之前範例 , 唯NSH-2926設定與UBS-5024/5124不同,以下範例說明)

2. 進入NSH-2926設定畫面(IP:192.168.0.254 帳/密:admin)

3. 範例說明: 第 1 Port 與Vigor做串接 , 第 2 Port 預留作日後設定時進入的管理PORT , 25-26 Prot是SFP(mini gbic)預留串接別台SWITCH
Port 3 ~ Port 6 為一個group , Port 7 ~ Port 10 為一個group , Port 11 ~ Port 24 為一個group

4.指定那些 Port 帶哪些 VLAN ID (在上圖中的Port Settings選項中設定,完成後結果如下)

5.因第 1 Port共用 , 所以第 1 Port要帶tag(這一部分跟其他SWITCH較不一樣) , 如其餘Port要接PC或設備則不用帶tag(在步驟3裡的Tag Settings做設定,結果如下)

6.最後比較重要的是記得要去Bandwidth Control做QoS的Priority設定

以上產品如果有其他問題
請洽本公司各區服務處
http://www.ublink.org

UBLink Radius Server 上網認證管理系統

UBLink Radius Server 上網認證管理系統
URS(UBLink Radius Server)上網認證管理系統:
現今平板電腦和智慧型手機的普遍，造成飯店的有線網路不符合使用，
而需要建置無線網路讓住宿的客戶使用，因此就需要比較符合人性化
管理的設備來管理飯店的有線/無線網路。
系統效益:
1.可提供有線/無線上網網路認證。
2.櫃台人員就可直接管理，不需要特定的人員才可以進行管理。
3.管理可區分為主管理員和次管理員。
4.可以亂數產生上網的帳號跟密碼(單一帳號或大量帳號)。
5.亂數產生的帳號跟密碼可以列印到一般的印表機，櫃台就可以直接列印。
6.帳號跟密碼可以在住宿飯店任何地點使用，不限定房號和樓層。
7.提供認證帳號的認證時間查詢。
8.管理人員可以知道各個樓層有線/無線設備的存活狀態(Live Check)設備脫機離線還有E-Mail Alarm通知設備管理人員。
9.提供有線/無線設備偵測狀態查詢。
10.減低人力維護成本。
成功案例-柯旅天閣台中旗艦館
柯旅天閣-台中旗艦館簡介
成立時間：2007年 1月
房間定價：6,000~9,200
客房數：124間
旅館特色：
THE Tango TaiChung，兼具大台北都會的華麗旋風，
加上大台中都會的熱情與體貼細緻的服務，給自己一個真正的brand new start！
鄰近中港商圈、高速公路、高鐵、及新市政之優越地利環境，
THE Tango TaiChung讓商務人士往返無後顧之憂，便利觸角，延伸無限商機。
並提供健身中心、三溫暖、多種美味餐點餐廳及容納兩百人的宴席空間。
THE Tango TaiChung 提供了大台中都會商旅全新的時尚選擇。
有線無線網路管理
已經結合飯店客房部客戶關係管理系統

系統架構圖

URS-250 Radius Server(桌上型)
(建議使用環境：10~100人)

URS-850 Radius Server(1U機架)
(建議使用環境：100人以上)

UBLink Radius Server 功能展示
UBLink Radius Server 管理介面
出廠預設管理IP-> http://192.168.254.168:250 帳號: admin 密碼: adminpw

管理員與次管理員新增,刪除,修改



使用者新增,修改,查詢



線路偵測新增,修改,查詢



認證紀錄和線路偵測紀錄查詢


以上產品如果有其他問題
請洽本公司各區服務處
http://www.ublink.org