[筆記]-關於SSH的一切

很久之前就聽過SSH這個Telnet的替代方案，但是一直沒去玩看看。直到近來家裏、租屋處、公司三地為了資料傳輸與遠端控制，才去找了相關資源來試看看。一用之下感覺還真是方便，不但有Telnet的遠端cammand line可用，還有WinSCP可以FTP傳輸檔案，以及Tunnel的功能。而且全部都是加密過的資料傳輸！

在該死的Win32平台上不像Unix like系裡面有現成的SSH服務可以享用，所以就得另外找軟體囉！原先拜了Google大神後只有找到WinSSHD這個伺服端程式，可惜它是要錢的Q_Q。後來發揮擲爻的精神，交叉搜尋下終於讓我找到它了『FreeSSHD』。免費、開放的自由軟體阿！Win32平台上的完美解決方案，配合piaip大大改良「putty」而成的「pietty」以及WinSCP後。這真是一個遠端控制，穿透的解決方案！
拿我目前的應用來說，我想遠端控制防火牆PIX。但是很麻煩的必須先設定容許的外部IP才能在外網使用。對於家中的浮動UP就很不便，又不想遮罩開太大造成資安問題。這時在公司電腦安裝FreeSSHD伺服器後透過Tunnel機制就可以排除這個問題。因為內網存取PIX是沒問題的。
舉例如下：

＃架設好FreeSSHD並設定好帳號權限之後
＃遠端使用pietty登入
＃選項-->詳細設定
＃Connection-->SSH-->Tunnels
＃設定Source port與Destination
格式為：source port : 1433
Destination：192.168.10.250:443

如此一來連線建立後本地端127.0.0.1:1433就會對應到192.168.10.250:443
這時啟動ASDM launcher輸入ip為127.0.0.1:1433就可以聯線上ASDM了。

後記～黑暗中的獨行者

之前敘述的一些動作，都是很簡單的設定。但是要達到預期目標卻必須動一點腦筋，在不被發現的前提下做出限制網路使用的功能。公司的BT大戶自以為很有品的裝了Net Limit這類頻寬控制軟體來控制上傳頻寬，就不會造成他人的困擾。但是下載數量卻給你開好幾個BT執行緒在跑，如此一來所造的連線Session的數量與負擔，同樣會讓網路癱瘓。尤其是其中兩人更是24Hr執行，人放假不在了還是同樣佔住頻寬。以一人開5個torrent子跑，一個torrent連線數為10～20。當三大戶湊在一起，就變成150～300個Session被Hold住。這些人中還有人自以為是的認為自己明白網路運作原理，以為裝個小軟體就天下太平。無知真是可怕。當然比起開Foxy的白目這種人算是明白事理，只是他們囿於自己的成見，無法接受別人的意見。曾經不只一次的暗示連線數也會造成網路的負擔。但是自我感覺良好的人似乎不能接受超出他小腦袋知識範圍外的意見阿！至於開Foxy的小白就沒什麼好說的了。整個就是人渣！
另外根據觀察Log的情況，似乎這些亂開P2P的傢伙已經招來了惡意人士的覬覦。列表中出現了許多被ACL所阻擋的訊息，而且都是來自外部的一些未知IP。之前這些人中就有中毒電腦癱瘓的紀錄，但無知的他們永遠也學不到教訓。依舊無法無天的亂開亂抓。有權力管制的人不想管，只好讓暗影中的獨行者來制裁了。

殘念的終章～完檔沒有盡頭

在讓惡狗們爭食的時候，終究他們還是有機會連線出去。為再進一步讓牠們下載不順，這時候就需要使用到存取控制了(Access rule)。這裡的目標是讓24hr開機抓檔的傢伙無法享受一個晚上過後，早晨收割成果的快樂。所以此時就需要設定使間管理規則。
目前PIX裡面前人預設的規則幾乎是全面開放全時對外存取，毫無限制可言。
Part.1：建立時間區段
step.1：到Configuration-->Building blocks-->設定Time Ranges
step.2：按Add新增一個時間區段。
step.3：Start time 和 End time 是規則的有效期間，這裡就選「Start now」、「Never end」。
step.4：到下面Periodic time ranges按Add新增時間區段。在此我設定上班時間前後彈性一小時給牠們取搶食頻寬。選擇Every day：06:30 ～ 19:30
完成建立放行的時間區段後～
Part.2：讓存取規則只在設定的時間放行
step.1：到Configuration-->Security Policy-->Access Rule
step.2：編輯每一條規則，在裡面的Time rang 選擇剛剛建立的區段。
step.3：全部完成後，按下Apply讓他生效。
此時網路就只有這個時間區段內可以通啦！

捍衛的次章～良民的權益

續前章～當然如此作也會影響我自己跟其他正常使用者上網。所以利用剩下的一沒用的IP再建立一個NAT。善良的好人就從這裡出去吧！把那些笨狗丟到一個圈圈理去搶食為數不多的連線數吧。不過要建立特定IP的人劃分出來得先作前置動作：
Part.1：建立群組。
step.1：configuration-->Building Blocks
step.2：Host/Networks groups 按「Add」
step.3：輸入Group name(隨便啦 ex:"Allow_man")
step.4：到下方選New Host or network，然後輸入你要放行的IP，然後按中間的「Add」把他加入到Members in group
step.5：ok 之後才回到「NAT」裡去建立另一組不被限制連線數的NAT。

Part.2：建立NAT
step.1：回到NAT選單後按Add建立新的NAT。因為是要讓特定全組的人出去所以不能用一般Nat，所以選Use Policy Nat。選擇後會變成左為：Source Host/Network、右邊為：Destination Host/Network。
step.2：Source選Group，Interface選Inside，並在下拉選單選到剛剛建立的"Allow_man"。Destination的Interface選Outside。
step.3：Translate address to 裡選dymanic 並按下旁邊的manage pools來建立另一個出去的IP
step.4：進去後按Add，選第二項PAT。輸入我們要出去的IP。Pool id設一個不要重複的數字。
step.5：回來後可以在Adress pool裡選到我們剛剛建立的IP pool。
按下OK離開吧！
提醒一下，做完任何設定必須按下Apply讓他生效。
好的！善良的人們可以有一條安全的通道出去了，不必與惡狗們爭道啦！

制裁的序章～惡狗爭食～

畢竟我是以地下秩序來執行捍衛上網權，故基本上我不能以封了幾個P2P大戶存取權限來處理。而是要讓他們能上網、能抓東西，但是不順暢。所以預設目標是讓他們可以使用網路但下載速度快不起來、檔案永遠載不完。開始吧！首先進入ASDM管理介面...
Part.:限制TCP/UDP連線數量：
step.1：Configuration-->NAT
step.2：選擇用來負責內部聯外的共用NAT，按下「Edit」。
step.3：進入「Nat Options」，設定Maximum connections。
step.4：設定Maximum TCP connections、Maximum UDP connections 的連線數。就來個32/16吧
這下三個BT大戶和兩個FOXY白目就得搶連線搶破頭了...嘻

契子～無法無天的網路

近來公司的同事越來越不像話了，開BT、開FOXY拼命抓檔。下班後放給它抓也就算了，連上班時間也猛開。還有人放假了電腦就開這繼續開給他抓，24Hr不打烊。完全罔顧其他上班的人，需要用到網路的權益。公司雖然是商業用固接式ADSL。還是經不起這樣折騰。所以想利用防火牆的管制功能，讓這些沒品的傢伙受到管制。放眼公司沒人才，唯一會設定的副理調走了，這只好靠我出來主持正義，就讓那些P2P大戶也一嚐網路LAG、開個網頁開不完、檔案永遠未完成的痛苦吧！
ASDM 是一套圖形介面的防火牆管理軟體，使用JAVA運行。可以用它來設定PIX。。反正我沒需要用到什麼細節的設定，用不到Command Line Interface設細節，用這方便的東西就可以制裁這個無法無天的網路啦。