# Proxy Servers and Network Tunneling **ผู้จัดทำ:** อรรถพล คงหวาน --- # Outline - Proxy Servers - SSH Tunneling - NAT (Network Address Translation) - Lab Exercises - สรุป --- # 1. Proxy Servers and Network Tunneling --- ## บทนำ - **Proxy Server** และ **Network Tunneling** เป็นเทคโนโลยีหลักของ Network Security - ช่วยในการควบคุมการเข้าถึง (Access Control) และปกปิดตัวตน (Anonymization) - **วัตถุประสงค์:** - เข้าใจหลักการทำงานของ Proxy Server ประเภทต่าง ๆ - สามารถสร้างและใช้งาน SSH Tunneling ได้จริง - เข้าใจกลไก NAT และผลกระทบด้านความปลอดภัย - ประยุกต์ใช้เทคโนโลยีเหล่านี้ในสภาพแวดล้อมจริง --- ## ภาพรวมความสัมพันธ์ระหว่างเทคโนโลยี <pre class="mermaid"> %%{init: {'theme': 'base', 'themeVariables': { 'primaryColor': '#282828', 'primaryTextColor': '#ebdbb2', 'primaryBorderColor': '#a89984', 'lineColor': '#d79921', 'secondaryColor': '#3c3836', 'tertiaryColor': '#504945', 'background': '#282828', 'mainBkg': '#3c3836', 'nodeBorder': '#a89984', 'clusterBkg': '#32302f', 'titleColor': '#ebdbb2', 'edgeLabelBackground': '#3c3836' }}}%% graph TD A["🌐 อินเทอร์เน็ต"] B["🔒 Proxy Server"] C["🏠 เครือข่ายภายใน"] D["🔑 SSH Tunnel"] E["🔄 NAT Gateway"] F["💻 Client"] G["🖥️ Server"] F -->|"ส่งคำขอ"| B B -->|"Forward Request"| A A -->|"Response"| B B -->|"ส่งกลับ"| F F -->|"Encrypted"| D D -->|"Tunnel Traffic"| G C -->|"Private IP"| E E -->|"Public IP"| A style A fill:#458588,color:#ebdbb2,stroke:#83a598 style B fill:#d65d0e,color:#ebdbb2,stroke:#fe8019 style C fill:#689d6a,color:#ebdbb2,stroke:#8ec07c style D fill:#b16286,color:#ebdbb2,stroke:#d3869b style E fill:#d79921,color:#282828,stroke:#fabd2f style F fill:#3c3836,color:#ebdbb2,stroke:#a89984 style G fill:#3c3836,color:#ebdbb2,stroke:#a89984 </pre> --- ## ประวัติโดยย่อ (Timeline) <pre class="mermaid"> %%{init: {'theme': 'base', 'themeVariables': { 'primaryColor': '#282828', 'primaryTextColor': '#ebdbb2', 'primaryBorderColor': '#a89984', 'lineColor': '#d79921', 'secondaryColor': '#3c3836', 'tertiaryColor': '#504945', 'background': '#282828', 'mainBkg': '#3c3836', 'nodeBorder': '#a89984', 'clusterBkg': '#32302f', 'titleColor': '#ebdbb2', 'edgeLabelBackground': '#3c3836' }}}%% flowchart TB subgraph ERA1["ยุคที่ 1: 1990s"] A1["1994 - Proxy แรก CERN httpd"] A2["1996 - Squid Proxy"] end subgraph ERA2["ยุคที่ 2: 2000s"] B1["2002 - SSH Tunneling แพร่หลาย"] B2["2004 - SOCKS5 RFC 1928"] end subgraph ERA3["ยุคที่ 3: 2010s"] C1["2012 - Reverse Proxy Nginx/HAProxy"] C2["2015 - Docker NAT"] end subgraph ERA4["ยุคที่ 4: 2020s"] D1["2020 - WireGuard"] D2["2024 - Zero Trust Proxy"] end A1 --> A2 --> B1 --> B2 --> C1 --> C2 --> D1 --> D2 style ERA1 fill:#32302f,stroke:#d79921,color:#ebdbb2 style ERA2 fill:#32302f,stroke:#458588,color:#ebdbb2 style ERA3 fill:#32302f,stroke:#689d6a,color:#ebdbb2 style ERA4 fill:#32302f,stroke:#b16286,color:#ebdbb2 </pre> --- # 2. Proxy Servers --- ## Outline — Proxy Servers - Forward Proxy - Reverse Proxy - SOCKS Proxy - การเปรียบเทียบ Proxy ประเภทต่าง ๆ --- ## ความหมายและหลักการทำงาน **Proxy Server** คือระบบที่ทำหน้าที่เป็น **ตัวกลาง (Intermediary)** ระหว่าง Client และ Server **คุณสมบัติหลัก:** - **Anonymization** — ซ่อน IP Address ของ Client - **Caching** — เก็บสำเนาข้อมูลที่ใช้บ่อย - **Access Control** — กรองการเข้าถึงเว็บไซต์ - **Content Filtering** — ตรวจสอบและกรองเนื้อหา - **Load Balancing** — กระจายโหลดไปยังเซิร์ฟเวอร์หลายตัว - **SSL Termination** — จัดการการเชื่อมต่อ HTTPS --- ## 2.2 Forward Proxy **Forward Proxy** ทำงานฝั่ง Client รับคำขอแล้วส่งต่อไปยังอินเทอร์เน็ต <pre class="mermaid"> %%{init: {'theme': 'base', 'themeVariables': { 'primaryColor': '#282828', 'primaryTextColor': '#ebdbb2', 'primaryBorderColor': '#a89984', 'lineColor': '#d79921', 'secondaryColor': '#3c3836', 'tertiaryColor': '#504945', 'background': '#282828', 'mainBkg': '#3c3836', 'nodeBorder': '#a89984', 'clusterBkg': '#32302f', 'titleColor': '#ebdbb2', 'edgeLabelBackground': '#3c3836' }}}%% sequenceDiagram participant C as 💻 Client (192.168.1.100) participant P as 🔄 Forward Proxy (192.168.1.1:3128) participant S as 🌐 Web Server (93.184.216.34) Note over C,S: Forward Proxy Flow C->>P: GET http://example.com HTTP/1.1 Note over P: ตรวจสอบ ACL / บันทึก Log P->>S: GET http://example.com (Via: proxy) S-->>P: HTTP/1.1 200 OK Note over P: Cache Response P-->>C: HTTP/1.1 200 OK (X-Cache: MISS) </pre> --- ## กรณีการใช้งาน Forward Proxy - **องค์กร/โรงเรียน** — บังคับ Traffic ทั้งหมดผ่าน Proxy เพื่อตรวจสอบและบันทึก - **การหลีกเลี่ยงการบล็อก** — เข้าถึงเว็บไซต์ที่ถูกบล็อกในบางประเทศ - **Bandwidth Optimization** — Cache เนื้อหาที่ใช้บ่อยลดการดาวน์โหลดซ้ำ **ตัวอย่างการตั้งค่า Squid (squid.conf):** ``` acl localnet src 192.168.1.0/24 acl blocked_sites dstdomain "/etc/squid/blocked_sites.txt" http_access deny blocked_sites http_access allow localnet Safe_ports http_access deny all http_port 3128 cache_mem 256 MB ``` --- ## 2.3 Reverse Proxy **Reverse Proxy** ทำงานฝั่ง Server รับคำขอจากอินเทอร์เน็ตแล้วส่งต่อไปยัง Backend Server <pre class="mermaid"> %%{init: {'theme': 'base', 'themeVariables': { 'primaryColor': '#282828', 'primaryTextColor': '#ebdbb2', 'primaryBorderColor': '#a89984', 'lineColor': '#d79921', 'secondaryColor': '#3c3836', 'tertiaryColor': '#504945', 'background': '#282828', 'mainBkg': '#3c3836', 'nodeBorder': '#a89984', 'clusterBkg': '#32302f', 'titleColor': '#ebdbb2', 'edgeLabelBackground': '#3c3836' }}}%% graph LR subgraph INTERNET["🌐 อินเทอร์เน็ต"] C1["👤 User A"] C2["👤 User B"] C3["👤 User C"] end subgraph DMZ["🔒 DMZ Zone"] RP["🔄 Reverse Proxy - Nginx/HAProxy - 203.0.113.1:443"] end subgraph INTERNAL["🏠 Internal Network"] S1["🖥️ App Server 1 - 10.0.0.1:8001"] S2["🖥️ App Server 2 - 10.0.0.2:8002"] S3["🖥️ DB Server - 10.0.0.3:5432"] end C1 -->|"HTTPS :443"| RP C2 -->|"HTTPS :443"| RP C3 -->|"HTTPS :443"| RP RP -->|"/api/*"| S1 RP -->|"/web/*"| S2 S1 --> S3 S2 --> S3 style DMZ fill:#32302f,stroke:#d65d0e,color:#ebdbb2 style INTERNAL fill:#32302f,stroke:#689d6a,color:#ebdbb2 style RP fill:#d65d0e,color:#ebdbb2,stroke:#fe8019 style S1 fill:#458588,color:#ebdbb2,stroke:#83a598 style S2 fill:#458588,color:#ebdbb2,stroke:#83a598 style S3 fill:#689d6a,color:#ebdbb2,stroke:#8ec07c </pre> --- ## ประโยชน์ของ Reverse Proxy - **ความปลอดภัย** — ซ่อน IP และ Port จริงของ Backend Server - **SSL Termination** — จัดการ TLS/SSL ที่ Proxy แทน Backend - **Load Balancing** — กระจาย Request ไปหลาย Backend - **WAF** — ป้องกัน SQL Injection, XSS - **Caching** — เก็บ Static Content ลด Load ของ Backend **ตัวอย่าง Nginx Upstream:** ```nginx upstream app_backend { server 10.0.0.1:8001 weight=3; server 10.0.0.2:8002 weight=2; server 10.0.0.3:8003 backup; keepalive 32; } ``` --- ## 2.4 SOCKS Proxy **SOCKS Proxy** ทำงานที่ **Layer 5 (Session Layer)** รองรับ Traffic ได้ทุกประเภท | เวอร์ชัน | RFC | ความสามารถ | การยืนยันตัวตน | |---------|-----|-----------|--------------| | SOCKS4 | — | TCP เท่านั้น | ไม่รองรับ | | SOCKS4a | — | TCP + DNS | ไม่รองรับ | | SOCKS5 | RFC 1928 | TCP + UDP + DNS | Username/Password | --- ## SOCKS5 Handshake Protocol <pre class="mermaid"> %%{init: {'theme': 'base', 'themeVariables': { 'primaryColor': '#282828', 'primaryTextColor': '#ebdbb2', 'primaryBorderColor': '#a89984', 'lineColor': '#d79921', 'secondaryColor': '#3c3836', 'tertiaryColor': '#504945', 'background': '#282828', 'mainBkg': '#3c3836', 'nodeBorder': '#a89984', 'clusterBkg': '#32302f', 'titleColor': '#ebdbb2', 'edgeLabelBackground': '#3c3836' }}}%% sequenceDiagram participant C as 💻 Client participant S5 as 🔒 SOCKS5 Proxy participant D as 🌐 Destination Note over C,D: SOCKS5 Handshake Protocol C->>S5: [1] Greeting VER=5, METHODS=[0x00] S5-->>C: [2] Method Selection METHOD=0x00 C->>S5: [3] CONNECT example.com:80 Note over S5: Resolve DNS / Connect S5-->>C: [4] Reply REP=0x00 (Success) Note over C,D: Data Transfer Phase C->>S5: [5] HTTP GET / S5->>D: HTTP GET / D-->>S5: HTTP 200 OK S5-->>C: HTTP 200 OK </pre> --- ## SOCKS5 Packet — การคำนวณขนาด **Connection Request สำหรับ `example.com:80`:** ``` Byte[0]=0x05 VER=5 | Byte[1]=0x01 CMD=CONNECT Byte[2]=0x00 RSV | Byte[3]=0x03 ATYP=Domain Byte[4]=0x0B len=11 | Byte[5-15]="example.com" Byte[16-17]=0x00 0x50 Port=80 ``` **สูตรคำนวณขนาด Packet:** <math xmlns="http://www.w3.org/1998/Math/MathML" display="block"> <mrow> <msub><mi>Size</mi><mi>request</mi></msub> <mo>=</mo> <mn>4</mn><mo>+</mo><mn>1</mn><mo>+</mo> <msub><mi>len</mi><mi>domain</mi></msub> <mo>+</mo><mn>2</mn> </mrow> </math> <math xmlns="http://www.w3.org/1998/Math/MathML" display="block"> <mrow> <msub><mi>Size</mi><mi>request</mi></msub> <mo>=</mo> <mn>4</mn><mo>+</mo><mn>1</mn><mo>+</mo><mn>11</mn><mo>+</mo><mn>2</mn> <mo>=</mo><mn>18</mn><mtext> Bytes</mtext> </mrow> </math> --- ## 2.5 การเปรียบเทียบ Proxy ประเภทต่าง ๆ | คุณสมบัติ | Forward | Reverse | SOCKS5 | |----------|---------|---------|--------| | **Layer** | 7 | 7 | 5 | | **Protocol** | HTTP/HTTPS | HTTP/HTTPS | ทุกประเภท | | **ซ่อน IP** | Client | Server | Client | | **UDP** | ❌ | ❌ | ✅ | | **Load Balancing** | ❌ | ✅ | ❌ | | **SSL Termination** | ❌ | ✅ | ❌ | | **ซอฟต์แวร์** | Squid | Nginx/HAProxy | Dante | --- # 3. SSH Tunneling --- ## Outline — SSH Tunneling - หลักการของ SSH Tunneling - Local Port Forwarding (`-L`) - Remote Port Forwarding (`-R`) - Dynamic Port Forwarding (`-D`) --- ## หลักการของ SSH Tunneling **SSH Tunneling** คือเทคนิคการส่งผ่าน Traffic ของ Protocol อื่น ๆ ภายใน SSH Connection ที่เข้ารหัสแล้ว | ประเภท | คำสั่ง | ทิศทาง | กรณีใช้งาน | |--------|--------|--------|-----------| | Local Port Forwarding | `ssh -L` | Local → Remote | เข้าถึง DB ภายในจากภายนอก | | Remote Port Forwarding | `ssh -R` | Remote → Local | เปิด Service ให้เข้าถึงจาก Internet | | Dynamic Port Forwarding | `ssh -D` | All Directions | สร้าง SOCKS Proxy | --- ## SSH Tunnel — กลไกการทำงาน <pre class="mermaid"> %%{init: {'theme': 'base', 'themeVariables': { 'primaryColor': '#282828', 'primaryTextColor': '#ebdbb2', 'primaryBorderColor': '#a89984', 'lineColor': '#d79921', 'secondaryColor': '#3c3836', 'tertiaryColor': '#504945', 'background': '#282828', 'mainBkg': '#3c3836', 'nodeBorder': '#a89984', 'clusterBkg': '#32302f', 'titleColor': '#ebdbb2', 'edgeLabelBackground': '#3c3836' }}}%% graph TD subgraph CLIENT["💻 Client Machine"] A["Application (HTTP, DB)"] LP["Local Port (localhost:XXXX)"] end subgraph TUNNEL["🔐 SSH Encrypted Tunnel"] T["SSH Channel — AES-256-CTR"] end subgraph SSH_SERVER["🖥️ SSH Server"] SP["SSH Daemon (Port 22)"] FP["Port Forwarder"] end subgraph DESTINATION["🎯 Destination"] DS["Service (DB:5432, HTTP:80)"] end A -->|"Plain Traffic"| LP LP -->|"Encrypted"| T T -->|"Decrypted"| SP SP --> FP FP -->|"Plain Traffic"| DS style CLIENT fill:#32302f,stroke:#458588,color:#ebdbb2 style TUNNEL fill:#32302f,stroke:#b16286,color:#ebdbb2 style SSH_SERVER fill:#32302f,stroke:#d65d0e,color:#ebdbb2 style DESTINATION fill:#32302f,stroke:#689d6a,color:#ebdbb2 style T fill:#b16286,color:#ebdbb2,stroke:#d3869b </pre> --- ## 3.2 Local Port Forwarding **สถานการณ์:** Developer ต้องการเข้าถึง PostgreSQL (Port 5432) ที่อยู่บน Internal Server <pre class="mermaid"> %%{init: {'theme': 'base', 'themeVariables': { 'primaryColor': '#282828', 'primaryTextColor': '#ebdbb2', 'primaryBorderColor': '#a89984', 'lineColor': '#d79921', 'secondaryColor': '#3c3836', 'tertiaryColor': '#504945', 'background': '#282828', 'mainBkg': '#3c3836', 'nodeBorder': '#a89984', 'clusterBkg': '#32302f', 'titleColor': '#ebdbb2', 'edgeLabelBackground': '#3c3836' }}}%% graph LR subgraph HOME["🏠 Developer"] DEV["psql client - localhost:5433"] end subgraph CLOUD["☁️ Cloud Network"] SSH["SSH Server - 203.0.113.10:22"] DB["PostgreSQL - 10.0.0.5:5432 - (Internal Only)"] end DEV -->|"ssh -L 5433:10.0.0.5:5432"| SSH SSH -->|"Forward"| DB style HOME fill:#32302f,stroke:#689d6a,color:#ebdbb2 style CLOUD fill:#32302f,stroke:#458588,color:#ebdbb2 style SSH fill:#d65d0e,color:#ebdbb2,stroke:#fe8019 style DB fill:#689d6a,color:#ebdbb2,stroke:#8ec07c </pre> --- ## Local Port Forwarding — การใช้งาน **คำสั่ง:** ```bash ssh -L 5433:10.0.0.5:5432 developer@203.0.113.10 # Background mode ssh -N -f -L 5433:10.0.0.5:5432 developer@203.0.113.10 # เชื่อมต่อ PostgreSQL psql -h localhost -p 5433 -U dbadmin -d mydb ``` **การคำนวณ Latency:** <math xmlns="http://www.w3.org/1998/Math/MathML" display="block"> <mrow> <msub><mi>RTT</mi><mi>tunnel</mi></msub> <mo>=</mo> <msub><mi>RTT</mi><mrow><mi>client</mi><mo>→</mo><mi>SSH</mi></mrow></msub> <mo>+</mo> <msub><mi>RTT</mi><mrow><mi>SSH</mi><mo>→</mo><mi>dest</mi></mrow></msub> <mo>+</mo> <msub><mi>T</mi><mi>encrypt</mi></msub> <mo>=</mo><mn>20</mn><mo>+</mo><mn>1</mn><mo>+</mo><mn>2</mn> <mo>=</mo><mn>23</mn><mtext> ms</mtext> </mrow> </math> Overhead เทียบกับ Direct Connection (21 ms) ≈ **9.5%** --- ## 3.3 Remote Port Forwarding **สถานการณ์:** Developer ต้องการให้ Client ทดสอบ Web App บน Local Machine <pre class="mermaid"> %%{init: {'theme': 'base', 'themeVariables': { 'primaryColor': '#282828', 'primaryTextColor': '#ebdbb2', 'primaryBorderColor': '#a89984', 'lineColor': '#d79921', 'secondaryColor': '#3c3836', 'tertiaryColor': '#504945', 'background': '#282828', 'mainBkg': '#3c3836', 'nodeBorder': '#a89984', 'clusterBkg': '#32302f', 'titleColor': '#ebdbb2', 'edgeLabelBackground': '#3c3836' }}}%% graph RL subgraph CLIENT_SIDE["🌐 Internet Client"] C["Client Browser - → 203.0.113.10:8080"] end subgraph SERVER_SIDE["☁️ Public SSH Server"] S["SSH Server - 203.0.113.10 - Listening :8080"] end subgraph DEV_MACHINE["🏠 Developer (NAT/Firewall)"] APP["Web App - localhost:3000"] end C -->|"HTTP :8080"| S S <-->|"SSH Tunnel :22 (Reverse)"| APP style CLIENT_SIDE fill:#32302f,stroke:#458588,color:#ebdbb2 style SERVER_SIDE fill:#32302f,stroke:#d65d0e,color:#ebdbb2 style DEV_MACHINE fill:#32302f,stroke:#689d6a,color:#ebdbb2 </pre> --- ## Remote Port Forwarding — การใช้งาน **คำสั่ง:** ```bash # เปิด Port 8080 บน SSH Server → localhost:3000 ssh -R 8080:localhost:3000 developer@203.0.113.10 # ให้ Listen บน All Interface ssh -R 0.0.0.0:8080:localhost:3000 developer@203.0.113.10 ``` **แก้ไข `/etc/ssh/sshd_config` บน SSH Server:** ```bash GatewayPorts yes AllowTcpForwarding yes ``` **Client เข้าถึง Web App:** ```bash curl http://203.0.113.10:8080 ``` --- ## 3.4 Dynamic Port Forwarding **สถานการณ์:** พนักงานอยู่ต่างประเทศต้องการเข้าถึง Internal Resources ขององค์กร <pre class="mermaid"> %%{init: {'theme': 'base', 'themeVariables': { 'primaryColor': '#282828', 'primaryTextColor': '#ebdbb2', 'primaryBorderColor': '#a89984', 'lineColor': '#d79921', 'secondaryColor': '#3c3836', 'tertiaryColor': '#504945', 'background': '#282828', 'mainBkg': '#3c3836', 'nodeBorder': '#a89984', 'clusterBkg': '#32302f', 'titleColor': '#ebdbb2', 'edgeLabelBackground': '#3c3836' }}}%% graph TD subgraph ABROAD["🌏 ต่างประเทศ"] EMP["👤 Employee - Browser + SOCKS5 - localhost:1080"] end subgraph TUNNEL["🔐 SSH Encrypted"] T["Port 22 / AES-256"] end subgraph OFFICE["🏢 Office Network (Thailand)"] SSH_SRV["SSH Jump Server - 10.10.0.1:22"] HR_SYS["HR System - 10.10.0.10:80"] FILE_SRV["File Server - 10.10.0.20:445"] end EMP -->|"ssh -D 1080"| T T --> SSH_SRV SSH_SRV --> HR_SYS SSH_SRV --> FILE_SRV style ABROAD fill:#32302f,stroke:#cc241d,color:#ebdbb2 style TUNNEL fill:#32302f,stroke:#b16286,color:#ebdbb2 style OFFICE fill:#32302f,stroke:#689d6a,color:#ebdbb2 style SSH_SRV fill:#d65d0e,color:#ebdbb2,stroke:#fe8019 </pre> --- ## Dynamic Port Forwarding — การใช้งานและ Bandwidth **คำสั่ง:** ```bash ssh -N -f -D 1080 employee@office-ssh.example.com # ทดสอบด้วย curl curl --socks5 127.0.0.1:1080 http://10.10.0.10/ # ทดสอบด้วย chromium chromium --proxy-server="socks5://127.0.0.1:1080" ``` **การคำนวณ Effective Bandwidth:** <math xmlns="http://www.w3.org/1998/Math/MathML" display="block"> <mrow> <msub><mi>BW</mi><mi>effective</mi></msub> <mo>=</mo> <msub><mi>BW</mi><mi>SSH</mi></msub> <mo>×</mo> <mfrac><mn>1</mn><mrow><mn>1</mn><mo>+</mo><msub><mi>OH</mi><mi>crypto</mi></msub></mrow></mfrac> <mo>=</mo><mn>100</mn><mo>×</mo> <mfrac><mn>1</mn><mrow><mn>1</mn><mo>+</mo><mn>0.07</mn></mrow></mfrac> <mo>≈</mo><mn>93.5</mn><mtext> Mbps</mtext> </mrow> </math> สูญเสีย ~6.5 Mbps จาก Encryption Overhead (7%) --- # 4. NAT (Network Address Translation) --- ## Outline — NAT - หลักการของ NAT - Static NAT / Dynamic NAT / PAT - NAT Traversal --- ## หลักการของ NAT **NAT** คือกระบวนการแปลง IP Address (และ Port) ใน IP Packet เพื่อให้ Device หลายเครื่องใช้ Public IP เพียงหนึ่งเดียว **แรงผลักดัน — ความขาดแคลน IPv4:** <math xmlns="http://www.w3.org/1998/Math/MathML" display="block"> <mrow> <msub><mi>N</mi><mi>IPv4</mi></msub> <mo>=</mo> <msup><mn>2</mn><mn>32</mn></msup> <mo>=</mo> <mn>4,294,967,296</mn> <mtext> addresses</mtext> </mrow> </math> ปัจจุบันมีอุปกรณ์เชื่อมต่อมากกว่า **15,000 ล้านเครื่อง** แต่ IPv4 มีได้เพียง ~4.3 พันล้าน --- ## NAT — กลไกพื้นฐาน <pre class="mermaid"> %%{init: {'theme': 'base', 'themeVariables': { 'primaryColor': '#282828', 'primaryTextColor': '#ebdbb2', 'primaryBorderColor': '#a89984', 'lineColor': '#d79921', 'secondaryColor': '#3c3836', 'tertiaryColor': '#504945', 'background': '#282828', 'mainBkg': '#3c3836', 'nodeBorder': '#a89984', 'clusterBkg': '#32302f', 'titleColor': '#ebdbb2', 'edgeLabelBackground': '#3c3836' }}}%% sequenceDiagram participant PC as 💻 PC 192.168.1.100:55000 participant GW as 🔄 NAT Gateway - 192.168.1.1 / 203.0.113.1 participant WEB as 🌐 Web 93.184.216.34:80 Note over PC,WEB: NAT Translation Process PC->>GW: SRC:192.168.1.100:55000 DST:93.184.216.34:80 Note over GW: NAT Table: - 192.168.1.100:55000 ↔ 203.0.113.1:40001 GW->>WEB: SRC:203.0.113.1:40001 DST:93.184.216.34:80 WEB-->>GW: SRC:93.184.216.34:80 DST:203.0.113.1:40001 Note over GW: Lookup: 40001 → 192.168.1.100:55000 GW-->>PC: SRC:93.184.216.34:80 DST:192.168.1.100:55000 </pre> --- ## 4.2 ประเภทของ NAT — Static NAT **Static NAT** แมป Private IP หนึ่งหมายเลขกับ Public IP หนึ่งหมายเลขแบบถาวร | Private IP | Public IP | ใช้สำหรับ | |-----------|----------|---------| | 10.0.0.10 | 203.0.113.10 | Web Server | | 10.0.0.11 | 203.0.113.11 | Mail Server | | 10.0.0.12 | 203.0.113.12 | FTP Server | ```bash # Inbound iptables -t nat -A PREROUTING -d 203.0.113.10 \ -j DNAT --to-destination 10.0.0.10 # Outbound iptables -t nat -A POSTROUTING -s 10.0.0.10 \ -j SNAT --to-source 203.0.113.10 ``` --- ## Dynamic NAT — การคำนวณ Pool Size **Dynamic NAT** แมป Private IP กับ Public IP จาก Pool แบบ Dynamic **โจทย์:** มี 500 เครื่อง ใช้อินเทอร์เน็ตพร้อมกันสูงสุด 20% → ต้องการ Public IP กี่หมายเลข? <math xmlns="http://www.w3.org/1998/Math/MathML" display="block"> <mrow> <msub><mi>N</mi><mi>publicIP</mi></msub> <mo>=</mo> <msub><mi>N</mi><mi>devices</mi></msub> <mo>×</mo> <msub><mi>R</mi><mi>concurrent</mi></msub> </mrow> </math> <math xmlns="http://www.w3.org/1998/Math/MathML" display="block"> <mrow> <msub><mi>N</mi><mi>publicIP</mi></msub> <mo>=</mo> <mn>500</mn><mo>×</mo><mn>0.20</mn> <mo>=</mo><mn>100</mn><mtext> IP addresses</mtext> </mrow> </math> ต้องใช้ Public IP อย่างน้อย **100 หมายเลข** --- ## PAT / NAPT — Port Address Translation **PAT** แมป Private IP หลายหมายเลขกับ Public IP เพียง **หนึ่งหมายเลข** โดยใช้ Port ต่างกัน | Private IP | Priv Port | Public IP | Pub Port | Protocol | |-----------|----------|----------|---------|---------| | 192.168.1.100 | 55000 | 203.0.113.1 | 40001 | TCP | | 192.168.1.101 | 55001 | 203.0.113.1 | 40002 | TCP | | 192.168.1.102 | 55002 | 203.0.113.1 | 40003 | UDP | **การคำนวณ Session สูงสุด:** <math xmlns="http://www.w3.org/1998/Math/MathML" display="block"> <mrow> <msub><mi>N</mi><mi>maxSessions</mi></msub> <mo>=</mo> <mn>65535</mn><mo>-</mo><mn>1024</mn><mo>+</mo><mn>1</mn> <mo>=</mo><mn>64,512</mn><mtext> sessions/IP</mtext> </mrow> </math> --- ## 4.3 NAT Traversal **NAT Traversal** ให้ Device สองตัวหลัง NAT ต่างกันสื่อสารกันได้โดยตรง <pre class="mermaid"> %%{init: {'theme': 'base', 'themeVariables': { 'primaryColor': '#282828', 'primaryTextColor': '#ebdbb2', 'primaryBorderColor': '#a89984', 'lineColor': '#d79921', 'secondaryColor': '#3c3836', 'tertiaryColor': '#504945', 'background': '#282828', 'mainBkg': '#3c3836', 'nodeBorder': '#a89984', 'clusterBkg': '#32302f', 'titleColor': '#ebdbb2', 'edgeLabelBackground': '#3c3836' }}}%% graph TD subgraph NAT_A["🏠 NAT A"] PA["Peer A - 192.168.1.100"] GWA["Gateway A - 1.2.3.4"] end subgraph STUN_SERVER["☁️ STUN Server"] SS["stun.example.com - 5.6.7.8:3478"] end subgraph NAT_B["🏠 NAT B"] PB["Peer B - 10.0.0.200"] GWB["Gateway B - 9.10.11.12"] end PA -->|"STUN Request"| SS SS -->|"Your IP: 1.2.3.4:XXXXX"| PA PB -->|"STUN Request"| SS SS -->|"Your IP: 9.10.11.12:YYYYY"| PB PA <-->|"Direct P2P (UDP Hole Punching)"| PB style NAT_A fill:#32302f,stroke:#689d6a,color:#ebdbb2 style NAT_B fill:#32302f,stroke:#458588,color:#ebdbb2 style STUN_SERVER fill:#32302f,stroke:#d79921,color:#ebdbb2 style SS fill:#d79921,color:#282828,stroke:#fabd2f </pre> --- ## เทคนิค NAT Traversal | เทคนิค | ย่อมาจาก | หลักการ | ใช้ใน | |--------|---------|--------|------| | **STUN** | Session Traversal Utilities for NAT | ค้นหา Public IP/Port | WebRTC, VoIP | | **TURN** | Traversal Using Relays around NAT | ใช้ Relay Server | WebRTC Fallback | | **ICE** | Interactive Connectivity Establishment | รวม STUN+TURN | WebRTC | | **UDP Hole Punching** | — | เปิด Hole ใน NAT พร้อมกัน | P2P Apps | | **UPnP** | Universal Plug and Play | ขอให้ Router เปิด Port | BitTorrent, Gaming | **T_discovery = RTT(client→STUN) + T_process = 30 + 1 = 31 ms** --- # 5. Lab Exercises --- ## Outline — Lab Exercises - Lab 1: SSH Local Port Forwarding - Lab 2: SOCKS Proxy ด้วย SSH Dynamic Forwarding - Lab 3: ตั้งค่า Squid Forward Proxy - Lab 4: ตรวจสอบ NAT ด้วย iptables --- ## Lab 1: SSH Local Port Forwarding **วัตถุประสงค์:** เข้าถึง Web Server ภายในผ่าน SSH Tunnel **สภาพแวดล้อม:** - Client: Ubuntu 22.04 (192.168.1.50) - SSH Server: Ubuntu 22.04 (192.168.1.10:22) - Internal Web Server: Apache (192.168.1.20:80) ```bash # 1. ทดสอบ Direct Connection (ควร Fail) curl http://192.168.1.20 # 2. สร้าง SSH Tunnel ssh -N -f -L 8080:192.168.1.20:80 student@192.168.1.10 # 3. ตรวจสอบ Tunnel ss -tlnp | grep 8080 # 4. ทดสอบผ่าน Tunnel curl http://localhost:8080 ``` --- ## Lab 2: SOCKS Proxy ด้วย SSH Dynamic Forwarding **วัตถุประสงค์:** ใช้ SSH Server เป็น Proxy สำหรับ Traffic ทั้งหมด ```bash # 1. สร้าง SOCKS5 Proxy ssh -N -f -D 1080 student@192.168.1.10 ss -tlnp | grep 1080 # 2. ทดสอบผ่าน curl curl --socks5-hostname localhost:1080 https://ifconfig.me # Expected: IP ของ SSH Server # 3. เปรียบเทียบ IP (ไม่ผ่าน Proxy) curl https://ifconfig.me # 4. เปิด chromium ผ่าน SOCKS Proxy chromium --proxy-server="socks5://localhost:1080" & ``` --- ## Lab 3: ตั้งค่า Squid Forward Proxy **วัตถุประสงค์:** ตั้งค่า Squid Proxy พร้อม Access Control ```bash # ติดตั้งและ Backup sudo apt install -y squid sudo cp /etc/squid/squid.conf /etc/squid/squid.conf.bak # กำหนด Config (บล็อก Social Media) acl blocked_social dstdomain .facebook.com .twitter.com .tiktok.com http_access deny blocked_social http_access allow localnet Safe_ports # ทดสอบ curl -x http://192.168.1.10:3128 http://example.com curl -x http://192.168.1.10:3128 http://www.facebook.com # Expected: Access denied ``` --- ## Lab 4: ตรวจสอบ NAT ด้วย iptables **วัตถุประสงค์:** ทำความเข้าใจ NAT Rules และ Connection Tracking ```bash # 1. ดู NAT Rules sudo iptables -t nat -L -n -v sudo conntrack -L 2>/dev/null | head -20 # 2. เปิด IP Forwarding + Masquerade echo 1 | sudo tee /proc/sys/net/ipv4/ip_forward sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE # 3. Port Forwarding (DNAT) sudo iptables -t nat -A PREROUTING \ -i eth0 -p tcp --dport 80 \ -j DNAT --to-destination 192.168.1.20:80 # 4. ตรวจสอบ Connection Stats sudo conntrack -L -p tcp 2>/dev/null | grep "dport=80" ``` --- # 6. สรุป --- ## สรุป — Proxy Servers **Forward Proxy** - ทำหน้าที่ตัวกลางฝั่ง Client - ควบคุมการเข้าถึงอินเทอร์เน็ต ซ่อน IP ของ Client **Reverse Proxy** - ทำงานฝั่ง Server ปกป้อง Backend - รองรับ Load Balancing และ SSL Termination **SOCKS5 Proxy** - ทำงานที่ Layer 5 รองรับทุก Protocol รวมถึง UDP - ยืนยันตัวตนด้วย Username/Password ตาม RFC 1928 --- ## สรุป — SSH Tunneling และ NAT **SSH Tunneling (3 รูปแบบ):** - **Local (-L)** → เข้าถึง Remote Service จาก Local - **Remote (-R)** → เปิด Local Service ให้เข้าถึงจากภายนอก - **Dynamic (-D)** → สร้าง SOCKS Proxy เสมือน VPN **NAT:** - PAT/NAPT รองรับสูงสุด **64,512 Sessions** ต่อ Public IP 1 หมายเลข - STUN/TURN/ICE ช่วยให้ P2P ทำงานได้แม้อยู่หลัง NAT --- ## ตารางสรุปเปรียบเทียบ | เทคโนโลยี | Layer | Traffic | ความปลอดภัย | |-----------|-------|---------|------------| | Forward Proxy | 7 | HTTP/HTTPS | ปานกลาง | | Reverse Proxy | 7 | HTTP/HTTPS | สูง | | SOCKS5 Proxy | 5 | ทุกประเภท | ปานกลาง | | SSH Local Tunnel | 4–7 | ทุกประเภท | สูงมาก | | SSH Dynamic | 4–7 | ทุกประเภท | สูงมาก | | Static NAT | 3 | ทุกประเภท | ต่ำ | | PAT/NAPT | 3–4 | ทุกประเภท | ต่ำ | --- ## เอกสารอ้างอิง 1. **RFC 1928** — SOCKS Protocol Version 5. IETF, 1996. 2. **RFC 3022** — Traditional IP Network Address Translator. IETF, 2001. 3. **RFC 5389** — Session Traversal Utilities for NAT (STUN). IETF, 2008. 4. Barrett, D.J. & Silverman, R.E. — *SSH, The Secure Shell: The Definitive Guide*. O'Reilly, 2005. 5. Chomać, O. — *Squid Proxy Server 3.1: Beginner's Guide*. Packt, 2011. 6. Sarkar, S. — *Nginx: A Practical Guide*. Apress, 2017. 7. Stallings, W. — *Network Security Essentials*, 6th Ed. Pearson, 2017. 8. OWASP — Proxy Configuration Guide. https://owasp.org 9. Squid Documentation — http://www.squid-cache.org/Doc/ 10. OpenSSH Manual Pages — https://www.openssh.com/manual.html --- # คำถาม - ข้อสงสัย <img src="/revealjs/pics/Designer2.png" width="55%" />