MONOWALL簡明配置手冊

MONOWALL簡明配置手冊MONOWALL簡明配置手冊MONOWALL簡明配置手冊MONOWALL簡明配置手冊編制僅供參考審核批準生效日期地址：電話：傳真:郵編:MONOWALL配置手冊撰寫人：蕭烺MONOWALL簡介m0n0wall是一項針對建立一個完整的、嵌入式的防火墻軟件包的計劃，該軟件包可以安裝于嵌入式PC里，提供所有商業(yè)防火墻的重要特性（包括易用性），而且價格只有商業(yè)防火墻幾分之一（自由軟件）。m0n0wall是基于bare-bonesversionofFreeBSD，包括一個WEB服務器，PHP和其它一些工具軟件。整個系統(tǒng)的配置保存在一個XML文件當中，條理清晰。m0n0wall可能是第一個啟動時通過PHP配置的UNIX系統(tǒng)，這種結(jié)構(gòu)勝于使用shell腳本。并且整個系統(tǒng)的配置用XML格式保存。m0n0是一個防火墻，而防火墻的目的是提供安全。增加越多的功能，新增功能的弱點給防火墻帶來安全隱患的機會就越大。m0n0wall創(chuàng)建者及主要貢獻者的觀點是防火墻第3和4層基本服務之外的任何東西都不屬于m0n0wall。一些可能合適的服務占用CPU和內(nèi)存饑渴，而m0n0wall著眼于嵌入式設(shè)備，CPU和內(nèi)存資源都有限。非連續(xù)（保存）的文件系統(tǒng)是由于著眼于CF(CompactFlash)安裝,這又是一個限制因素。最后，(內(nèi)核)映象的大小限制，消除了其它可能性。我們覺得以下服務應該運行在其它服務器，并特意不作為m0n0wall的一部分：入侵檢測/保護系統(tǒng)(IDS)代理服務器第三、第四層外的任何數(shù)據(jù)包檢查通用的WEB服務器FTP服務器網(wǎng)絡時間服務器日志文件分析器基于同樣的原因，m0n0不允許登錄(login):控制臺沒有登錄提示符（以顯示一個菜單代替），沒有telnet和ssh服務進程(deamon)歷史ManuelKasper,m0n0wall的作者，說：從我開始在嵌入式PC上擺弄包過濾器，我就想有一個漂亮的基于web圖形界面的控制器來控制所有的防火墻功能，而不是通過鍵入單個的命令。在互聯(lián)網(wǎng)上有很多漂亮的帶有WEB接口的防火墻包（大部分是基于Linux的），但是沒有一個符合我要求的（自由，快速，簡單，干凈以及我需要的所有特性）。所以，我終于開始寫屬于自己的WEB圖形界面。但是，我決不是想建立一個webmin的翻版----我想建立一個完整的、新的嵌入式防火墻軟件包。它的所有將被發(fā)展為一個接上電源的盒子，可以通過串口設(shè)置LANIP地址，登錄進WEB界面設(shè)置它。然后我決定我不能像平常的啟動系統(tǒng)那樣通過SHELL腳本配置系統(tǒng)（由于它幾乎不可能用SHELL腳本完成，所以我已經(jīng)寫了一個C程序產(chǎn)生過濾器規(guī)則），并且自從我使用了基于PHP的WEB接口，不長時間我就發(fā)現(xiàn)還是使用PHP來配置系統(tǒng)的好。這種方法，配置數(shù)據(jù)將不再必須被存儲在那些被SHELL腳本解析的文本文件里面----它現(xiàn)在被存儲在一個XML文件里。所以我又完全重寫了整個系統(tǒng)，除了相當多的“引擎罩底下的東西“外，看上去感覺沒有什么改變。m0n0wall的第一個公共beta版于2003年2月15日，版本正好在一年后的2004年2月15日功能monowall提供了很多昂貴商用防火墻中的功能，其中一些功能還是商用防火墻中沒有的。包括：WEB界面（支持SSL）用于恢復系統(tǒng)的串口界面設(shè)置LANIP地址重置密碼恢復初始默認設(shè)置重啟系統(tǒng)無線支持（accesspointwithPRISM-II/3cards,BSS/IBSSwithothercardsincludingCisco）上網(wǎng)認證（captiveportal）支持VLAN基于狀態(tài)的包過濾block/pass規(guī)則日志NAT/PAT(包括1:1)在WAN口上支持DHCP客戶、PPPoE、PPTP和TelstraBigPondCableIPsecVPN隧道（IKE;支持硬件加密卡，移動客戶和證書）PPTPVPN（支持RADIUS服務器）靜態(tài)路由DHCP服務器與中繼緩存DNS轉(zhuǎn)向器動態(tài)DNS客戶端與RFC2136DNS更新器SNMP代理流量整形（帶寬限制）基于SVG的流量圖可以通過WEB界面進行固件升級喚醒LAN客戶配置文件備份/恢復主機/網(wǎng)絡別名組件m0n0wall包括以下軟件組件：FreeBSDcomponents(kernel,userprograms)ipfilterPHP(CGIversion)thttpdMPDISCDHCPserverez-ipupdate(forDynDNSupdates)Dnsmasq(forthecachingDNSforwarder)Raccoon(forIPsecIKE)規(guī)格當前的m0n0wall系統(tǒng)可以存放在小于6M的CF卡（或者CD-ROM）上在net4501平臺上，當運行默認配置的時候，包含NAT在內(nèi)，m0n0wall提供大約17Mbps的WAN<->LANTCP吞吐量。在更快的平臺上（類似于net4801或者WRAP），吞吐量可能超過50Mbp（在更新的標準PC上>100Mbps）。在net4501平臺上,m0n0wall從上電啟動到完全可以工作的時間小于40秒，這其中包含POST(適當?shù)腂IOS配置）軟件版本和分發(fā)(許可)m0n0wallisCopyright?2002-2004byManuelKasper.Allrightsreserved.允許以源代碼和二進制形式再分發(fā)未經(jīng)修改或經(jīng)過修改的版本，只要滿足以下的條件：以源代碼形式再分發(fā)必須不加修改地保留上述版權(quán)告示、本條件清單和下述棄權(quán)書。以二進制形式再分發(fā)必須復制上述版權(quán)告示、本條件清單和下述棄權(quán)書到再分發(fā)相關(guān)的文檔和其介質(zhì)中。本軟件“按現(xiàn)狀條件”提供，并在此明示不提供任何明示或暗示的保障，包括但不限于對商業(yè)適銷性、對特定目的的適用性的暗示保障。任何情況下，均不對任何直接、間接、偶然、特殊、懲罰性的，或必然的損失(包括但不限于替代商品或服務的采購、使用、數(shù)據(jù)或利益的損失或營業(yè)中斷)負責，無論是如何導致的并以任何有責任邏輯的，無論是否是在本文檔使用以外以任何方式產(chǎn)生的契約、嚴格責任或是民事侵權(quán)行為(包括疏忽或其它)中的，即使已被告知發(fā)生該損失的可能性。其它軟件包m0n0wall基于或包含多種自由軟件，在下面列出。m0n0wall的作者很感謝這些軟件作才所做出的努力。FreeBSDCopyright?1994-2003FreeBSD,Inc.Allrightsreserved.ThisproductincludesPHP,freelyavailablefromCopyright?1999-2003ThePHPGroup.Allrightsreserved.mini_httpdCopyright?1999,2000byJefPoskanzer>.Allrightsreserved.ISCDHCPserverCopyright?1996-2003InternetSoftwareConsortium.Allrightsreserved.ipfilterCopyright?1993-2002byDarrenReed.二．硬件兼容性和配置支持的硬件架構(gòu)m0n0wall只支持X86架構(gòu)。所支持的設(shè)備包括標準的PC設(shè)備，以及各種嵌入設(shè)備。其目標是基于X86的嵌入PC。這意味著不包括非X86的設(shè)備，如基于MIPS的Linksys設(shè)備，基于ARM的D-Link設(shè)備等。FreeBSD不支持MIPS和ARM平臺。FreeBSD所支持的平臺可以閱。其中列出的某些平臺還不能工作，如MIPS。目前m0n0wall只支持X86平臺。支持基于PC的硬件m0n0wall可以運行在任何標準X86PC，只要求具備兩個網(wǎng)絡接口。最低要求486CPU–任何486或更高的CPU就足夠運行m0n0wall。具體需要多高的CPU才滿足需求，取決于多種因素，包括互聯(lián)網(wǎng)的接入帶寬，所需要的并發(fā)連接數(shù)，使用什么功能等。對于大部分應用，一個486或奔騰(Pentium)CPU就足夠了64M內(nèi)存–64MRAM是官方建議的最少配置。m0n0wall的CD版本據(jù)報告在32MB內(nèi)存機器中也運行得很好。當使用m0n0wall的CF(CompactFlash)或硬盤版本，少于64MB內(nèi)存時升級將失敗，這是因為m0n0wall在RAM中保存所有東西，并沒有使用交換空間(swapspace)－當內(nèi)存耗盡，沒有任何后援內(nèi)存支持。建議的BIOS修改需要修改一些BIOS設(shè)備，才能讓m0n0wall正確地工作。PlugandPlayOS很多主板的BIOS都有一項“PlugandPlayOS”設(shè)置其它類似的設(shè)置。這一項該設(shè)置為“NO”或“Disable”。通過關(guān)閉這些選項，讓BIOS分配系統(tǒng)的資源而不留給操作系統(tǒng)來做。由BIOS負責分配資源，F(xiàn)reeBSD(包括m0n0wall)運行得最好。禁止不必要的設(shè)備一般情況下不需要關(guān)心這一點，但如果遇到硬件相關(guān)的問題，我們建議在BIOS中禁止所有不必要的設(shè)備，如果主機板中的聲卡，某種情況下的并口、串口，以及其它不使用的設(shè)備。如果不使用該設(shè)備，禁止它是安全的。存儲介質(zhì)m0n0wall可以安裝在CF(compactFlash)，硬盤，或CD，配一軟驅(qū)保存配置。CompactFlash需要至少8MCompactFlash卡。硬盤一般的IDE或SCSI硬盤都可以（只要是FreeBSD支持的磁盤控制器）。CD/軟驅(qū)任何IDE或SCSICD-ROM/DVD驅(qū)動器都可以啟動m0n0wall。另外需要一個的軟驅(qū)（任何標準的軟驅(qū)），一張用MS-DOS/FAT格式化后的軟盤。使用這種配置方法，你的PC應該能夠從CD-ROM啟動。ZipDrivesetup從版本開始，m0n0wall可以在一個ZipDrive中運行硬盤映象。使用寫硬盤的方式來寫ZipDrive。支持的嵌入式設(shè)備以下的嵌入式設(shè)備可以運行m0n0wall。SoekrisEngineering所有Soekris設(shè)備都與m0n0wall完全兼容。對于net4501和其它45xx型號，使用net45xx映象。對于net4801，使用net48xx映象。我公司防火墻配置流程硬件一臺廢舊的毒龍。128內(nèi)存。18g硬盤。兩塊D-link530TX網(wǎng)卡。配置IP分配規(guī)劃

（１）m0n0wall網(wǎng)絡配置

外接網(wǎng)卡配置

IP地址:

子網(wǎng)掩碼：

網(wǎng)關(guān):

DNS：接局域網(wǎng)網(wǎng)卡配置IP：子網(wǎng)：1、通過控制臺進行設(shè)置步驟一：按照以上介紹的方法制作好m0n0wall，把安裝有m0n0wall的硬盤安裝到目標機，在BIOS中設(shè)置從硬盤啟動，啟動完成后出現(xiàn)圖7所示。這個是主界面，也證明安裝完畢下面對菜單進行簡單介紹。1)Interfaces:assignnetworkports（網(wǎng)卡：指定網(wǎng)絡端口），指定安裝的網(wǎng)卡，用那一塊連接WAN，那一塊連接LAN。2）SetUPLANIPAddress（設(shè)定LAN網(wǎng)卡的IP地址）。3）ResetWebGuiPassword（重設(shè)Webgui密碼為Mono）；4）Resettofactorydefaults（恢復成出廠設(shè)置）；5)Rebootsystem（重新啟動）。在這里我們輸入1并回車。系統(tǒng)提示是否設(shè)置對VLAN（虛擬局域網(wǎng)）的支持，回答N（圖8），系統(tǒng)接著提示：“EntertheLANinterfacenameor''a''forauto-detection:”（輸入LAN網(wǎng)卡名稱或輸入a自動檢測），在這里輸入”fxp0”，回車后系統(tǒng)再提示“EntertheWANinterfacenameor''a''forauto-detection:”fxp1”，回車后系統(tǒng)再提示“EntertheOption1interfacenameor''a''forauto-detection(ornothingiffinished):，按回車鍵。提示Thefirewallwillrebootaftersavingtheyouwanttoproceed(y/n)輸入y，系統(tǒng)將重新啟動。接著我們就在游覽器地址欄輸入：在用戶名處輸入admin，密碼處輸入mono（默認密碼，為了安全密碼不公開，需要可以聯(lián)系我）就可以通過web進行管理了。這是主界面常規(guī)信息的設(shè)置首先對系統(tǒng)的基本信息進行設(shè)置，m0n0wall的管理界面還是比較直觀明了的，遺憾的是現(xiàn)在還沒有中文版本，單擊System下面的Generalsetup（