MONOWALL简明配置手册

MONOWALL配置手册MONOUALL简介mOnOwall就是一项针对建立一个完整得、嵌入式得防火墙软件包得计划,该软件包可以安装于恢入式PC里，提供所有商业防火墙得雨要特性（包括易用性），而」L价格只有商业防火墙几分之一（自由软件）。mOnOwall就是jbare-bonesversionofFreeBSD,包括一个WEB服务器,PHP与其它一些工具软件.幣个系统得配置保存在一个XML文件当中，条理清晰。mOnOwall可能就足第一个启动时通过PHP配置紂UNIX系统，这种结构胜于使用shell脚本。并H整个系统得配置用XML格式保存。入侵检测/保护系统（IDS）代理服务器第三、第四层外得任何数据包检查通用得WEB服务器FTP服务器网络时间服务器日志文件分析器mono就是一个防火墙，而防火墙得目得就是提供安全。增加越多得功能，新《功能得弱点给防火罐带來安全隐患得机会就越大.mOnOwall创建者及主要贡献者得观点就是防火墙第3与4层基本服务之外得任何东西都不属JmOnOwalL一些可能合适得服务占用CPU4内存饥渴，而入侵检测/保护系统（IDS）代理服务器第三、第四层外得任何数据包检查通用得WEB服务器FTP服务器网络时间服务器日志文件分析器□□□□□D□基于同样胃原因.mono不允许登录（login）:控制合没有登录提示符（以显示一个菜单代伶），没有telnet与ssh服务进程（deamon）1、3历史ManuelKasper,mOnOwall得作者，说：从我开始在嵌入式PC上摆弄包过滤器,我就想有一个漂亮得呈丁web图形界面得控制器來控制所有得防火墙功能，而不就是通过键入单个得命令。在互联网上有很多漂亮得带有WE眼n得防火墙包（大部分就是基/Linux得），但就是没有一个符合我要求得（口由，快速，简单，干净以及我需要得所有特性）・所以，我终于开始写属于自己得WEB图形界面。但就是，我决不就是想建立一个webmin得翻版一-我想建立一个完整得、新得嵌入式阴火墙软件包•它得所有将被发展为一个接上电源得盒子,可以通过串n设置LANIP地址，登录ittWEB界面设置它。然后我决定我不能像平常得启动系统那样通过SHELL脚本配置系统（由丁•它几乎不可能用SHELL脚本完成,所以我已经写了一个C程序产生过滤器规则），并从我使用了基JPHP徇WEB接口，不长时间我就发现还就是使用PHP來配置系统得好。这种方法,配置数据将不再必须被存储在那些被SHELL脚本解析得文本文件!|!面■一它现在被存储在一个XML文件里•所以我又完全币:写了够个系统，除了相当多得■引擎罩底下得东西•■外，瞧上去感觉没有什么改变。mOnOwall得第一个公共beta版「2003年2月ISHJ、0版本正好在一年后得2004年2月15H。这

两个板本Z间共发布了另外26个公共beta版■平均每两个星期发布一个•毎个版本完整得修改列农可以在mOnOwall网站fychangeLog栏目找到•1、4功能monowall提供了很多昂贵商用防火墙中得功能，其中一些功能还就是商用防火墙中没有得-包括：WEB界血（支持SSL）0D□DD用于恢复系统得串n0D□DD巫置密码恢复初始默认设置ffi启系统无线支持(accesspointwithPRISM-ll/2.5/3cards,BSS/IBSSwithothercardsincludingCisco)上网认证(captiveportal)□

D

DD□

D支持802□

D

DD□

D基丁•状态紂包过滤block/pass规则日志NAT/PAT（包括1:1）在WANn上支持DHCP客八、PPPoE・PPTP与TelstraBigPondCableIPsecVPN隧道（IKE;支持硬件加密卡，移动客户与证书）PPTPVPN（支持RADIUS服务器）静态路由DHCP服务器与中继缓存DNS缓存DNS转向器动态DNS客户端与RFC2136DNS更新器SNMP代理流量整形（带宽限制）基于SVG得流量图可以通过WEB界面进行固件升级唤醍LAN客户配置文件备份/恢复主机/网络别名DDDQQ0Q01、4、1组件mOnOwall包括以下软件组件：FreeBSDponents（kernel,userprograms）ipfilterPHP(CGIversion)tdMPDISCDHCPserver□ez-ipupdate(forDynDNSupdates)DDnsmasq(forthecachingDNSforwarder)DRaccoon(forIPsecIKE)1、4、2规格D当前得mOnOwall系统可以存放在小WM得CF卡(或者CD-ROM)上D在『旧14501半台上，当运行默认配置得时候，包含NAT在内，riiOiiOwall提供人约17MbpsfiiWANoLANTCP吞吐鼠.在更快得平台上(类似于net4801或者WRAP),吞吐量可能超过50Mbp(在更新得标准PC>100Mbps).D在net4501平台上，mOnOwall从上电启动到完全可以工作得时间小于40秒，这其中包含POST(适当得BIOS配置)1、5软件版本与分发(许可)mOnOwallisCopyright©2002-2004byManuelKasper、Allrightsreserved.允许以源代码与二进制形式再分发未经修改或经过修改得版本，只婆满足以下得条件：D以源代码形式再分发必须不加修改地保留上述版权告示、本条件涓单与下述弃权书。D以二进制形式再分发必须复制上述版权告示■本条件清单与下述弃权书到再分发相关得文档与其介质中。本软件“按现状条件”提供，并在此明示不提供任何明示或暗示得保障，包括但不限于对商业适销性、对特定目得得适用性得暗示保®。任何帖况下，均不对任何亶接、间接、偶然、特殊、惩罚性得，或必然得损失(包括但不限丁替代商品或服务得采购、使用、数据或利益得损失或营业中断)负责,无论就是如何导致得并以任何有责任逻辑得，无论就是否就是在本文档使用以外以任何方式产生得契约、严格责任或就是民事侵权行为(包括统忽或其它)中得，即使己被告知发生该损失紂可能性。1、5、1其它软件包mOnOwall基于或包含名种自由软件,在下面列出。mOnOwall得作者很感谢这些软件作才所做出得努力。FreeBSD(:/人)Copyright©1994-2003FreeBSD,Inc.Allrightsreserved.ThisproductincludesPHP,freelyavailablefrom;//.php、net.Copyright©1999-2003ThePHPGroup.Allrightsreserved.mini_d(://、acme./software/mini_d)Copyright©1999,2000byJefPoskanzervjefacme、>.Allrightsreserved.ISCDHCPserver(://./products/DHCP)Copyright©1996-2003InternetSoftwareConsortium.Allrightsreserved.ipfilter(://.ipfilter、org)Copyright©1993-2002byDarrenReed、二•硕件兼容性与配置1支持得锁件架构mOnOwall只支持X86架构。所支持得设备包括标准得PC设备,以及齐种嵌入设备。其日标就是基TX86W嵌入PC。这意味着不包括非X86得设备■如基于MIPS得Linksys设紅基JARM得D・Link设备等。FreeBSD不支持MIPS与ARM平台.FreeBSD所支持得平台可以阅:〃、f「eebsd、o「g/platfonns/index、html。其中列出得某些半台还不能工作，如MIPS。H前mOnOwall只支持X86平台.2.2支持基TPC得便件mOnOwall可以运行在任何标准X86PC,只耍求具备两个网络接【I.2.2.1惊低要求486CPU-任何486或更iftWCPU就足够运行mOnOwalh几体需耍多岛得CPU才满足需求，取决于多珅因素，包括互联网得接入带宽,所需耍得并发连接数，使用什么功能零。对于大部分应用,一个486或奔腾(Pentium)CPU就足够了64M内存-64MRAM就是官方建议得报少配置。mOnOwall得CD版本据报告在32MB内存机器中也运行得很好。当使用mOnOwall得CF(pactFlash)或硬盘版本，少于64MB内存时升级将失败,这就是W为mOnOwall在RAM中保存所有东西，并没有使用交换空间(swapspace)-当内存耗尽,没有任何后援内存支持。2.2、2建议得BIOS修改需要修改一吃BIOS设备,才能让mOnOwall正确地工作。PlugandPlayOS很多主板得BIOS都有一项"PlugandPlayOS”设置其它类似得设置.这一项该设置为“NO”或••Disable".通过关闭这些选项，让BIOS分配系统得资源而不留给操作系统來做。iliBIOS负责分配资源.FreeBSD(包括mOnOwall)运行得绘好。禁止不必要得设备一般情况下不需要关心这一点•但如果遇到硬件相关得问题•我们建议在BIOS中禁止所有不必要得设备，如果主机板中得声卡,某种情况下得并口、串n■以及其它不使用得设备.如果不使用该设条，禁止它就是安全得•2.2.3存储介质mOnOwall可以安装在CF(pactFlash),硕盘，或CD,配一软驱保存配置•PactFlash需耍至少8MpactFlash仁硬盘一般得IDE或SCSI硬盘都可以(只耍就是FreeBSD支持得磁盘控制器卜CD/软驱任何IDE或SCSICD-ROM/DVD驱动器都可以启动mOnOwalL另外需耍一个1、44MB得软驱（任何标准得软驱）,一张用MS-DOS/FAT格式化C得软盘。使用这种配置方法，您得PC应该能够从CD-ROM启动。ZipDriveselup从版本1、2b3开始,mOnOwall可以在一个ZipDrive-1'运行硬盘映象。使用写硬盘得方式來写乙pDrive•2、3支持得嵌入式设备以下得嵌入式设备町以运行mOnOwalU2.3、1、SoekrisEngineering所右Soekris设备都与mOnOwall完全兼容。对于net4501与其它45xx型号，使用net45xx映象・对于net4801.使用net48xx映象。二-我公司防火墙配置流程3、1硕件一台废IU得毒龙。128内存。18g®盘。两块D-link530TX网卡。IP分配规划(1)mOnOwall网络配置外接网k配置IP地址：218、69、98、91子网掩码:255、255、255、248网关:218、69.98.89DNS:202、99、96、68接局域网网卡配置IP:192.168、2、205子网:255.255、255、0K通过控制台进行设置步骤一:按照以上介绍得方法制作好mOnOwalt把安装右mOiKMaU得硬盘安装到目标机，在BIOS中设置从硬盘心动加动完成后出现图7所示。这个就足主界面，也证明安装完毕下面对菜单进行简单介绍。1）Intciiaccs:assignnetworkpons（网卡:指定网络端「I）,指定安装得网卡，用那一块连接WAN,那一块连接LAN.2） SetUPLANIPAddress（设定LAN网卡得IP地址）。3） RcsctWcbGuiPassword（］E设Wcbgui密码为Mono）;4） Rcsettofactoiydcfaults（恢fi成出厂设置）；5） Rebootsystem（甫新启动）。在这里我们输入1并回车。系统提示就是否设置对VLAN（虚拟H域网）得支持，回答N（图8）*系统接着提示:"EntertheLANinterfacenameor"a"forauto-<ietection?X输入LAN网卡名称或输入afl动检测），在这里输入''fxpO",回车后系统再提示"EntertheWANinterfacenameor"a"forauto-detection:"fep1回车后系统再提示"EntwtheOption1interfacenameor"a**forauto-dctcctiou（oruothingiffinished）:,回工键。提示Thefirewallwillrebootaftersavingthechanges.Doyouwanttopn>cced?（yii）输入％系统将貳新启动。接若我们就在游览器地址栏输入二7192、168、2、205在用户名处输入admut密码处输入mom（默认密码，为了安全密码不公开，需要町以联系我）就町以通过web进行管理了。这就是主界面常规信息得设置苗先对系统得基本信息进行设SjnOnOwall得管理界®还就是比较直观明了得，遗憾得就是现在还没有中文版本■单击System卜•面得Generalsetup（常规设置）在这里我们町以进行admin用户密码,dns服务器,Web管理界®得协议，端【I进行设置。为了防火墙得安全我们建议对admin用户密码、访问协议、端H等信息进行）R新设置。我把webGUIprotocol设为S.webGUIport设为8080QNS为:与202.99、96、68（请根据网络环境进行设置），按Save保存配配这时系统提示•敢新启动防火墙■点YES.防火墙将更启.防火墙启动完成后,请用修改后得协议、端新密码访问防火墙。固定IP方式设S静書】P设置公司使用固定IP,请选择选择Static.在这里我选择了StalicS⑻icIPIPlconfiguralion（静态IP地址配it）Address（lP地址）输入外网IP地址21&69、98、91/29,Gateway（网关）输入外网网关地址218■69、98、89.提示:mOnOwallf网掩码來用得就是CIDR标记法■公司得掩码就是255.255、255>248、根据换算得出掩了29位3•搭建VPNfJR务器

由于公司右VPN得需求，