灌装系统M0N0WALL.doc

既然是基于陌生的操作系统，m0n0的安装自然也就有点与众不同，没有什么安装文件可以让我们双击，我们需要下载专门的“烧录”工具来将防火墙模块“烧” 进硬件里。这个工具就是physdiskwrite.exe，刚才下载的那个包含防火墙模块的压缩包里有两个文件1000g-1.0- 060202.img 和physdiskwrite.exe 其中physdiskwrite.exe就是烧录工具，另一个1000g-1.0-060202.img就是防火墙模块软件，好了，万事齐备，我们正式开始安装。先把电子盘插入一台安装有windows操作系统的pc电脑的主板ide接口上，点击开始菜单运行。输入“cmd”命令。调出dos命令窗口，记住一定要这样调出窗口，切记千万不能通过“点击开始菜单程序附件c：命令提示符”这种方式来调出窗口，否则将不能正常“烧录”。将刚才下载的防火墙软件模块1000g-1.0-060202.img和physdiskwrite.exe烧录工具拷贝到同一个目录下，然后执行如下命令：physdiskwrite 1000g-1.0-060202.img ，如果不是往电子盘烧录，而是往ide硬盘烧录，当你的ide硬盘容量超过800mb，请添加参数 -u，也就是这样：physdiskwrite 1000g-1.0-060202.img -u回车后，屏幕显示如下，显示出两个硬盘的参数，注意model后面的名称，st3160021a是指的ide硬盘，而pqi ide diskonmodule则是指的电子盘，别忘了今天咱们用的电子盘是pqi牌的，所以一看带有pqi字样，就知道这是电子盘。屏幕下面出现一行字，让选择哪个硬盘是要写入防火墙模块的，自然是选择pqi所在的1号，此处填写1，回车。屏幕提示，确认是否正确，是否真的写入，当然选y。几秒钟，防火墙模块即被写入电子盘，也就是被“烧录”、“嵌入”进硬件里。将电子盘重新插入咱们组装的1u防火墙那台机器里，启动系统，看到屏幕上飞速滑过一串串神秘的字母和数字，和windows的启动截然不同。最终，屏幕停在这里，显示6个选项。先选择1，是为了指定防火墙的wan口和lan口到两个网卡上。屏幕提示询问是否设置vlans，选择n现在输入两个网卡名称，先给lan口指定网卡rl0，再给wan口指定网卡xl0，注意网卡的名称请看屏幕左上角都有显示。网卡绑定好后，输入n，回车。屏幕显示lan和wan口的绑定网卡名称，并提示防火墙将保存这些设置并重启，是否继续？当然要选y重启之后，选择选项2，为了给lan口绑定的网卡指定新的ip地址。m0n0wall默认的lan网卡的ip地址是，端口是80，但是我们单位的局域网使用的网段是192.168.123.x，所以要把防火墙的lan口ip地址改成这个网段的，我输入的是：1子网掩码输入24，这个代表的是掩码：，回车。屏幕提示是否开启dhcp服务，当然要开启，选择y，这样防火墙可以给内网的客户机自动分配ip地址。下面输入自动分配ip地址的起始ip地址，输入2再输入自动分配ip地址的终结ip地址，输入 22再回车。回到主菜单。输入选项6，测试网络是否通。此时已经把网线插入防火墙的lan口，输入局域网网关的ip，ping一下，哦，通了！有时候可能会弄不清到底哪个网卡是lan，这时可以来回将网线分别插入两个网卡测试，那个通那个就是，另一个网卡就是连接外网的wan口。现在专业的防火墙都可以通过ie浏览器的web界面来远程管理，咱们的防火墙自然也不例外。在局域网里任何一台客户机的浏览器的地址栏里输入防火墙的ip地址：1 不用输入端口，防火墙默认是80端口，立即弹出防火墙的登陆界面，要求输入用户名和密码，我输入防火墙默认用户名admin 和密码 1000g 点击确定，进入防火墙管理界面。看看，界面够酷吧，和一般硬件防火墙的管理界面没什么区别。点击左边菜单的systemgeneral setup，在这里可以更改hostname，你可以改成任意自己喜欢的名字和符号，我改成1000gwall，domain改成 1000，下面的dns server填入当地常用的dns服务器的ip地址。在向下的选项usename和password可以更改防火墙的默认登陆用户名和密码。 webgui port这个选项可以更改防火墙的web登陆端口号，默认是80，我给改成8080，这样就可以通过诸如：1:8080来访问防火墙的管理界面了，这样可以防止黑客利用默认端口攻击防火墙。修改完毕，点击页面下面的save，保存修改。屏幕显示改变已经保存生效。现在的硬件防火墙很多都带有共享上网的路由功能，咱们这个也不例外，笔者将用这台防火墙为整个单位的局域网提供共享上网功能，替换原有的那个老路由器，大家都知道现在用来共享上网的宽带路由器都带有pppoe拨号功能，能够自动通过一条adsl宽带拨号上网，然后让局域网里的全部电脑都共享上网，咱们的这台防火墙也有这个能力，下面选择菜单里wan选项进行设置。在type（类型）中有static（固定）、dhcp（动态）、pppoe、pptp、bigpond等五种类型，这里我们介绍固定ip和adsl的设置，另外的设置方式类似。a. 固定ip方式设置如果您使用的固定ip请选择选择static，在这里我选择了static，static ip configuration(静态ip地址配置)?ip address（ip地址）输入外网ip地址219.159.82.xxx/30，gateway（网关）输入外网网关地址 219.159.82.xxx。提示：这台防火墙子网掩码采用的是cidr标记法，如用/24表示, 用/16表示，用/8表示等，实际上x中的就是子网掩码二进制表示的数位1的个数，如 52,用cidr标记为/30。b. adsl宽带设置如果你使用的是adsl，请在type中选择pppoe在pppoe configuration下的username（用户名）处输入用户名，password处输入密码，service name（服务商名称）可以随意输入或留空，最后点击save保存配置。提示：只需设置一种上网方式。设置好adsl帐号的用户名和密码之后，选择保存设置，修改的选项立刻生效，将防火墙的wan接口接入adsl猫，lan口接入交换机或者集线器的任意一个接口（记住是任意一个lan接口而不是集线器级联用的uplink接口），其他客户机电脑接入集线器或者交换机的其他lan口，重启防火墙之后，防火墙即可自动拨号上网，并给各个客户机自动分配ip地址，局域网用户即可共享上网，当然这时大家已经处于防火墙的保护之下了。现在许多防火墙还具有动态主机功能，就是内置了一些动态主机软件，例如花生壳客户端、每步动态域名客户端，让其他互联网用户可以通过动态域名访问到防火墙所在的局域网内的服务器，这个功能咱们的防火墙也有，点击dynamic dns选项进行设置，首先将enable选项勾选上，启动动态域名服务。在咱们的防火墙里默认内置了许多国际上常见的动态域名的客户端，我喜欢使用其中的，去网站注册一个用户名，在防火墙下拉菜单里选择使用的客户端，然后输入刚刚注册的用户名和密码就可以使用了，互联网上的网民只要输入你的动态域名，例如 1000即可访问到防火墙所在的公网ip地址，再通过在防火墙上设置端口映射，即可让外界的网民访问到内网的服务器，端口映射的方法我下面接着说。发布web和ftp服务器我们单位局域网里安装有对外开放的web和ftp服务器，配置防火墙可以让外界网民访问web和ftp服务器。步骤一：点击firewallnat，点击inbound的+号增加配置信息。步骤二：配置web端口映射。其中interface设置为，protocol设置为tcp，external port range设置为http, nat ip设置为8，local port设置为http，description（描述信息）设置为web server，最后auto-add a firewall rule to permit traffic through this nat rule一定要选定，否则必须手动在firewall中rules 加规则，所有设置如图15所示，点击save键。步骤三：配置ftp端口映射。其中interface设置为， protocol设置为tcp，external port range设置为ftp, nat ip设置为8，local port设置为ftp，description（描述信息）设置为ftp server，最后auto-add a firewall rule to permit traffic through this nat rule一定要选定，否则必须手动在firewall中rules 加规则，点击save键，再点击“apply changes”（修改确认），系统提示应用生效，通过查看firewall rules，发现系统已经有二条新加入的规则。在外网输入动态域名就可以访问发布的web服务器了。依此类推，可以设置好远程桌面3389、smtp、pop3等常用的端口映射，如下图显示。如果您并不想用这台防火墙给局域网做防护，而是想用于一台服务器的防护，可以选择firewall:nat里面的1：1模式，这样，所有访问都将经过防火墙过滤后转发到同一个ip地址上。硬件防火墙都可以监控流量和资源占用率，咱们的防火墙当然也可以了，选择statussystem 出现system information界面，点击上面的cpu usageview graph选项，这时出现cpu占用率的曲线图，但是现在显示不正常，原来必须安装一个小小的插件，点击这里http: //1000gwallview.rar即可下载这个插件。在客户端电脑下载插件安装之后，登陆防火墙管理界面后即可显示现在的cpu占用率，现在的占用率很低。结尾：一切顺利，最后要把藏在机箱内的两个网卡的接口引出来到前面板上，自己动手做了两条网线，把网线一头插入网卡。网线另一头插入1u防火墙机箱前面板的前置网络接口上，这样就把百兆网卡的接口引出到机箱的前面板上了。一切搞好，拧上机箱盖子，好了！万事大吉，来欣赏一下我们的硬件防火墙吧！怎么样，看外观上谁敢说它不专业？呵呵，不仅外观专业，使用起来更专业呢，来吧，我们快来使用一下。对了，这个1u防火墙机箱的前面板是可以更换的，现在电信和网通宽带存在速度瓶颈，所以很多网吧都买了昂贵的双wan口路由器，来同时接入电信和网通线路，保证玩家们无论玩哪个线路上的游戏都通畅。假如你要组装一台双wan口的大型网吧路由器，那么就需要3个网卡口，这是你可以换上下面这个带有三个网口的前面板。笔者用自己组装的防火墙替换下公司的老旧宽带路由器，将局域网内的客户机的默认网关都改成防火墙的ip地址，防火墙一开机，很快局域网里面的电脑就都可以上网了，qq、msn、ftp、email等等都不用特殊设置，和直接上网没有区别，局域网里79台电脑，上网速度都很快，感觉防火墙的拨号连接速度和上网速度，都明显比原来的老路由器速度快，而且咱们防火墙默认即可断线重拨，重拨能力特强，几乎感觉不到断线，不像一般的家用宽带路由器，经常