m0n0wall配置方法-图.doc

m0n0wall详细安装及基本配置方法(图)公司一直在用ISA2006作为防火墙，开始投入使用时觉得设置很复杂！于是沉下心来研究这个东东，一段时间过后，发觉也就那么回事，于是乎就不再去管它了，就让它一直开着，公司开通外网的权限全靠它了！ 最近公司网络大变更，给我一个超级好的学习机会！邮件服务器、ERP服务器.陆续成功上线了！今天，台北的MIS老大又叫我把ISA2006防火墙更改成m0n0wall！晕，没用过这个防火墙，不知道性能怎么样，于是baidu了一下，找到了这个软件的交流平台：m0n0wall中国（），根据m0n0wall对硬件要求不高的特点，我选了一台配置最差的电脑，成功下载并安装了这个软件！摘要：m0n0wall is a project aimed at creating a complete, embedded firewall software package that, when used together with an embedded PC, provides all the important features of commercial firewall boxes (including ease of use) at a fraction of the price (free software).m0n0wall is based on a bare-bones version of FreeBSD, along with a web server, PHP and a few other utilities. The entire system configuration is stored in one single XML text file to keep things transparent.一、 认识M0n0wallM0n0wall是基于FreeBsd内核开发的免费软件防火墙。m0n0wall提供基于web的配置管理、提供VPN功能、支持DHCP Server、DNS转发、动态DNS、Ipsec、流量控制、无线网络支持等功能。二、m0n0wall安装m0n0wall可以安装在IDE硬盘、电子硬盘（DOM）、CF存储卡、光盘软盘上。任何486以上的电脑，只要配备二块网卡，不小于64M内存就可以运行该系统。下面分别介绍这几种安装方式，读者可以根据自身情况选择一种最适合自己的运行模式。m0n0wall虽然可以在很低的硬件环境下使用，但笔者建议最好还是采用586以上的计算机，不低于128M内存，M0n0wall可以RTL8139、DFE530-TX等常见的网卡，但从笔者所安装的防火墙的使用情况来看，要充分发挥m0n0wall的性能，性能优良的网卡是必不可少的，所以我们建议有条件的朋友选用Intel或3COM等品牌的网卡。（一）、硬盘运行模式m0n0wall对硬盘没有特殊要求，只需准备容量大于8MB以上的硬盘就可以了，m0n0wall启动完成后，所有的运行都是在内存中进行的，但由于路由器通常是长时间的连续运行的，普通IDE硬盘长时间运行容易出现故障，在笔者维护的网络中，最容易出现问题的就是IDE硬盘的损坏，建议有条件的朋友使用电子硬盘（图2）或CF存储卡，电子硬盘是非机械式的不容易坏损，电子硬盘市面一般较少见，做工控产品的厂商一般都有出售，64M 的DOM大概需要200元左右；CF存储卡市场容易购得，但CF-IDE转接卡（图3）市场很难见到，每块售价一般在80元左右，读者可以根据实际情况进行选择。M0n0wall可以在Windows和Unix/Linux平台下把系统IMG文件写到硬盘中，无论是使用IDE硬盘，还是DOM或CF卡，安装M0n0wall的方法是相同的，下面我们以在Windows XP下安装m0n0wall到IDE硬盘为例进行说明。步骤一：把IDE硬盘安装到一台安装有Windows XP的电脑的主板的另一个IDE接口，连接好电源线。步骤二： 下载M0n0wall系统和physdiskwrite工具，汉化版下载网址：/analyst/m0n0wall/generic-pc-1.235_sc.img，选择任何一个镜像站下载，我们把下载的文件保存在c:m0n0目录，1.2 汉化版的文件名为generic-pc-1.235_sc.img，m0n0wall是用img格式打包的，我们还需要下载physdiskwrite工具，该工具的下载地址：http:/www.m0n0.ch/wall/downloads/physdiskwrite-0.5.zip。官方的下载速度较慢，大家也可以到到：下载。下载后对physdiskwrite-0.5.zip进行解压并拷贝到C:M0N0目录中（图4）。 (图4)步骤三：开始?运行?cmd回车，cd c:m0n0进入m0n0目录中运行physdiskwrite -u generic-pc-1.235_sc.img （只有当硬盘容易大于800MB时才需要-u）。系统显示你电脑中的两个硬盘的一些信息，并提示Which disk do you want to write?(0.1)，我们这里选择1（图5）。屏幕显示“6291456/6291456 bytes written in total”则表示m0n0wall系统已经安装到硬盘中了。提示：不要选错，否则硬盘数据将全部被清除。(图5)步骤四：把安装好m0n0wall的硬盘安装到作为防火墙的电脑，在系统BIOS中设置从硬盘启动。（二）、光盘+软盘运行模式光盘+软盘运行模式需要准备一个光驱和一个3.5英寸软驱，光盘用于存储m0n0wall 系统，软盘存储配置文件。从网站上下载m0n0wall光盘版文件，并把文件刻录到光盘，具体操作步骤如下。步骤一：m0n0wall光盘版文件下载。官方下载地址：http:/www.m0n0.ch/wall/download.php?file=cdrom-1.11.iso，选择任一下载链接下载。国内下载地址:http:/www.Router.N。步骤二：把下载的cdrom-1.11.iso文件刻录到光盘，推荐使用nero进行刻录。不要解压后再刻录，否则刻录出来的光盘将无法启动。步骤三：格式化一张1.44MB软盘，在Windows命令符方式下输入：format a:。步骤四：把刻录成功的光盘和软盘插入作为路由器的电脑上，在BIOS设置中设置成从光盘启动。昨天，我已经成功将m0n0wall安装程序成功的写入了硬盘或DOM中(详见：原创：m0n0wall详细安装及基本配置方法（一），/view.asp?id=112)，今天我们继续研究其基本配置方法！可是，很奇怪的问题出现了，配置成功后，我关掉ISA2006服务器，将原来的ISA2006LAN口IP分配给m0n0wall的LAN，ISA2006的WAN口IP分配给m0n0wall的WAN口，接入局域网后才发现，ping m0n0wall的lan口IP时出现request timed out!郁闷！直到现在还没有解决，明天继续研究这个问题！ 废话就不说了，现把m0n0wall的基本配置方法记录下来！一、 用写好的DOM或硬盘启动之后，屏幕上会显示如下图：二、按数据键“1”，出现下图：三、这里是设置VLAN的，我们不需要，所以就按“n”出现下图：四、这是设置用于内网的网卡，这儿根据图上黄框圈出的2个名字里选择一个作为内网，我这里选择的是lnc0，写好lnc0之后，按回车，出现如下图：五、这是选择外网网卡，这里我输入另外一块网卡lnc1，之后按回车。出现如下图：六、这里是设置Optional口的，我们没有，所以直接回车结束。出现如下图：七、它询问我们是否继续进行，我们选“y”回车之后，系统会马上自动重新启动，等它启动之后，出现如下的画面：如果黄色框里的LAN和WAN的名字都是刚才我们设置好的名字，那就说明已经成功了！这时候，我们就可以通过客户端用WEB浏览器进行配置了。前一章，我们已经成功配置了m0n0wall服务器，详见：/post/116.html，接下来，我们可以通过客户端电脑用WEB页面的形式对m0n0wall进行更加详细的配置，让m0n0wall更好的为我们服务！用WEB页面来进行配置简化了m0n0wall的配置过程，使之看上去更加通俗易懂！进入WEB界面：1、m0n0wall默认LAN网卡接口的IP地址是,我们在局域网内找一台安装有Windows系统的电脑，设置设置与防火墙同一网段，见下图。2、在命令提示符下用Ping 命令测试与防火墙是否连通，则说明与防火墙已经连通了。3、接着我们就在客户端游览器地址栏输入： 在用户名处输入admin，密码处输入mono（英文字母o，非数字0）就可以通过web进行管理了，（这里因本人已将LAN网卡的IP改成,故此处输入为，大家可以随便改）。4、登录成功画面：5、然后大家就可以在这里面进行各种详尽的配置啦！怎么样？WEB界面配置，很直观吧！晕，公司又有电脑出问题啦，就先配到这里，下回详细讲解防火墙配置规则！前一章节，我记录了如何进入m0nowall的WEB配置界面，下面我来写写如何配置m0n0wall使局域网用户能够共享上网！这也是m0n0的一个精华所在。让我郁闷的是，在自己测试的过程中，当我把m0n0wall的LAN口设成时，下面的用户端却ping不通这台服务器。找了半天也查不出原因，晕倒！是原ISA的LAN口IP，我测试的时候把ISA服务器关闭了，网线也拔掉了,就是ping不通,但是把m0n0wall的LAN口IP改成50.3就能通！后来台北的MIS老大教我一个方法，因为我们的ADSL带有路由功能，所以从路由器出来的线不直接接m0n0wall的WAL口，而是接一个五口的HUB,原来的ISA的WAN口接这个小的HUB上，还是用来控制用户外网。m0n0wall的WAN口设成和ISA的WAN口在同一个网段就解决这个问题了！其实我们这么做是用m0n0wall来控制程控电话交换机，只要将这个电话交换机的网关设成50.3,然后在m0n0wall开通VPN功能就能远程电话啦！回头看下，发现自己都不知道写了些什么东西，不管了，先把共享上网的写完吧！1、进入m0n0wall的WEB管理界面，哈哈，前一节已经教你怎么进入了，别说不会哦！系统-常规设置中设置主机名、域名、DNS服务器（主机名、域名随便设置，如果局域网内有DNS服务器就填网内DNS服务器，第二个填当地的DNS服务器），其它默认就行！ 2、网络接口-LAN设置，此处就是共享用户的网关地址，我设成50.3,用户的网关也必面是50.33、网络接口-WAN设置，此处我设置的是从路由出来的IP，和ISA在同一网段，因为前面有路由器，所以此处就选static,然后在静态IP中填入路由器出来的IP，如果你前面没有路由器，请选择PPPOE，然后填ISP提供的帐号和密码也是一样的！ 这样，就设置完成了，下面的用户网关设成m0n0wall的LAN口IP，就能共享上网啦！默认状态下m0n0wall是全部开通外网的，明天记录如何控制内网IP的权限！如何限制用户是否开通internet，肯定是许多菜鸟级别的朋友特别想知道的技术吧！哈哈，OK，今天我们就用m0n0wall来控制哪些用户能开通外网，哪些用户不能开通外网吧！当然，m0n0wall也可以控制类似只开通QQ、skype,不开通网页；只开通网页，不开通QQ等等。还有流量控制的功能，m0n0wall提供了很好的流量控制技术，后面再慢慢研究！在m0n0wall详细安装及基本配置方法（四）我们设置了如何用m0n0wall来共享上网,在这个基础上如何实现哪些用户可以上风，哪些用户不能上网呢？下面详细介绍！ 1、进入m0n0wall的WEB界面，打开防火墙-规则-LAN（当然也可以选WAN，这里介绍LAN） 2、在默认情况下，m0n0wall是允许所有的用户开通外网的，见（图1）。我们更改为所有的用户不开通外网,点“e”更改！将动作中的pass改成block!选择“应用更改”。这时已将所有的用户上外网的权限关闭！（图3） （图1） （图2） （图3） 3、开通需要上网用户的IP，见下图！我这里开通1用