MONOWALL簡(jiǎn)明配置手冊(cè)

MONOWALL配置手冊(cè)MONOUALL簡(jiǎn)介mOnOwall就是一項(xiàng)針對(duì)建立一個(gè)完整得、嵌入式得防火墻軟件包得計(jì)劃,該軟件包可以安裝于恢入式PC里，提供所有商業(yè)防火墻得雨要特性（包括易用性），而」L價(jià)格只有商業(yè)防火墻幾分之一（自由軟件）。mOnOwall就是jbare-bonesversionofFreeBSD,包括一個(gè)WEB服務(wù)器,PHP與其它一些工具軟件.幣個(gè)系統(tǒng)得配置保存在一個(gè)XML文件當(dāng)中，條理清晰。mOnOwall可能就足第一個(gè)啟動(dòng)時(shí)通過(guò)PHP配置紂UNIX系統(tǒng)，這種結(jié)構(gòu)勝于使用shell腳本。并H整個(gè)系統(tǒng)得配置用XML格式保存。入侵檢測(cè)/保護(hù)系統(tǒng)（IDS）代理服務(wù)器第三、第四層外得任何數(shù)據(jù)包檢查通用得WEB服務(wù)器FTP服務(wù)器網(wǎng)絡(luò)時(shí)間服務(wù)器日志文件分析器mono就是一個(gè)防火墻，而防火墻得目得就是提供安全。增加越多得功能，新《功能得弱點(diǎn)給防火罐帶來(lái)安全隱患得機(jī)會(huì)就越大.mOnOwall創(chuàng)建者及主要貢獻(xiàn)者得觀點(diǎn)就是防火墻第3與4層基本服務(wù)之外得任何東西都不屬JmOnOwalL一些可能合適得服務(wù)占用CPU4內(nèi)存饑渴，而入侵檢測(cè)/保護(hù)系統(tǒng)（IDS）代理服務(wù)器第三、第四層外得任何數(shù)據(jù)包檢查通用得WEB服務(wù)器FTP服務(wù)器網(wǎng)絡(luò)時(shí)間服務(wù)器日志文件分析器□□□□□D□基于同樣胃原因.mono不允許登錄（login）:控制合沒(méi)有登錄提示符（以顯示一個(gè)菜單代伶），沒(méi)有telnet與ssh服務(wù)進(jìn)程（deamon）1、3歷史ManuelKasper,mOnOwall得作者，說(shuō)：從我開(kāi)始在嵌入式PC上擺弄包過(guò)濾器,我就想有一個(gè)漂亮得呈丁web圖形界面得控制器來(lái)控制所有得防火墻功能，而不就是通過(guò)鍵入單個(gè)得命令。在互聯(lián)網(wǎng)上有很多漂亮得帶有WE眼n得防火墻包（大部分就是基/Linux得），但就是沒(méi)有一個(gè)符合我要求得（口由，快速，簡(jiǎn)單，干凈以及我需要得所有特性）?所以，我終于開(kāi)始寫(xiě)屬于自己得WEB圖形界面。但就是，我決不就是想建立一個(gè)webmin得翻版一-我想建立一個(gè)完整得、新得嵌入式陰火墻軟件包?它得所有將被發(fā)展為一個(gè)接上電源得盒子,可以通過(guò)串n設(shè)置LANIP地址，登錄ittWEB界面設(shè)置它。然后我決定我不能像平常得啟動(dòng)系統(tǒng)那樣通過(guò)SHELL腳本配置系統(tǒng)（由丁?它幾乎不可能用SHELL腳本完成,所以我已經(jīng)寫(xiě)了一個(gè)C程序產(chǎn)生過(guò)濾器規(guī)則），并從我使用了基JPHP徇WEB接口，不長(zhǎng)時(shí)間我就發(fā)現(xiàn)還就是使用PHP來(lái)配置系統(tǒng)得好。這種方法,配置數(shù)據(jù)將不再必須被存儲(chǔ)在那些被SHELL腳本解析得文本文件!|!面■一它現(xiàn)在被存儲(chǔ)在一個(gè)XML文件里?所以我又完全幣:寫(xiě)了夠個(gè)系統(tǒng)，除了相當(dāng)多得■引擎罩底下得東西?■外，瞧上去感覺(jué)沒(méi)有什么改變。mOnOwall得第一個(gè)公共beta版「2003年2月ISHJ、0版本正好在一年后得2004年2月15H。這

兩個(gè)板本Z間共發(fā)布了另外26個(gè)公共beta版■平均每?jī)蓚€(gè)星期發(fā)布一個(gè)?毎個(gè)版本完整得修改列農(nóng)可以在mOnOwall網(wǎng)站fychangeLog欄目找到?1、4功能monowall提供了很多昂貴商用防火墻中得功能，其中一些功能還就是商用防火墻中沒(méi)有得-包括：WEB界血（支持SSL）0D□DD用于恢復(fù)系統(tǒng)得串n0D□DD巫置密碼恢復(fù)初始默認(rèn)設(shè)置ffi啟系統(tǒng)無(wú)線支持(accesspointwithPRISM-ll/2.5/3cards,BSS/IBSSwithothercardsincludingCisco)上網(wǎng)認(rèn)證(captiveportal)□

D

DD□

D支持802□

D

DD□

D基丁?狀態(tài)紂包過(guò)濾block/pass規(guī)則日志NAT/PAT（包括1:1）在WANn上支持DHCP客八、PPPoE?PPTP與TelstraBigPondCableIPsecVPN隧道（IKE;支持硬件加密卡，移動(dòng)客戶與證書(shū)）PPTPVPN（支持RADIUS服務(wù)器）靜態(tài)路由DHCP服務(wù)器與中繼緩存DNS緩存DNS轉(zhuǎn)向器動(dòng)態(tài)DNS客戶端與RFC2136DNS更新器SNMP代理流量整形（帶寬限制）基于SVG得流量圖可以通過(guò)WEB界面進(jìn)行固件升級(jí)喚醍LAN客戶配置文件備份/恢復(fù)主機(jī)/網(wǎng)絡(luò)別名DDDQQ0Q01、4、1組件mOnOwall包括以下軟件組件：FreeBSDponents（kernel,userprograms）ipfilterPHP(CGIversion)tdMPDISCDHCPserver□ez-ipupdate(forDynDNSupdates)DDnsmasq(forthecachingDNSforwarder)DRaccoon(forIPsecIKE)1、4、2規(guī)格D當(dāng)前得mOnOwall系統(tǒng)可以存放在小WM得CF卡(或者CD-ROM)上D在『舊14501半臺(tái)上，當(dāng)運(yùn)行默認(rèn)配置得時(shí)候，包含NAT在內(nèi)，riiOiiOwall提供人約17MbpsfiiWANoLANTCP吞吐鼠.在更快得平臺(tái)上(類似于net4801或者WRAP),吞吐量可能超過(guò)50Mbp(在更新得標(biāo)準(zhǔn)PC>100Mbps).D在net4501平臺(tái)上，mOnOwall從上電啟動(dòng)到完全可以工作得時(shí)間小于40秒，這其中包含POST(適當(dāng)?shù)肂IOS配置)1、5軟件版本與分發(fā)(許可)mOnOwallisCopyright?2002-2004byManuelKasper、Allrightsreserved.允許以源代碼與二進(jìn)制形式再分發(fā)未經(jīng)修改或經(jīng)過(guò)修改得版本，只婆滿足以下得條件：D以源代碼形式再分發(fā)必須不加修改地保留上述版權(quán)告示、本條件涓單與下述棄權(quán)書(shū)。D以二進(jìn)制形式再分發(fā)必須復(fù)制上述版權(quán)告示■本條件清單與下述棄權(quán)書(shū)到再分發(fā)相關(guān)得文檔與其介質(zhì)中。本軟件“按現(xiàn)狀條件”提供，并在此明示不提供任何明示或暗示得保障，包括但不限于對(duì)商業(yè)適銷性、對(duì)特定目得得適用性得暗示保?。任何帖況下，均不對(duì)任何亶接、間接、偶然、特殊、懲罰性得，或必然得損失(包括但不限丁替代商品或服務(wù)得采購(gòu)、使用、數(shù)據(jù)或利益得損失或營(yíng)業(yè)中斷)負(fù)責(zé),無(wú)論就是如何導(dǎo)致得并以任何有責(zé)任邏輯得，無(wú)論就是否就是在本文檔使用以外以任何方式產(chǎn)生得契約、嚴(yán)格責(zé)任或就是民事侵權(quán)行為(包括統(tǒng)忽或其它)中得，即使己被告知發(fā)生該損失紂可能性。1、5、1其它軟件包mOnOwall基于或包含名種自由軟件,在下面列出。mOnOwall得作者很感謝這些軟件作才所做出得努力。FreeBSD(:/人)Copyright?1994-2003FreeBSD,Inc.Allrightsreserved.ThisproductincludesPHP,freelyavailablefrom;//.php、net.Copyright?1999-2003ThePHPGroup.Allrightsreserved.mini_d(://、acme./software/mini_d)Copyright?1999,2000byJefPoskanzervjefacme、>.Allrightsreserved.ISCDHCPserver(://./products/DHCP)Copyright?1996-2003InternetSoftwareConsortium.Allrightsreserved.ipfilter(://.ipfilter、org)Copyright?1993-2002byDarrenReed、二?碩件兼容性與配置1支持得鎖件架構(gòu)mOnOwall只支持X86架構(gòu)。所支持得設(shè)備包括標(biāo)準(zhǔn)得PC設(shè)備,以及齊種嵌入設(shè)備。其日標(biāo)就是基TX86W嵌入PC。這意味著不包括非X86得設(shè)備■如基于MIPS得Linksys設(shè)紅基JARM得D?Link設(shè)備等。FreeBSD不支持MIPS與ARM平臺(tái).FreeBSD所支持得平臺(tái)可以閱:〃、f「eebsd、o「g/platfonns/index、html。其中列出得某些半臺(tái)還不能工作，如MIPS。H前mOnOwall只支持X86平臺(tái).2.2支持基TPC得便件mOnOwall可以運(yùn)行在任何標(biāo)準(zhǔn)X86PC,只耍求具備兩個(gè)網(wǎng)絡(luò)接【I.2.2.1驚低要求486CPU-任何486或更iftWCPU就足夠運(yùn)行mOnOwalh幾體需耍多島得CPU才滿足需求，取決于多珅因素，包括互聯(lián)網(wǎng)得接入帶寬,所需耍得并發(fā)連接數(shù)，使用什么功能零。對(duì)于大部分應(yīng)用,一個(gè)486或奔騰(Pentium)CPU就足夠了64M內(nèi)存-64MRAM就是官方建議得報(bào)少配置。mOnOwall得CD版本據(jù)報(bào)告在32MB內(nèi)存機(jī)器中也運(yùn)行得很好。當(dāng)使用mOnOwall得CF(pactFlash)或硬盤版本，少于64MB內(nèi)存時(shí)升級(jí)將失敗,這就是W為mOnOwall在RAM中保存所有東西，并沒(méi)有使用交換空間(swapspace)-當(dāng)內(nèi)存耗盡,沒(méi)有任何后援內(nèi)存支持。2.2、2建議得BIOS修改需要修改一吃BIOS設(shè)備,才能讓mOnOwall正確地工作。PlugandPlayOS很多主板得BIOS都有一項(xiàng)"PlugandPlayOS”設(shè)置其它類似得設(shè)置.這一項(xiàng)該設(shè)置為“NO”或??Disable".通過(guò)關(guān)閉這些選項(xiàng)，讓BIOS分配系統(tǒng)得資源而不留給操作系統(tǒng)來(lái)做。iliBIOS負(fù)責(zé)分配資源.FreeBSD(包括mOnOwall)運(yùn)行得繪好。禁止不必要得設(shè)備一般情況下不需要關(guān)心這一點(diǎn)?但如果遇到硬件相關(guān)得問(wèn)題?我們建議在BIOS中禁止所有不必要得設(shè)備，如果主機(jī)板中得聲卡,某種情況下得并口、串n■以及其它不使用得設(shè)備.如果不使用該設(shè)條，禁止它就是安全得?2.2.3存儲(chǔ)介質(zhì)mOnOwall可以安裝在CF(pactFlash),碩盤，或CD,配一軟驅(qū)保存配置?PactFlash需耍至少8MpactFlash仁硬盤一般得IDE或SCSI硬盤都可以(只耍就是FreeBSD支持得磁盤控制器卜CD/軟驅(qū)任何IDE或SCSICD-ROM/DVD驅(qū)動(dòng)器都可以啟動(dòng)mOnOwalL另外需耍一個(gè)1、44MB得軟驅(qū)（任何標(biāo)準(zhǔn)得軟驅(qū)）,一張用MS-DOS/FAT格式化C得軟盤。使用這種配置方法，您得PC應(yīng)該能夠從CD-ROM啟動(dòng)。ZipDriveselup從版本1、2b3開(kāi)始,mOnOwall可以在一個(gè)ZipDrive-1'運(yùn)行硬盤映象。使用寫(xiě)硬盤得方式來(lái)寫(xiě)乙pDrive?2、3支持得嵌入式設(shè)備以下得嵌入式設(shè)備町以運(yùn)行mOnOwalU2.3、1、SoekrisEngineering所右Soekris設(shè)備都與mOnOwall完全兼容。對(duì)于net4501與其它45xx型號(hào)，使用net45xx映象?對(duì)于net4801.使用net48xx映象。二-我公司防火墻配置流程3、1碩件一臺(tái)廢IU得毒龍。128內(nèi)存。18g?盤。兩塊D-link530TX網(wǎng)卡。IP分配規(guī)劃(1)mOnOwall網(wǎng)絡(luò)配置外接網(wǎng)k配置IP地址：218、69、98、91子網(wǎng)掩碼:255、255、255、248網(wǎng)關(guān):218、69.98.89DNS:202、99、96、68接局域網(wǎng)網(wǎng)卡配置IP:192.168、2、205子網(wǎng):255.255、255、0K通過(guò)控制臺(tái)進(jìn)行設(shè)置步驟一:按照以上介紹得方法制作好mOnOwalt把安裝右mOiKMaU得硬盤安裝到目標(biāo)機(jī)，在BIOS中設(shè)置從硬盤心動(dòng)加動(dòng)完成后出現(xiàn)圖7所示。這個(gè)就足主界面，也證明安裝完畢下面對(duì)菜單進(jìn)行簡(jiǎn)單介紹。1）Intciiaccs:assignnetworkpons（網(wǎng)卡:指定網(wǎng)絡(luò)端「I）,指定安裝得網(wǎng)卡，用那一塊連接WAN,那一塊連接LAN.2） SetUPLANIPAddress（設(shè)定LAN網(wǎng)卡得IP地址）。3） RcsctWcbGuiPassword（］E設(shè)Wcbgui密碼為Mono）;4） Rcsettofactoiydcfaults（恢fi成出廠設(shè)置）；5） Rebootsystem（甫新啟動(dòng)）。在這里我們輸入1并回車。系統(tǒng)提示就是否設(shè)置對(duì)VLAN（虛擬H域網(wǎng)）得支持，回答N（圖8）*系統(tǒng)接著提示:"EntertheLANinterfacenameor"a"forauto-<ietection?X輸入LAN網(wǎng)卡名稱或輸入afl動(dòng)檢測(cè)），在這里輸入''fxpO",回車后系統(tǒng)再提示"EntertheWANinterfacenameor"a"forauto-detection:"fep1回車后系統(tǒng)再提示"EntwtheOption1interfacenameor"a**forauto-dctcctiou（oruothingiffinished）:,回工鍵。提示Thefirewallwillrebootaftersavingthechanges.Doyouwanttopn>cced?（yii）輸入％系統(tǒng)將貳新啟動(dòng)。接若我們就在游覽器地址欄輸入二7192、168、2、205在用戶名處輸入admut密碼處輸入mom（默認(rèn)密碼，為了安全密碼不公開(kāi)，需要町以聯(lián)系我）就町以通過(guò)web進(jìn)行管理了。這就是主界面常規(guī)信息得設(shè)置苗先對(duì)系統(tǒng)得基本信息進(jìn)行設(shè)SjnOnOwall得管理界?還就是比較直觀明了得，遺憾得就是現(xiàn)在還沒(méi)有中文版本■單擊System卜?面得Generalsetup（常規(guī)設(shè)置）在這里我們町以進(jìn)行admin用戶密碼,dns服務(wù)器,Web管理界?得協(xié)議，端【I進(jìn)行設(shè)置。為了防火墻得安全我們建議對(duì)admin用戶密碼、訪問(wèn)協(xié)議、端H等信息進(jìn)行）R新設(shè)置。我把webGUIprotocol設(shè)為S.webGUIport設(shè)為8080QNS為:與202.99、96、68（請(qǐng)根據(jù)網(wǎng)絡(luò)環(huán)境進(jìn)行設(shè)置），按Save保存配配這時(shí)系統(tǒng)提示?敢新啟動(dòng)防火墻■點(diǎn)YES.防火墻將更啟.防火墻啟動(dòng)完成后,請(qǐng)用修改后得協(xié)議、端新密碼訪問(wèn)防火墻。固定IP方式設(shè)S靜書(shū)】P設(shè)置公司使用固定IP,請(qǐng)選擇選擇Static.在這里我選擇了StalicS⑻icIPIPlconfiguralion（靜態(tài)IP地址配it）Address（lP地址）輸入外網(wǎng)IP地址21&69、98、91/29,Gateway（網(wǎng)關(guān)）輸入外網(wǎng)網(wǎng)關(guān)地址218■69、98、89.提示:mOnOwallf網(wǎng)掩碼來(lái)用得就是CIDR標(biāo)記法■公司得掩碼就是255.255、255>248、根據(jù)換算得出掩了29位3?搭建VPNfJR務(wù)器

由于公司右VPN得需求，