软件设置
前面,我们将防火墙的硬件部分基本安装完毕,要嵌入防火墙核心了,市面上的大部分硬件防火墙都装了UNIX 系统 +软件防火墙模块,看来这套基于UNIX系统的软件防火墙模块几乎可以称作是硬件防火墙灵魂,有了它,这台PC机就变成一台“号称支持100M带宽、并发12000个连接”的硬件防火墙了,可以拿到市场上叫出20万的高价了。
那么我们怎么才能获得这样一套软件呢?当然,各家防火墙厂商对自己的软件都是深藏不露,绝对不会拿出来给大家自由使用的,那么还有其他办法吗?
当然有,那就是使用开源的防火墙软件,现在国内外有很多软件开发机构,矢志开发基于FREEBSD、LINUX等开源操作系统的防火墙软件,并且将软件放在网络上供大家自由下载、测试,共同完善,其中有很多软件的性能已经达到了相当高的水平,性能不亚于一些名牌防火墙产品,其中m0n0wall是笔者最欣赏的一个,我认为m0n0wall运行稳定、功能强大、 技术 比较 成熟 ,完全可以与一些国内的名牌专业防火墙产品媲美。
m0n0wall对于国内的软件路由器 爱好者 来说早已不是什么新鲜事物,不过大家多数使用它来diy软件路由器,而忽略了它强大的防火墙功能,和其他常常被用来作为软件路由器核心的软件相比,m0n0的防火墙性能明显胜出一筹,对于来自外界的攻击和入侵,默认一律拒绝,可以很好地保护内网的安全,你看人家的名字就是wall啊,wall是什么?就是防火墙啊,可见软件作者的初衷并不是仅仅将它作为一款路由器软件,而是侧重在防火墙上。
m0n0wall的安装和设置都非常简单快捷,特别适合初学者使用,软件安装好无需设置繁琐的防火墙规则,默认设置下即可为内网筑起一道强大的防火墙,一般的黑客和木马根本无法穿透这道防火墙,我的许多朋友长期使用m0n0做局域网防火墙,迄今为止还没有谁发现有人能破解它,当然,我不是说m0n0wall是坚不可摧的,我的意思是说,m0n0wall作为一般中小型局域网的防护屏障是很好的选择,毕竟水平超群的黑客不会费劲去攻击这些小目标。理论上讲,就和世界上没有一把绝对安全的锁一样,世界上也没有一台绝对安全的防火墙,在超级黑客眼里,一切都是可以穿透的,希望大家懂得这个道理,想成为一名优秀的网络安全维护人员,除了技术过硬之外,更重要的一点就是务必注意少得罪人。
m0n0wall固然好,但是因为是舶来品,国人使用起来往往还有点不适应,国内的一些发烧友和软件机构,根据国情对于m0n0wall做了不少优化工作,这些优化版本,减少了原版的bug,加强了稳定性和功能,操作上更加适合国人的习惯和口味,这其中由千际公司的工程师鲁承明先生优化的版本一直受到网友的欢迎,优化后的版本依旧是 免费 软件,供大家免费下载使用,现在最新的版本是1000g-1.0-060202版,在这里 [url]http://www.1000gwall.com/1000gwall.rar[/url] 可以下载,该版本支持安装到普通硬盘、电子盘、CF卡上使用。
我先下载了防火墙软件模块,但是如何将这个模块安装进电子盘呢,m0n0wall不是windows下开发的软件,而是基于一种陌生的操作系统freebsd,这个系统比linux更加让人感到陌生,但是freebsd具有神秘的稳定性,许多高端的 服务 器都采用这种操作系统,常常一开机就是一年不重启一次, 很少 有病毒可以侵袭它,一般的黑客对它也是束手无策。
既然是基于陌生的操作系统,m0n0的安装自然也就有点与众不同,没有什么安装文件可以让我们双击,我们需要下载专门的“烧录”工具来将防火墙模块“烧”进硬件里。这个工具就是physdiskwrite.exe,刚才下载的那个包含防火墙模块的压缩包里有两个文件1000g-1.0-060202.img 和physdiskwrite.exe 其中physdiskwrite.exe就是烧录工具,另一个1000g-1.0-060202.img就是防火墙模块软件 ,好了,万事齐备,我们正式开始安装。
先把电子盘插入一台安装有windows操作系统的PC电脑的主板IDE接口上,点击开始菜单——运行。
输入"CMD"命令,调出DOS命令窗口,记住一定要这样调出窗口,切记千万不能通过“点击开始菜单——程序——附件——C:\命令提示符”这种方式来调出窗口,否则将不能正常“烧录”。
将刚才下载的防火墙软件模块1000g-1.0-060202.img和physdiskwrite.exe烧录工具拷贝到同一个目录下,然后执行如下命令:physdiskwrite 1000g-1.0-060202.img ,如果不是往电子盘烧录,而是往IDE硬盘烧录,当你的IDE硬盘容量超过800MB,请添加参数 -u,也就是这样:physdiskwrite -u 1000g-1.0-060202.img
注意:在烧录到大于800MB的硬盘时,-u参数一定要加在镜像文件名的前面,否则会出现问题
回车后,屏幕显示如下,显示出两个硬盘的参数,注意Model后面的名称,st3160021A是指的IDE硬盘,而PQI IDE DiskOnModule则是指的电子盘,别忘了今天咱们用的电子盘是PQI牌的,所以一看带有PQI字样,就知道这是电子盘。屏幕下面出现一行字,让选择哪个硬盘是要写入防火墙模块的,自然是选择PQI所在的1号,此处填写1,回车。
屏幕提示,确认是否正确,是否真的写入,当然选Y。
几秒钟,防火墙模块即被写入电子盘,也就是被“烧录”、“嵌入”进硬件里。
将电子盘重新插入咱们组装的1U防火墙那台机器里,启动系统,看到屏幕上飞速滑过一串串神秘的字母和数字,和windows的启动截然不同。
最终,屏幕停在这里,显示6个选项。
先选择1,是为了指定防火墙的wan口和lan口到两个网卡上。屏幕提示询问是否设置VLANs,选择N
现在输入两个网卡名称,先给lAN口指定网卡rl0,再给WAN口指定网卡xl0,注意网卡的名称请看屏幕左上角都有显示。
网卡绑定好后,输入N,回车。
屏幕显示LAN和WAN口的绑定网卡名称,并提示防火墙将保存这些设置并重启,是否继续?当然要选Y
重启之后,选择选项2,为了给LAN口绑定的网卡指定新的IP地址。
m0n0wall默认的LAN网卡的IP地址是192.168.1.1,端口是80,但是我们单位的局域网使用的网段是192.168.123.x,所以要把防火墙的LAN口IP地址改成这个网段的,我输入的是:192.168.123.21
子网掩码输入24,这个代表的是掩码:255.255.255.0,回车。
幕提示是否开启DHCP服务,当然要开启,选择Y,这样防火墙可以给内网的客户机自动分配IP地址。
下面输入自动分配IP地址的起始IP地址,我输入192.168.123.22
再输入自动分配IP地址的终结IP地址,我输入 192.168.123.122
再回车。
回到主菜单。
输入选项6,测试网络是否通。此时我已经把网线插入防火墙的LAN口,输入局域网网关的IP,ping一下,哦,通了!有时候可能会弄不清到底哪个网卡是LAN,这时可以来回将网线分别插入两个网卡测试,那个通那个就是,另一个网卡就是连接外网的WAN口。
现在专业的防火墙都可以通过IE浏览器的WEB界面来远程管理,咱们的防火墙自然也不例外。在局域网里任何一台客户机的浏览器的地址栏里输入防火墙的IP地址: [url]http://192.168.123.21 [/url] 不用输入端口,防火墙默认是80端口,立即弹出防火墙的登陆界面,要求输入用户名和密码,我输入防火墙默认用户名admin 和密码 1000g 点击确定,进入防火墙管理界面。
看看,界面够酷吧,和一般硬件防火墙的管理界面没什么区别。
点击左边菜单的system——general setup,在这里可以更改hostname,你可以改成任意自己喜欢的名字和符号,我改成1000gwall,domain改成1000gwall.com,下面的DNS server填入当地常用的dns服务器的IP地址。—在向下的选项usename和password可以更改防火墙的默认登陆用户名和密码。webgui port这个选项可以更改防火墙的web登陆端口号,默认是80,我给改成8080,这样就可以通过诸如: [url]http://192.168.123.21:8080[/url] 来访问防火墙的管理界面了,这样可以防止黑客利用默认端口攻击防火墙。
修改完毕,点击页面下面的save,保存修改。屏幕显示改变已经保存生效。
现在的硬件防火墙很多都带有共享上网的路由功能,咱们这个也不例外,我将用这台防火墙为整个单位的局域网提供共享上网功能,替换原有的那个老路由器,大家都知道现在用来共享上网的宽带路由器都带有pppoe拨号功能,能够自动通过一条ADSL宽带拨号上网,然后让局域网里的全部电脑都共享上网,咱们的这台防火墙也有这个能力,下面选择菜单里wan选项进行设置。 在TYPE(类型)中有Static(固定)、DHCP(动态)、PPPoE、PPTP、BigPond等五种类型,这里我们介绍固定IP和ADSL的设置,另外的设置方式类似。
a. 固定IP方式设置
如果您使用的固定IP请选择选择Static,在这里我选择了Static,Static IP configuration(静态IP地址配置)?IP Address(IP地址)输入外网IP地址219.159.82.XXX/30,Gateway(网关)输入外网网关地址219.159.82.xxx。
提示:这台防火墙子网掩码采用的是CIDR标记法,如255.255.255.0用/24表示,255.255.0.0用/16表示,255.0.0.0用/8表示等,实际上x中的就是子网掩码二进制表示的数位1的个数,如255.255.255.252,用CIDR标记为/30。
b. ADSL宽带设置
如果你使用的是ADSL,请在type中选择PPPoE在PPPoE Configuration下的username(用户名)处输入用户名,Password处输入密码,Service name(服务商名称)可以随意输入或留空,最后点击Save保存配置。
提示:只需设置一种上网方式。
设置好ADSL帐号的用户名和密码之后,选择保存设置,修改的选项立刻生效,将防火墙的wan接口接入adsl猫,lan口接入交换机或者集线器的任意一个接口(记住是任意一个lan接口而不是集线器级联用的uplink接口),其他客户机电脑接入集线器或者交换机的其他lan口,重启防火墙之后,防火墙即可自动拨号上网,并给各个客户机自动分配IP地址,局域网用户即可共享上网,当然这时大家已经处于防火墙的保护之下了。
现在许多防火墙还具有动态主机功能,就是内置了一些动态主机软件,例如花生壳客户端、每步动态域名客户端,让其他互联网用户可以通过动态域名访问到防火墙所在的局域网内的服务器,这个功能咱们的防火墙也有,点击dynamic dns选项进行设置,首先将Enable选项勾选上,启动动态域名服务。
在咱们的防火墙里默认内置了许多国际上常见的动态域名的客户端,我喜欢使用其中的hn.org,去hn.org网站注册一个用户名,在防火墙下拉菜单里选择使用hn.org的客户端,然后输入刚刚注册的用户名和密码就可以使用了,互联网上的网民只要输入你的动态域名,例如 1000g.hn.org即可访问到防火墙所在的公网IP地址,再通过在防火墙上设置端口映射,即可让外界的网民访问到内网的服务器,端口映射的方法我下面接着说。
发布Web和ftp 服务 器
我们单位局域网里安装有对外开放的web和ftp服务器,配置防火墙可以让外界网民访问web和ftp服务器。
步骤一:点击Firewall——NAT,点击Inbound的+号增加配置信息。
步骤二:配置Web端口映射。其中Interface设置为WAN,Protocol设置为tcp,External port range设置为http, NAT IP设置为192.168.123.88,Local port设置为http,Description(描述信息)设置为web Server,最后Auto-add a firewall rule to permit traffic through this NAT rule一定要选定,否则必须手动在Firewall中rules 加规则,所有设置如图15所示,点击save键。
步骤三:配置FTP端口映射。其中Interface设置为WAN,Protocol设置为tcp,External port range设置为FTP, NAT IP设置为192.168.123.88,Local port设置为FTP,Description(描述信息)设置为FTP Server,最后Auto-add a firewall rule to permit traffic through this NAT rule一定要选定,否则必须手动在Firewall中rules 加规则,点击save键,再点击“apply Changes”(修改确认), 系统 提示应用生效,通过查看Firewall rules,发现系统已经有二条新加入的规则。在外网输入动态域名就可以访问发布的web服务器了。
依此类推,可以设置好远程桌面3389、smtp、pop3等常用的端口映射,如下图显示。
如果您并不想用这台防火墙给局域网做防护,而是想用于一台服务器的防护,可以选择firewall:NAT里面的1:1模式,这样,所有访问都将经过防火墙过滤后转发到同一个IP地址上。
硬件防火墙都可以监控流量和资源占用率,咱们的防火墙当然也可以了,选择status——system 出现System information界面,点击上面的CPU usage——view graph选项,这时出现CPU占用率的曲线图,但是现在显示不 正常 ,原来必须安装一个小小的插件,点击这里 [url]http://www.1000gwall.com/1000gwallview.rar[/url] 即可下载这个插件。
在客户端电脑下载插件安装之后,登陆防火墙管理界面后即可显示现在的CPU占用率,现在的占用率很低。
结尾:
一切顺利,最后要把藏在机箱内的两个网卡的接口引出来到前面板上,自己 动手 做了两条网线,把网线一头插入网卡。
网线另一头插入1U防火墙机箱前面板的前置网络接口上,这样就把百兆网卡的接口引出到机箱的前面板上了。
一切搞好,拧上机箱盖子,好了!万事大吉,来欣赏一下我们的硬件防火墙吧!
怎么样,看 外观 上谁敢说它不专业?呵呵,不仅外观专业,使用起来更专业呢,来吧,我们快来使用一下。
对了,这个1U防火墙机箱的前面板是可以更换的,现在电信和网通宽带存在速度瓶颈,所以很多网吧都买了昂贵的双WAN口路由器,来同时接入电信和网通线路,保证玩家们无论玩哪个线路上的 游戏 都通畅。假如你要组装一台双WAN口的大型网吧路由器,那么就需要3个网卡口,这是你可以换上下面这个带有三个网口的前面板。
我用自己组装的防火墙替换下公司的老旧宽带路由器,将局域网内的客户机的默认网关都改成防火墙的IP地址,防火墙一开机,很快局域网里面的电脑就都可以上网了,QQ、MSN、FTP、Email等等 都不用特殊设置,和直接上网没有区别,局域网里79台电脑,上网速度都很快,感觉防火墙的拨号连接速度和上网速度,都明显比原来的老路由器速度快,而且咱们防火墙默认即可断线重拨,重拨能力特强,几乎感觉不到断线,不像一般的家用宽带路由器,经常要重启才能恢复上线。
有天晚上我把防火墙拔下来拿到一家200台电脑的网吧进行测试,发现上网速度和打游戏的速度依然很快,性能比网吧原来用的名牌硬件路由器还好,网吧老板特高兴,让我也给他装一台。对于防火墙的防范攻击性能,我没有做过多的测试,只是利用一些测试网站做了粗略检测,感觉不错,用在我们这样的普通单位,这样的防护效果已经足够了,毕竟没有什么高级黑客会费劲闯入这样无关紧要的地方来过瘾,大家看看检测结果。
怎么样不赖吧,还不赶紧动手!装一台玩玩吧。希望大家能拿出更加详细更加合理的组装方案和设置方法、测试报告来分享。
前面,我们将防火墙的硬件部分基本安装完毕,要嵌入防火墙核心了,市面上的大部分硬件防火墙都装了UNIX 系统 +软件防火墙模块,看来这套基于UNIX系统的软件防火墙模块几乎可以称作是硬件防火墙灵魂,有了它,这台PC机就变成一台“号称支持100M带宽、并发12000个连接”的硬件防火墙了,可以拿到市场上叫出20万的高价了。
那么我们怎么才能获得这样一套软件呢?当然,各家防火墙厂商对自己的软件都是深藏不露,绝对不会拿出来给大家自由使用的,那么还有其他办法吗?
当然有,那就是使用开源的防火墙软件,现在国内外有很多软件开发机构,矢志开发基于FREEBSD、LINUX等开源操作系统的防火墙软件,并且将软件放在网络上供大家自由下载、测试,共同完善,其中有很多软件的性能已经达到了相当高的水平,性能不亚于一些名牌防火墙产品,其中m0n0wall是笔者最欣赏的一个,我认为m0n0wall运行稳定、功能强大、 技术 比较 成熟 ,完全可以与一些国内的名牌专业防火墙产品媲美。
m0n0wall对于国内的软件路由器 爱好者 来说早已不是什么新鲜事物,不过大家多数使用它来diy软件路由器,而忽略了它强大的防火墙功能,和其他常常被用来作为软件路由器核心的软件相比,m0n0的防火墙性能明显胜出一筹,对于来自外界的攻击和入侵,默认一律拒绝,可以很好地保护内网的安全,你看人家的名字就是wall啊,wall是什么?就是防火墙啊,可见软件作者的初衷并不是仅仅将它作为一款路由器软件,而是侧重在防火墙上。
m0n0wall的安装和设置都非常简单快捷,特别适合初学者使用,软件安装好无需设置繁琐的防火墙规则,默认设置下即可为内网筑起一道强大的防火墙,一般的黑客和木马根本无法穿透这道防火墙,我的许多朋友长期使用m0n0做局域网防火墙,迄今为止还没有谁发现有人能破解它,当然,我不是说m0n0wall是坚不可摧的,我的意思是说,m0n0wall作为一般中小型局域网的防护屏障是很好的选择,毕竟水平超群的黑客不会费劲去攻击这些小目标。理论上讲,就和世界上没有一把绝对安全的锁一样,世界上也没有一台绝对安全的防火墙,在超级黑客眼里,一切都是可以穿透的,希望大家懂得这个道理,想成为一名优秀的网络安全维护人员,除了技术过硬之外,更重要的一点就是务必注意少得罪人。
m0n0wall固然好,但是因为是舶来品,国人使用起来往往还有点不适应,国内的一些发烧友和软件机构,根据国情对于m0n0wall做了不少优化工作,这些优化版本,减少了原版的bug,加强了稳定性和功能,操作上更加适合国人的习惯和口味,这其中由千际公司的工程师鲁承明先生优化的版本一直受到网友的欢迎,优化后的版本依旧是 免费 软件,供大家免费下载使用,现在最新的版本是1000g-1.0-060202版,在这里 [url]http://www.1000gwall.com/1000gwall.rar[/url] 可以下载,该版本支持安装到普通硬盘、电子盘、CF卡上使用。
我先下载了防火墙软件模块,但是如何将这个模块安装进电子盘呢,m0n0wall不是windows下开发的软件,而是基于一种陌生的操作系统freebsd,这个系统比linux更加让人感到陌生,但是freebsd具有神秘的稳定性,许多高端的 服务 器都采用这种操作系统,常常一开机就是一年不重启一次, 很少 有病毒可以侵袭它,一般的黑客对它也是束手无策。
既然是基于陌生的操作系统,m0n0的安装自然也就有点与众不同,没有什么安装文件可以让我们双击,我们需要下载专门的“烧录”工具来将防火墙模块“烧”进硬件里。这个工具就是physdiskwrite.exe,刚才下载的那个包含防火墙模块的压缩包里有两个文件1000g-1.0-060202.img 和physdiskwrite.exe 其中physdiskwrite.exe就是烧录工具,另一个1000g-1.0-060202.img就是防火墙模块软件 ,好了,万事齐备,我们正式开始安装。
先把电子盘插入一台安装有windows操作系统的PC电脑的主板IDE接口上,点击开始菜单——运行。
输入"CMD"命令,调出DOS命令窗口,记住一定要这样调出窗口,切记千万不能通过“点击开始菜单——程序——附件——C:\命令提示符”这种方式来调出窗口,否则将不能正常“烧录”。
将刚才下载的防火墙软件模块1000g-1.0-060202.img和physdiskwrite.exe烧录工具拷贝到同一个目录下,然后执行如下命令:physdiskwrite 1000g-1.0-060202.img ,如果不是往电子盘烧录,而是往IDE硬盘烧录,当你的IDE硬盘容量超过800MB,请添加参数 -u,也就是这样:physdiskwrite -u 1000g-1.0-060202.img
注意:在烧录到大于800MB的硬盘时,-u参数一定要加在镜像文件名的前面,否则会出现问题
回车后,屏幕显示如下,显示出两个硬盘的参数,注意Model后面的名称,st3160021A是指的IDE硬盘,而PQI IDE DiskOnModule则是指的电子盘,别忘了今天咱们用的电子盘是PQI牌的,所以一看带有PQI字样,就知道这是电子盘。屏幕下面出现一行字,让选择哪个硬盘是要写入防火墙模块的,自然是选择PQI所在的1号,此处填写1,回车。
屏幕提示,确认是否正确,是否真的写入,当然选Y。
几秒钟,防火墙模块即被写入电子盘,也就是被“烧录”、“嵌入”进硬件里。
将电子盘重新插入咱们组装的1U防火墙那台机器里,启动系统,看到屏幕上飞速滑过一串串神秘的字母和数字,和windows的启动截然不同。
最终,屏幕停在这里,显示6个选项。
先选择1,是为了指定防火墙的wan口和lan口到两个网卡上。屏幕提示询问是否设置VLANs,选择N
现在输入两个网卡名称,先给lAN口指定网卡rl0,再给WAN口指定网卡xl0,注意网卡的名称请看屏幕左上角都有显示。
网卡绑定好后,输入N,回车。
屏幕显示LAN和WAN口的绑定网卡名称,并提示防火墙将保存这些设置并重启,是否继续?当然要选Y
重启之后,选择选项2,为了给LAN口绑定的网卡指定新的IP地址。
m0n0wall默认的LAN网卡的IP地址是192.168.1.1,端口是80,但是我们单位的局域网使用的网段是192.168.123.x,所以要把防火墙的LAN口IP地址改成这个网段的,我输入的是:192.168.123.21
子网掩码输入24,这个代表的是掩码:255.255.255.0,回车。
幕提示是否开启DHCP服务,当然要开启,选择Y,这样防火墙可以给内网的客户机自动分配IP地址。
下面输入自动分配IP地址的起始IP地址,我输入192.168.123.22
再输入自动分配IP地址的终结IP地址,我输入 192.168.123.122
再回车。
回到主菜单。
输入选项6,测试网络是否通。此时我已经把网线插入防火墙的LAN口,输入局域网网关的IP,ping一下,哦,通了!有时候可能会弄不清到底哪个网卡是LAN,这时可以来回将网线分别插入两个网卡测试,那个通那个就是,另一个网卡就是连接外网的WAN口。
现在专业的防火墙都可以通过IE浏览器的WEB界面来远程管理,咱们的防火墙自然也不例外。在局域网里任何一台客户机的浏览器的地址栏里输入防火墙的IP地址: [url]http://192.168.123.21 [/url] 不用输入端口,防火墙默认是80端口,立即弹出防火墙的登陆界面,要求输入用户名和密码,我输入防火墙默认用户名admin 和密码 1000g 点击确定,进入防火墙管理界面。
看看,界面够酷吧,和一般硬件防火墙的管理界面没什么区别。
点击左边菜单的system——general setup,在这里可以更改hostname,你可以改成任意自己喜欢的名字和符号,我改成1000gwall,domain改成1000gwall.com,下面的DNS server填入当地常用的dns服务器的IP地址。—在向下的选项usename和password可以更改防火墙的默认登陆用户名和密码。webgui port这个选项可以更改防火墙的web登陆端口号,默认是80,我给改成8080,这样就可以通过诸如: [url]http://192.168.123.21:8080[/url] 来访问防火墙的管理界面了,这样可以防止黑客利用默认端口攻击防火墙。
修改完毕,点击页面下面的save,保存修改。屏幕显示改变已经保存生效。
现在的硬件防火墙很多都带有共享上网的路由功能,咱们这个也不例外,我将用这台防火墙为整个单位的局域网提供共享上网功能,替换原有的那个老路由器,大家都知道现在用来共享上网的宽带路由器都带有pppoe拨号功能,能够自动通过一条ADSL宽带拨号上网,然后让局域网里的全部电脑都共享上网,咱们的这台防火墙也有这个能力,下面选择菜单里wan选项进行设置。 在TYPE(类型)中有Static(固定)、DHCP(动态)、PPPoE、PPTP、BigPond等五种类型,这里我们介绍固定IP和ADSL的设置,另外的设置方式类似。
a. 固定IP方式设置
如果您使用的固定IP请选择选择Static,在这里我选择了Static,Static IP configuration(静态IP地址配置)?IP Address(IP地址)输入外网IP地址219.159.82.XXX/30,Gateway(网关)输入外网网关地址219.159.82.xxx。
提示:这台防火墙子网掩码采用的是CIDR标记法,如255.255.255.0用/24表示,255.255.0.0用/16表示,255.0.0.0用/8表示等,实际上x中的就是子网掩码二进制表示的数位1的个数,如255.255.255.252,用CIDR标记为/30。
b. ADSL宽带设置
如果你使用的是ADSL,请在type中选择PPPoE在PPPoE Configuration下的username(用户名)处输入用户名,Password处输入密码,Service name(服务商名称)可以随意输入或留空,最后点击Save保存配置。
提示:只需设置一种上网方式。
设置好ADSL帐号的用户名和密码之后,选择保存设置,修改的选项立刻生效,将防火墙的wan接口接入adsl猫,lan口接入交换机或者集线器的任意一个接口(记住是任意一个lan接口而不是集线器级联用的uplink接口),其他客户机电脑接入集线器或者交换机的其他lan口,重启防火墙之后,防火墙即可自动拨号上网,并给各个客户机自动分配IP地址,局域网用户即可共享上网,当然这时大家已经处于防火墙的保护之下了。
现在许多防火墙还具有动态主机功能,就是内置了一些动态主机软件,例如花生壳客户端、每步动态域名客户端,让其他互联网用户可以通过动态域名访问到防火墙所在的局域网内的服务器,这个功能咱们的防火墙也有,点击dynamic dns选项进行设置,首先将Enable选项勾选上,启动动态域名服务。
在咱们的防火墙里默认内置了许多国际上常见的动态域名的客户端,我喜欢使用其中的hn.org,去hn.org网站注册一个用户名,在防火墙下拉菜单里选择使用hn.org的客户端,然后输入刚刚注册的用户名和密码就可以使用了,互联网上的网民只要输入你的动态域名,例如 1000g.hn.org即可访问到防火墙所在的公网IP地址,再通过在防火墙上设置端口映射,即可让外界的网民访问到内网的服务器,端口映射的方法我下面接着说。
发布Web和ftp 服务 器
我们单位局域网里安装有对外开放的web和ftp服务器,配置防火墙可以让外界网民访问web和ftp服务器。
步骤一:点击Firewall——NAT,点击Inbound的+号增加配置信息。
步骤二:配置Web端口映射。其中Interface设置为WAN,Protocol设置为tcp,External port range设置为http, NAT IP设置为192.168.123.88,Local port设置为http,Description(描述信息)设置为web Server,最后Auto-add a firewall rule to permit traffic through this NAT rule一定要选定,否则必须手动在Firewall中rules 加规则,所有设置如图15所示,点击save键。
步骤三:配置FTP端口映射。其中Interface设置为WAN,Protocol设置为tcp,External port range设置为FTP, NAT IP设置为192.168.123.88,Local port设置为FTP,Description(描述信息)设置为FTP Server,最后Auto-add a firewall rule to permit traffic through this NAT rule一定要选定,否则必须手动在Firewall中rules 加规则,点击save键,再点击“apply Changes”(修改确认), 系统 提示应用生效,通过查看Firewall rules,发现系统已经有二条新加入的规则。在外网输入动态域名就可以访问发布的web服务器了。
依此类推,可以设置好远程桌面3389、smtp、pop3等常用的端口映射,如下图显示。
如果您并不想用这台防火墙给局域网做防护,而是想用于一台服务器的防护,可以选择firewall:NAT里面的1:1模式,这样,所有访问都将经过防火墙过滤后转发到同一个IP地址上。
硬件防火墙都可以监控流量和资源占用率,咱们的防火墙当然也可以了,选择status——system 出现System information界面,点击上面的CPU usage——view graph选项,这时出现CPU占用率的曲线图,但是现在显示不 正常 ,原来必须安装一个小小的插件,点击这里 [url]http://www.1000gwall.com/1000gwallview.rar[/url] 即可下载这个插件。
在客户端电脑下载插件安装之后,登陆防火墙管理界面后即可显示现在的CPU占用率,现在的占用率很低。
结尾:
一切顺利,最后要把藏在机箱内的两个网卡的接口引出来到前面板上,自己 动手 做了两条网线,把网线一头插入网卡。
网线另一头插入1U防火墙机箱前面板的前置网络接口上,这样就把百兆网卡的接口引出到机箱的前面板上了。
一切搞好,拧上机箱盖子,好了!万事大吉,来欣赏一下我们的硬件防火墙吧!
怎么样,看 外观 上谁敢说它不专业?呵呵,不仅外观专业,使用起来更专业呢,来吧,我们快来使用一下。
对了,这个1U防火墙机箱的前面板是可以更换的,现在电信和网通宽带存在速度瓶颈,所以很多网吧都买了昂贵的双WAN口路由器,来同时接入电信和网通线路,保证玩家们无论玩哪个线路上的 游戏 都通畅。假如你要组装一台双WAN口的大型网吧路由器,那么就需要3个网卡口,这是你可以换上下面这个带有三个网口的前面板。
我用自己组装的防火墙替换下公司的老旧宽带路由器,将局域网内的客户机的默认网关都改成防火墙的IP地址,防火墙一开机,很快局域网里面的电脑就都可以上网了,QQ、MSN、FTP、Email等等 都不用特殊设置,和直接上网没有区别,局域网里79台电脑,上网速度都很快,感觉防火墙的拨号连接速度和上网速度,都明显比原来的老路由器速度快,而且咱们防火墙默认即可断线重拨,重拨能力特强,几乎感觉不到断线,不像一般的家用宽带路由器,经常要重启才能恢复上线。
有天晚上我把防火墙拔下来拿到一家200台电脑的网吧进行测试,发现上网速度和打游戏的速度依然很快,性能比网吧原来用的名牌硬件路由器还好,网吧老板特高兴,让我也给他装一台。对于防火墙的防范攻击性能,我没有做过多的测试,只是利用一些测试网站做了粗略检测,感觉不错,用在我们这样的普通单位,这样的防护效果已经足够了,毕竟没有什么高级黑客会费劲闯入这样无关紧要的地方来过瘾,大家看看检测结果。
怎么样不赖吧,还不赶紧动手!装一台玩玩吧。希望大家能拿出更加详细更加合理的组装方案和设置方法、测试报告来分享。
Quote:
freeBSd 发表于:2006-04-21 14:20:59
呵呵,文章不错,m0n0新版功能较强,也非常稳定,对主机性能要求不高,我用一台k6-266+32M内存+杂牌主板带100台网吧机连续两个月没停机,但对网卡要求高,推荐用intel或3com的网卡。
因为长时间运作,稳定至关重要,推荐用低功耗套装,比如VIA-C3等,硬盘只要10M就行,硬盘得设成闲置时间到一定值停止运作(m0n0只启动时用到硬盘)
呵呵,文章不错,m0n0新版功能较强,也非常稳定,对主机性能要求不高,我用一台k6-266+32M内存+杂牌主板带100台网吧机连续两个月没停机,但对网卡要求高,推荐用intel或3com的网卡。
因为长时间运作,稳定至关重要,推荐用低功耗套装,比如VIA-C3等,硬盘只要10M就行,硬盘得设成闲置时间到一定值停止运作(m0n0只启动时用到硬盘)
Quote:
yftg 发表于:2006-04-22 09:56:59 0 0
我用Ros 不用这个,这个还是不太稳定,机器到800台以上经常掉线路,起初以为是机器的原因,在硬件上下功夫,后来同样的硬件用Ros,2900多台机器同时走4条千兆光缆,cpu占用率只有40%多一点。不过小网吧用这个也不错, 方便不少!呵呵,用1U的机器对环境有一定要求,灰尘大的地方还是用4U的算了,不然用不了多久就歇菜~
我用Ros 不用这个,这个还是不太稳定,机器到800台以上经常掉线路,起初以为是机器的原因,在硬件上下功夫,后来同样的硬件用Ros,2900多台机器同时走4条千兆光缆,cpu占用率只有40%多一点。不过小网吧用这个也不错, 方便不少!呵呵,用1U的机器对环境有一定要求,灰尘大的地方还是用4U的算了,不然用不了多久就歇菜~
Quote:
dds 发表于:2006-04-19 21:28:18 0 0
顺便指出一点WAN接口和LAN接口是有顺序的!LAN: Net 0 (next to the console port)是sis0, WAN: Net 1口是sis1。
顺便指出一点WAN接口和LAN接口是有顺序的!LAN: Net 0 (next to the console port)是sis0, WAN: Net 1口是sis1。
Quote:
dds 发表于:2006-04-19 18:06:14 0 0
非常感谢唐兄的文章!我直接去MONO的网站看了有最新1.22版本的下载,日期是Release date: 04/02/2006,你文章里面的好象是老版本的对把,大家可以下最新的用下,也许有更多新发现!不要忘记到时候告诉我们哦!附上最新版本地址 [url]http://m0n0.ch/wall/downloads.php physdiskwrite[/url]也有最新版本的下载,可以解决一些DOM盘在一些主板上无法使用的问题。希望大家有把使用的感想多发上来,大家分享下!
非常感谢唐兄的文章!我直接去MONO的网站看了有最新1.22版本的下载,日期是Release date: 04/02/2006,你文章里面的好象是老版本的对把,大家可以下最新的用下,也许有更多新发现!不要忘记到时候告诉我们哦!附上最新版本地址 [url]http://m0n0.ch/wall/downloads.php physdiskwrite[/url]也有最新版本的下载,可以解决一些DOM盘在一些主板上无法使用的问题。希望大家有把使用的感想多发上来,大家分享下!
Quote:
APPLE 发表于:2006-04-18 19:25:08 0 0
呵呵,漏了一个地方要告诉大家
估计要搞的人一般都不会去买一个电子盘
都是用手上的旧硬盘来做
老唐也忙了告诉大家
由于写进去的是镜像文件
所以这个硬盘上所有的分区都要删掉..
大家可以用fdisk来删,或者其他软件.
我是直接把硬盘挂到另一台机上,
直接在XP下用磁盘管理服务将所有分区都删掉..
呵..
写5M多的文件用了一个20G的硬盘
真有点浪费..
不过没办法,
公司里 最小的硬盘就是20G的啦
呵呵,漏了一个地方要告诉大家
估计要搞的人一般都不会去买一个电子盘
都是用手上的旧硬盘来做
老唐也忙了告诉大家
由于写进去的是镜像文件
所以这个硬盘上所有的分区都要删掉..
大家可以用fdisk来删,或者其他软件.
我是直接把硬盘挂到另一台机上,
直接在XP下用磁盘管理服务将所有分区都删掉..
呵..
写5M多的文件用了一个20G的硬盘
真有点浪费..
不过没办法,
公司里 最小的硬盘就是20G的啦
Quote:
APPLE 发表于:2006-04-18 19:22:23 0 0
我今日按照老唐的方法
搞了一台..
老唐搞错了两个地方
超过800M
physdiskwrite 1000g-1.0-060202.img -u
这样写入不行的
参数应该加左可执行文件名之后
我刚刚试来试去都不行
后来改成
physdiskwrite -u 1000g-1.0-060202.img
就行了
还有一个就是第15页那里.
当两块网卡绑定好后.
引用原文:“网卡绑定好后,输入N,回车。”
这里是不用输入N。
输了就会弹同一个提示,
图上 文字:
Enter the Optional 1 interface name or 'a' for auto-detection (or nothing if finished)
直接回车就会出现问你是不是要保存的提示了,
这时再选Y,
防火墙就会重启,
之后的步骤都是正确的啦!
我今日按照老唐的方法
搞了一台..
老唐搞错了两个地方
超过800M
physdiskwrite 1000g-1.0-060202.img -u
这样写入不行的
参数应该加左可执行文件名之后
我刚刚试来试去都不行
后来改成
physdiskwrite -u 1000g-1.0-060202.img
就行了
还有一个就是第15页那里.
当两块网卡绑定好后.
引用原文:“网卡绑定好后,输入N,回车。”
这里是不用输入N。
输了就会弹同一个提示,
图上 文字:
Enter the Optional 1 interface name or 'a' for auto-detection (or nothing if finished)
直接回车就会出现问你是不是要保存的提示了,
这时再选Y,
防火墙就会重启,
之后的步骤都是正确的啦!
本文转自starger51CTO博客,原文链接:http://blog.51cto.com/starger/18571
,如需转载请自行联系原作者
