藍色情懷

關於m0n0wall的安裝及配置

一、   認識M0n0wall

M0n0wall 是基於FreeBsd核心開發的免費軟體防火牆。m0n0wall提供基於web的配置管理、提供VPN功能、支持DHCP Server、DNS轉發、動態DNS、Ipsec、流量控制、無線網絡支援等功能。該系統最新版本是1.2b8，最穩定版是1.1版，本文以1.1版進 行介紹。

 
<圖1—m0n0wall標誌>

二、m0n0wall安裝

  m0n0wall可以安裝在IDE硬碟、電子硬碟（DOM）、CF 記憶卡、光碟＋軟碟上。任何486以上的電腦，只要配備二塊網卡，不小於64M記憶體就可 以運行在該系統上。下面分別介紹這幾種安裝方式，讀者可以根據自身情況選擇一種最適合自己的運行模式。m0n0wall雖然可以在很低的硬體環境下使用，但筆 者建議最好還是採用586以上的計算機系統，不低於128M記憶體，M0n0wall可以RTL8139、DFE530-TX等常見的網卡，但從筆者所安裝的防 火牆的使用情況來看，要充分發揮m0n0wall的性能，性能優良的網卡是必不可少的，所以我們建議有條件的朋友選用Intel或3COM等品牌的網卡。

（一）、硬碟運行模式

m0n0wall 對硬碟沒有特殊要求，只需準備容量大於8MB以上的硬碟就可以了，m0n0wall啟動完成後，所有的運行都是在記憶體中進行的，但由於路由器通常是長時間 的連續運行的，普通IDE硬碟長時間運行容易出現故障，在筆者維護的網路中，最容易出現問題的就是IDE硬碟的損壞，建議有條件的朋友使用電子式硬碟元左右；CF存儲卡市場容易購得，但CF-IDE轉接卡（圖3）市場很難見到，每塊售價一般在80元左右，讀者可以根據實際情況進 行選擇。

<圖2—電子式硬碟圖>           


<圖3--CF-IDE轉接卡和CF記憶卡圖>

M0n0wall可以在Windows和Unix/Linux平台下把系統IMG文件寫到硬碟中，無論是使用IDE硬碟，還是DOM或CF卡，安裝M0n0wall的方法是相同的，下面我們以在Windows 2000下安裝m0n0wall到IDE硬碟為例進行說明。

步驟一：把IDE硬碟安裝到一台安裝有Windows 2000的電腦的主板的另一個IDE接口，連接好電源線。

步驟二： 下載M0n0wall系統和physdiskwrite工具，官方下載網址：http://www.m0n0.ch/wall/download.php?file=generic-pc-1.11.img，選擇任何一個鏡像站下載，我們把下載的檔案保存在c:\m0n0目錄，1.1 版的檔案名為generic-pc-1.11.img，m0n0wall是用img格式封裝的，我們還需要下載physdiskwrite工具，該工具的下載地址：http://www.m0n0.ch/wall/downloads/physdiskwrite-0.5.zip。官方的下載速度較慢，大家也可以到到：http://www.router.nt.cn下載。下載後對physdiskwrite-0.5.zip進行解壓並拷貝到C:\M0N0目錄中（圖4）。 



<圖4—m0n0目錄>

步 驟三：開始->執行->cmd <enter>，cd c:\m0n0進入m0n0目錄中運行physdiskwrite -u generic-pc-1.11.img （只有當硬碟容易大於800MB時才需要-u）。系統顯示你電腦中的兩個硬碟一些訊息，並提示Which disk do you want to write?(0..1)，我們這裡選擇1（圖5）。螢幕顯示「6291456/6291456 bytes written in total」則表示m0n0wall系統已經安裝到硬碟中了。
提示：不要選錯，否則硬碟資料將全部被清除。
 

<圖5—選擇硬碟>

步驟四：把安裝好m0n0wall的硬碟安裝到作為防火牆的電腦，在系統BIOS中設置從硬碟啟動。
（二）、光碟+軟碟運行模式
  光碟+軟碟運行模式需要準備一個光碟驅動程式和一個3.5英吋軟碟驅動程式，光碟用於儲存m0n0wall 系統，軟碟儲存配置檔案。從網站上下載m0n0wall光碟版檔案，並把文件刻錄到光碟，具體操作步驟如下。

步驟一：m0n0wall光碟版文件下載。官方下載地址：http://www.m0n0.ch/wall/download.php?file=cdrom-1.11.iso，選擇任一下載鏈接下載。

步驟二：把下載的cdrom-1.11.iso檔案燒錄到光碟，推薦使用nero進行刻錄。不要解壓後再燒錄，否則刻錄出來的光盤將無法啟動。

步驟三：格式化一張1.44MB軟碟，在Windows命令符方式下輸入：format a:。

步驟四：把刻錄成功的光碟和軟碟插入作為路由器的電腦上，在BIOS設置中設置成從光碟啟動。

三、M0n0wall的配置實例

  為了讓大家更容易的學會使用m0n0wall，筆者以安裝某學校校園網絡的m0n0wall防火牆為例進行說明。該學校約有200餘台電腦，已經申請電信 的2M光纖，分得一個固定IP地址，為了節約經費決定使用M0n0wall作為防火牆並使用NAT功能，實現該校園內全部電腦共享上網，該校架設一台 web和FTP服務器（網絡拓撲圖6）。

 
<圖6—網路拓撲>

安裝M0n0wall的PC硬體配置如下：
CPU P3 933，256M RAM，64M DOM，兩塊Intel 82559服務器版網卡。

IP分配規劃
（１）   m0n0wall 網絡配置
外接網卡配置
IP地址: 219.159.82.XXX
子網域遮罩：255.255.255.252
網路閘道器:219.159.82.xxx
DNS1：202.103.224.XXX   DNS2:202.103.225.XXX
接局域網網卡配置
IP：192.168.1.1 子網：255.255.255.0
（２）Web和ftp服務器網卡配置
IP地址: 192.168.1.2
子網遮罩：255.255.255.0
網路閘道器:192.168.1.1
DNS1：192.168.1.1 DNS2:192.168.1.1
（3）客戶機器網路卡配置：
IP：192.168.1.(11~250)、子網：255.255.255.0
網路閘道器：192.168.1.1
DNS1：192.168.1.1   DNS2:192.168.1.1
1、   通過控制台進行設置
步驟一：按照以上介紹的方法製作好m0n0wall，把安裝有m0n0wall的硬碟安裝到目標機，在BIOS中設置從硬碟啟動，啟動完成後出現圖7所示。


<圖7—啟動完成>

下面對菜單進行簡單介紹。
1)Interfaces:assign network ports（網卡：指定網絡端口），指定安裝的網卡，用那一塊連接WAN，那一塊連接LAN。
2）Set UP LAN IP Address（設定LAN網卡的IP地址）。
3）Reset WebGui Password（重設Webgui密碼為Mono）；
4）Reset to factory defaults（恢復成出廠設置）；
5)Reboot system（重新啟動）。
  在這裡我們輸入1並 <Enter>。系統提示是否設置對VLAN（虛擬局域網）的支援，回答N（圖8），系統接著提示：「Enter the LAN interface name or 'a' for auto-detection:」（輸入LAN網卡名稱或輸入a自動檢測），在這裡輸入」fxp0」，回車後系統再提示「Enter the WAN interface name or 'a' for auto-detection:」fxp1」，<Enter> 後系統再提示「Enter the Option 1 interface name or 'a' for auto-detection(or nothing if finished):，按<Enter>鍵。
提示The firewall will reboot after saving the changes.Do you want to proceed?(y/n)輸入y，系統將重新啟動。


<圖8--vlans>

提 示：要求輸入的網卡名稱不同品牌的網卡的名稱是不一樣的，RTL8139系列網卡提示為rtlx，530tx網卡提示為dfex，Intel網卡提示為 fxpx，讀者請根據螢幕顯示輸入（x為數字）。從提示通常分不清那塊網卡是連接到wan，那塊網卡連接Lan，可以採取單接wan或lan連線的方法， 連線正常的會有up顯示。

2、   進入防火牆Web管理界面
在局域網內找一台安裝有Windows系統的電腦，設置ＩＰ設置與防火牆同一網段（圖9）。


<圖9—windowsip設置>

在命令提示符下用Ping 命令測試與防火牆是否連通（圖10），則說明與防火牆已經連通了。



<圖10--Ping>

接著我們就在遊覽器地址欄輸入：http://192.168.1.1 在用戶名處輸入admin，密碼處輸入mono（英文字母o，非數字0）就可以通過web進行管理了（圖11）。


<圖11—第一個頁面>

3、常規信息的設置
    首先對系統的基本信息進行設置，m0n0wall的管理界面還是比較直觀明了的，遺憾的是現在還沒有中文版本，單擊System下面的General setup（常規設置）在這裡我們可以進行admin用戶密碼，dns服務器，Web管理界面的協議，端口進行設置。為了防火牆的安全我們建議對 admin用戶密碼、存取協定、端口等信息進行重新設置。

我把webGUI protocol設為HTTPS，webGUI port設為8080，DNS為：和192.168.1.1 和202.103.224.xxx（請根據網絡環境進行設置），按Save保存配置，這時系統提示重新啟動防火牆，點YES，防火牆將重啟。
防火牆啟動完成後，請用修改後的協議、端口、新密碼訪問防火牆。

4、設置共享上網
    m0n0wall支持光纖、ADSL、ISDN、有線電視寬帶等常見的接入方式，下面我們對WAN進行設置。點擊Interfaces WAN（圖12）。

<圖12—WAN設置> 

在TYPE（類型）中有Static（固定）、DHCP（動態）、PPPoE、PPTP、BigPond等五種類型，這裡我們介紹固定IP和ADSL的設置，另外的設置方式類似。

a.   固定IP方式設置
如 果您使用的固定IP請選擇選擇Static，在這裡我選擇了Static，Static IP configuration(靜態IP地址配置)IP Address（IP地址）輸入外網IP地址219.159.82.XXX/30，Gateway（網路閘道器）輸入外網網關地址 219.159.82.xxx。
提示：m0n0wall子網遮罩採用的是CIDR標記法，如255.255.255.0用/24表示, 255.255.0.0用/16表示，255.0.0.0用/8表示等，實際上x中的就是子網掩碼二進製表示的數位1的個數，如 255.255.255.252,用CIDR標記為/30。

b.   ADSL寬帶設置
如果你使用的是ADSL，請在type中選擇PPPoE在PPPoE Configuration下的username（用戶名）處輸入用戶名，Password處輸入密碼，Service name（服務商名稱）可以隨意輸入或留空，最後點擊Save保存配置。
提示：只需設置一種上網方式。

c.   靜態路由設置
完 成WAN的設置後，我們可以繼續設置Static routes（靜態路由），如果你使用的是動態的ＡＤＳＬ接入方式Static Routers可以不設置，固定ＩＰ方式的用戶建議進行設置。點擊System Static routes點擊＋號符號在Interface選擇LAN，Destination network（目標網絡）我這裡輸入192.168.1.0/24，Gateway（網關）我這裡輸入219.159.82.xxx，　 Description（描述信息）可以隨意輸入（圖13）。

<圖13—靜態路由>

５、工作站的設置
  完成以上設置後，我們就可以對工作站進行設置，讓工作站可以通過m0n0wall共享上網了，根據我們原來的ＩＰ分配規劃，192.168.1.2至 192.168.1.10分配給網絡中心其他服務器使用，192.168.1.11至192.168.1.250分配給其他部門計算機使用，所以其他部門使用者的計算機只需把ＩＰ地址設置為192.168.1.x（x從11至250），網關設置為192.168.1.1，DNS1:192.168.1.1， DNS2:192.168.1.1，就可以實現共享上網了。

６、發佈Web和ftp服務器
  該校在網絡中心安裝有對外開放的web和ftp服務器，配置m0n0wall讓校外和校內都可以訪問web和ftp服務器。
  步驟一：點擊Firewall : NAT，將出現圖14，點擊Inbound的+號增加配置網路閘道器訊息。


<圖14>

步驟二：配置Web端口映射。其中Interface設置為ＷＡＮ，Protocol設置為tcp，External port range設置為http, NAT IP設置為192.168.1.2，Local port設置為http，Description（描述訊息）設置為web Server，最後Auto-add a firewall rule to permit traffic through this NAT rule一定要選定，否則必須手動在Firewall中rules 加規則，所有設置如圖15所示，點擊save鍵。



<圖15>

步 驟三：配置FTP端口映射。其中Interface設置為ＷＡＮ，Protocol設置為tcp，External port range設置為FTP, NAT IP設置為192.168.1.2，Local port設置為FTP，Description（描述訊息）設置為FTP Server，最後Auto-add a firewall rule to permit traffic through this NAT rule一定要選定，否則必須手動在Firewall中rules 加規則，點擊save鍵，再點擊「apply Changes」（修改確認），系統提示應用生效，通過查看Firewallrules，發現系統已經有二條新加入的規則（圖16）。在外網輸入 www.router.net.cn 就可以瀏覽發佈的web伺服器了。



<圖16>

提示：局域網內的電腦還無法用域名訪問校內的web和ftp。
步驟四：實現內網用戶用域名訪問本地web和ftp站點。點擊ServicesDNS forwarder（DNS轉發），點擊+號按鈕，在host輸入主機名（如www），domain輸入你將使用的域名（如 router.net.cn），Ip Address輸入作為web服務器的IP地址（如192.168.1.2），最後Description可以輸入如www server（圖17）。FTP DNS轉發的設置與WWW DNS轉發設置類似。設置完成後內部網計算機DNS設置為防火牆的LAN IP（如192.168.1.1），就可以通過輸入www.router.net.cn訪問網站了。

 

<圖17>

四、其他常用功能介紹
1、   流量限制

  m0n0wall具有強大流量整形功能，可以對基於IP地址、mac地址、網段、p2p軟件、協議等方式來實現對上傳下載速度的控制。下面舉一個例子進行說明,如要求限制IP地址為192.168.1.20的計算機下載速度不得超過200Kbit/S。
步驟一：Firewall: Traffic shaperRulesEnable traffic shaper打勾，按Save按鈕保存。
步驟二：點擊Pipes，按+號按鈕，在Bandwidth（帶寬）處輸入200，Description處隨意輸入一些說明，其它設置不可以不設。
步 驟三：點擊Firewall: Traffic shaperrules，按+符號按鈕，Interface處設置為LAN，Protocol設置為tcp，DestinationType處選擇 Single host or alias，在address處輸入你將要控制的IP地址如192.168.1.20，其他設置一般可以不設，最後按Save保存（圖18）。



<圖18>

步驟四：按Apply changes（確認修改），讓系統生效，經測試IP為192.168.1.20的計算機下載速度在25KB/S(200/8=25)左右，說明設置生效了。

2、   備份/恢復配置文件
配置備份：點擊Diagnostics Backup/restore，點擊Download configuration按鈕，選定備份配置的目錄，按保存鍵完成配置的備份。
配 置恢復：如果m0n0wall設置出現問題，可以通過從備份配置文件進行恢復。點擊Diagnostics Backup/restore，點擊遊覽按鈕選擇配件文件所在位置，點擊Restore configuration（恢復配置），m0n0wall將自動重啟，配置恢復完成。

3、   系統運行狀態監視
m0n0wall 可以對CPU、內存、網卡工作狀態、網絡流量狀態進行監視。CPU、內存使用情況對m0n0wall的性能有很大的影響，通過點擊 StatusSystem可以看到cpu和內存使用情況。通過點擊StatusInterface可以監看網卡的工作狀態。網絡流量監視必須安裝安裝 Adobe SVG viewer組件，下載地址：http://www.adobe.com/svg/viewer/install/，安裝完成後可以點擊Status Traffic graph就可以對LAN和WAN網卡的數據流量情況進行動態監視，如圖19。


（圖19）

4、   升級m0n0wall
一 般情況下如果你使用的m0n0wall工作很正常，如果沒有新的m0n0wall正式版本推出(版本號帶b為測試版本)，建議不升級。M0n0wall可 以通過web界面進行升級，升級後可以使用原有的配置。下面以1.1版升級到1.2b8版為例進行說明，其他版本的升級類似。
步驟一：到http://www.m0n0.ch/wall下載generic-pc-1.2b8.img文件。
步 驟二：在瀏覽器中輸入http://防火牆IP，在SystemFirmware（固件），點擊Enable firmware upload（允許固件上載），點擊遊覽選定新版本文件（如generic-pc-1.2b8.img），點擊Upgrade firmware（更新固件）開始更新，如圖20所示，完成後系統提示This image is not digitally signed…，無須理會，按YES系統將重新啟動，啟動完成後發現版本已經從原來的1.1變為1.2b8了，說明升級成功。在升級過程中不要關閉IE， 否則m0n0wall系統將可能無法啟動。
 

五、寫在最後

M0n0wall 的功能非常強大，受文章編幅和筆者水平所限，更高級的應用有待大家一起共同探討，希望本文能起到拋磚引玉的作用，在寫作本文過程中得到了中國路由網 ([url]www.Router.net.cn[/url])和路由器論壇([url]www.RouterBBS.com[/url])眾多網友的幫 助，大家在使用中遇到問題可以訪問網站和論壇，同樣歡迎與我交流m0n0wall@126.com。


＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊

m0n0wall Embedded FreeBSD Firewall ( 嵌入式 FreeBSD 防火牆 )

INTRODUCTION :

        上星期不小心在 OLS3 的地下世界 看到FreeBSD Embedded Firewall >>m0n0wall 的介紹，目前市場上嵌入式系統還蠻流行的，而 且在 Linux 上更是推展迅速， 想不到現在 FreeBSD 也不落人後， 有人開發出 Embedded 的 Firewall 韌體大小隻有 5M ^^ 真是不錯，當然四位也不落人後的把它裝起來， 最初我是裝官網上的正式版 generic-pc-1.11.img 版 本， 這個版本是用 FreeBSD 4.x 為 base + ipfilter 所開發出來的嵌 入式防火牆，目前 最新的generic-pc-1.2b7.img 則是 FreeBSD 5.3 +  ipfilter 為開發 Base。

        剛開始只是想測試看看，因此我是裝在一般的 PC 硬碟上，裝在一般的 PC 硬碟上硬碟容量必需大於 800 M 才可安裝，這是官網上說的，我也不清楚為什麼 5M 的 ISO 一定要 800 M 以上的 HD 才可安裝？在裝完後便開始測試，測試後我發現功能之強大，幾乎跟商用版的 firewall 一樣，於是我便痛下決心去買一個 IDE 轉 CF 的轉接卡來 安裝 m0n0wall 這套 Embedded Firewall 韌體。

       目前 我剛好手邊有一塊 32 M 不用的 CF 卡，轉卡是去 Yahoo 拍賣買的 NT$ 400 元 + 30 元運費，嘿嘿 ... 我就把我那台賽楊300 的電腦，賽楊300 就變為嵌 入式的防火牆， 果然 CF 卡的 i/o 比起硬碟好太多了，現在已經將一台不要的電腦讓它重新服役，把它轉變為跟商用 Firewall 同等級的設備，真的有點興奮 ^^ 以下是我的安裝過程我將它寫出來跟大家分享。


INSTALLTIONS :

Setp 1.

         先 確認網路卡是否 有支援 http://m0n0.ch/wall/hardware.php 我 用兩片 intel 網卡，是的有支援( fxp0 , fxp1 )，接著下載最新版的 ISO 韌體 generic-pc-1.2b7.img 版本 及 for Windows 的安裝程式 physdiskwrite.exe 那兒可找到下載點呢？官網的 Installation on a standard PC (CF/IDE version) 頁 面就有放置下載連結。

Setp 2.

        我 把兩個下載軟體放置在 windowsXP 的 C:\ 槽目根錄下，接著關機把 IDE 轉卡調 Slave 插入 IDE 排線，因 為我的排線 Master 已經被 C:\  槽的 HD 用去了所以我調 Slave，並 插入轉卡的電源插頭， 這個電源是吃跟軟碟機一樣的電源插頭所以不用 另外買轉接器， 一 切就緒後就可再次開機進入 Windows XP， 進入 Windows 桌面後會發現多了個 CF 卡的 32 M 槽， 我的 Embedded Firewall 就是要裝在這邊，一切就緒要開始安裝摟。


開 始 > 執行 > cmd  呼叫出 dos 視窗 > 切換到 C:\ 槽根目錄下 

C:\>physdiskwrite.exe -u generic-pc-1.2b7.img

physdiskwrite v0.5 by Manuel Kasper <mk@neon1.net>

Searching for physical drives...

Information for \\.\PhysicalDrive0:       
   Windows:       cyl: 1868
                  tpc: 255
                  spt: 63
   C/H/S:         16383/16/63
   Model:         Maxtor 91531U3
   Serial number: G3HJEA0C
   Firmware rev.: FA520S60

Information for \\.\PhysicalDrive1:
   Windows:       cyl: 3
                  tpc: 255
                  spt: 63
   C/H/S:         489/4/32
   Model:         Hitachi CVM1.2.2
   Serial number: X0120 20011201125100
   Firmware rev.: Rev 2.02

Information for \\.\PhysicalDrive2:
   Windows:       cyl: 14952
                  tpc: 255
                  spt: 63

Which disk do you want to write? (0..2)1      #  會看到 Physical Driver0 ~Driver2 三顆儲存空間我選選擇 CF 卡的那個空間 1 #  注意 : 挑錯有可能毀損你的 WindowsC:\  槽開機作業系統 
About to overwrite the contents of disk 1 with new data. Proceed? (y/n)y
Found signed compressed image file
7995392/7995392 bytes written in total
C:\>

Setp 3.

        完成後就可將 CF 卡跟轉卡裝到那台賽楊 300 的破機器上，BIOS 調 C:\ 優先開機，直接開機後就進入 Embadded Firewall 的 Console 模式下：在 Console 模式下你只要將網卡的型號 fxp0 及 fxp1 跟 WAN 及 LAN 分配好，然後再開啟 DHCP 功能， 隨便找台 PC 接上 LAN port 你 就可透過 IE 進入 m0m0wall 的管理介面， 預設 帳號密碼是 admin / mono ， 這時你就可以開始體驗 Embadded Firewall 所帶給你的神奇感受及便利 ^^ 

To Add . 

1. 有 問題可查閱官網 的 Documentations 及 FAQ 上面有很詳細的說明：

官方網站的Documentations 文件：http://m0n0.ch/wall/docbook/index-single.html

官方網站的 FAQ 問與答：http://m0n0.ch/wall/docbook/faq.html

2. 附上我買得那張轉卡正反面圖片：

           

3. 2005.04.01 今天實驗了 RealTek 8139 的 rl 螃蟹卡真神奇同樣抓的到，不過論效能來說還是建議裝 3com 或 intel 的網卡比較妥，Realtek 網卡僅僅用來測試測試就好 ...