1、。MONOWALL配置手冊作者：肖超幽靈墻簡介M0n0wall計(jì)劃構(gòu)建一個完整的嵌入式防火墻軟件包，該軟件包可以安裝在嵌入式個人電腦上，提供商業(yè)防火墻的所有重要功能(包括易用性)，價格僅為商業(yè)防火墻(免費(fèi)軟件)的一小部分。M0n0wall基于FreeBSD的基本版本，包括一個WEB服務(wù)器、PHP和其他工具和軟件。整個系統(tǒng)的配置存儲在一個組織清晰的XML文件中。M0n0wall可能是第一個在啟動時通過PHP配置的UNIX系統(tǒng)，這比使用shell腳本要好。整個系統(tǒng)的配置以XML格式保存。M0n0是防火墻，防火墻的目的是提供安全性。添加的功能越多，新功能的弱點(diǎn)給防火墻帶來安全風(fēng)險的可能性就越大。m0

2、n0wall的創(chuàng)始人和主要貢獻(xiàn)者認(rèn)為，除了第3層和第4層防火墻的基本服務(wù)之外，其他任何服務(wù)都不屬于m0n0wall。一些可能合適的服務(wù)占用了CPU和內(nèi)存，而m0n0wall則專注于嵌入式設(shè)備，并且CPU和內(nèi)存資源有限。不連續(xù)(保存的)文件系統(tǒng)是由于對緊湊型閃存安裝的關(guān)注，這是另一個限制因素。最后，(內(nèi)核)映像的大小限制消除了其他可能性。我們認(rèn)為以下服務(wù)應(yīng)該在其他服務(wù)器上運(yùn)行，而不是m0n0wall的特定部分：入侵檢測/保護(hù)系統(tǒng)代理服務(wù)系統(tǒng)第3層和第4層之外的任何數(shù)據(jù)包檢查通用網(wǎng)絡(luò)服務(wù)器文件傳輸協(xié)議服務(wù)器網(wǎng)絡(luò)時間服務(wù)器日志文件分析器出于同樣的原因，m0n0不允許登錄?？刂婆_沒有登錄提示(由菜單代

3、替)，也沒有telnet和ssh服務(wù)流程(deamon)1.3歷史m0n 0墻的作者M(jìn)anuel kasper說：自從我開始在嵌入式電腦上擺弄袋式過濾器，我就想要一個基于網(wǎng)絡(luò)圖形界面的漂亮的。控制器控制所有防火墻功能，而不是鍵入一個命令。互聯(lián)網(wǎng)上有許多漂亮的帶有網(wǎng)絡(luò)接口的防火墻包(大多是基于Linux的)，但沒有一個符合我的要求(免費(fèi)、快速、簡單、干凈以及我需要的所有功能)。因此，我終于開始編寫自己的網(wǎng)絡(luò)圖形界面。然而，我不想建立一個網(wǎng)頁的復(fù)制品我想建立一個完整的新的嵌入式防火墻軟件包。所有這些都將被開發(fā)成一個與電源相連的盒子。局域網(wǎng)的IP地址可以通過串口設(shè)置，也可以通過登陸網(wǎng)絡(luò)接口設(shè)置。然后

4、我決定我不能像普通的啟動系統(tǒng)那樣通過SHELL腳本來配置系統(tǒng)(因?yàn)橛肧HELL腳本幾乎不可能完成，我已經(jīng)編寫了一個C程序來生成過濾規(guī)則)，并且因?yàn)槲沂褂昧嘶赑HP的網(wǎng)絡(luò)接口，我發(fā)現(xiàn)用PHP在短時間內(nèi)配置系統(tǒng)更好。這樣，配置數(shù)據(jù)將不再需要存儲在由SHELL腳本解析的文本文件中它現(xiàn)在存儲在一個XML文件中。所以我再次完全重寫了整個系統(tǒng)，除了相當(dāng)多的“引擎蓋下的東西”，感覺似乎是一樣的。m0n0wall的第一個公開測試版是在2003年2月15日，而1.0版恰好是一年后的2004年2月15日。在這兩個版本之間，總共發(fā)布了26個其他公共測試版本，平均每兩周發(fā)布一個。每個版本的完整修改列表可以在m0n

5、0墻網(wǎng)站的變更日志部分找到。1.4功能Monowall在昂貴的商用防火墻中提供許多功能，其中一些功能在商用防火墻中不可用。這些包括：網(wǎng)絡(luò)接口(支持SSL)恢復(fù)系統(tǒng)的串行接口設(shè)置局域網(wǎng)IP地址重置密碼恢復(fù)初始默認(rèn)設(shè)置重啟系統(tǒng)無線支持(使用prism-ii/2.5/3卡的接入點(diǎn)，使用包括思科在內(nèi)的其他卡的bss/ibss)專屬門戶支持802.1 VLAN基于狀態(tài)的包過濾阻止/通過規(guī)則原木國家/地區(qū)電話電報公司(包括1:1)在廣域網(wǎng)端口上支持DHCP客戶端、PPPoE、PPTP和Telstra大池電纜IPsec虛擬專用網(wǎng)隧道；支持硬件加密卡、移動客戶和證書)Pptvpn(支持RADIUS服務(wù)器)靜態(tài)

6、路由DHCP服務(wù)器和中繼緩存域名系統(tǒng)重定向器動態(tài)域名系統(tǒng)客戶端和2136域名系統(tǒng)更新程序SNMP代理流量整形(帶寬限制)基于Svg的交通圖固件可以通過網(wǎng)絡(luò)接口升級。喚醒局域網(wǎng)客戶配置文件備份/恢復(fù)主機(jī)/網(wǎng)絡(luò)別名1.4.1組件m0n 0墻包括以下軟件組件：FreeBSD組件(內(nèi)核、用戶程序)ipfilter圖形用戶界面版本thttpd公共工程部ISC DHCP服務(wù)器ez-ipupdate(用于DynDNS更新)Dnsmasq(用于緩存DNS轉(zhuǎn)發(fā)器)浣熊(IPsec IKE)1.4.2規(guī)格當(dāng)前的m0n 0墻系統(tǒng)可以存儲在小于6M的CF卡(或光盤)上。在網(wǎng)絡(luò)4501平臺上，當(dāng)運(yùn)行默認(rèn)配置時，m0n0

7、wall提供大約17兆位/秒的廣域網(wǎng)-局域網(wǎng)傳輸控制協(xié)議吞吐量，包括網(wǎng)絡(luò)地址轉(zhuǎn)換。在更快的平臺上(類似于net4801或WRAP)，吞吐量可能會超過50Mbp(在較新的標(biāo)準(zhǔn)電腦上為100 Mbps)。在網(wǎng)絡(luò)4501平臺上，從開機(jī)到m0n 0墻完全運(yùn)行的時間少于40秒，包括開機(jī)自檢(適當(dāng)?shù)幕据斎胼敵鱿到y(tǒng)配置)1.5軟件版本和分發(fā)(許可證)m0n 0墻版權(quán)所有2002-2004，作者：曼紐爾卡斯帕。保留所有權(quán)利。如果滿足以下條件，允許以源代碼和二進(jìn)制形式重新分發(fā)未經(jīng)修改或修改的版本：源代碼形式的再分發(fā)必須保留上述版權(quán)聲明、此條件列表和以下棄權(quán)聲明，不得修改。二進(jìn)制形式的再分發(fā)必須復(fù)制上述版權(quán)聲明

8、、此條件列表以及以下對相關(guān)文檔和媒體的再分發(fā)棄權(quán)聲明。本軟件按“原樣”提供，明確不提供任何明示或暗示擔(dān)保，包括但不限于對適銷性和特定用途適用性的暗示擔(dān)保。在任何情況下，它都不對任何直接、間接、偶然、特殊、懲罰性或不可避免的損失(包括但不限于購買、使用、數(shù)據(jù)或利益損失或替代商品或服務(wù)的業(yè)務(wù)中斷)負(fù)責(zé)，不管它是如何造成的，也不管它是否在任何合同中，嚴(yán)格責(zé)任或侵權(quán)行為(包括疏忽或其他)以任何方式在使用本文件之外產(chǎn)生，即使它已被告知此類損失的可能性。其他軟件包M0n0wall基于或包含各種自由軟件，如下所列。m0n0wall的作者非常感謝這些軟件所做的努力。FreeBSD(http:/www.free

9、)版權(quán)所有1994-2003 FreeBSD，Inc .保留所有權(quán)利。該產(chǎn)品包括PHP，可從免費(fèi)獲得。版權(quán)所有1999 - 2003。保留所有權(quán)利。迷你httpd(/software/mini_httpd)版權(quán)所有1999，2000由Jef Poskanzer。保留所有權(quán)利。ISC DHCP服務(wù)器(/products/DHCP)版權(quán)所有1996-2003互聯(lián)網(wǎng)軟件聯(lián)盟。保留所有權(quán)利。版權(quán)所有1993-2002。二。硬件兼容性和配置2.

10、1支持的硬件架構(gòu)M0n0wall僅支持X86架構(gòu)。支持的設(shè)備包括標(biāo)準(zhǔn)電腦設(shè)備和各種嵌入式設(shè)備。目標(biāo)是基于X86的嵌入式電腦。這意味著不包括非X86設(shè)備，如基于MIPS的Linksys設(shè)備和基于ARM的D-Link設(shè)備。FreeBSD不支持MIPS和ARM平臺。FreeBSD支持的平臺可以在/platforms/index.html.閱讀，其中列出的一些平臺還沒有運(yùn)行，如MIPS。目前，m0n0wall僅支持X86平臺。2.2支持基于電腦的硬件m0n 0墻可以在任何標(biāo)準(zhǔn)X86電腦上運(yùn)行，只需要兩個網(wǎng)絡(luò)接口。2.2.1最低要求486個cpu任何486或更高

11、的CPU足以運(yùn)行m0n0wall。需要多少CPU來滿足需求取決于許多因素，包括互聯(lián)網(wǎng)的訪問帶寬、所需的并發(fā)連接數(shù)、使用的功能等。對于大多數(shù)應(yīng)用，486或奔騰處理器就足夠了64M內(nèi)存64M內(nèi)存是官方推薦的最低配置。據(jù)報道，m0n0wall的光盤版本也能在32MB內(nèi)存機(jī)器上正常工作。當(dāng)使用容量小于64MB的緊湊型閃存或硬盤版本的m0n0wall時，升級將會失敗，因?yàn)閙0n0wall會將所有內(nèi)容保存在內(nèi)存中，并且不使用交換空間當(dāng)內(nèi)存耗盡時，不支持備份內(nèi)存。2.2.2提議的基本輸入輸出系統(tǒng)變更一些基本輸入輸出系統(tǒng)設(shè)備需要修改，以便m0n 0墻正常工作。即插即用操作系統(tǒng)許多主板在其基本輸入輸出系統(tǒng)和其他

12、類似設(shè)置中有一個“即插即用操作系統(tǒng)”設(shè)置。此項(xiàng)應(yīng)設(shè)置為“否”或“禁用”。通過關(guān)閉這些選項(xiàng)，基本輸入輸出系統(tǒng)會分配系統(tǒng)資源，而不會將它們留給操作系統(tǒng)。BIOS負(fù)責(zé)分配資源，而FreeBSD(包括m0n0wall)工作得最好。禁止不必要的設(shè)備一般來說，您不需要關(guān)心這個，但是如果您遇到與硬件相關(guān)的問題，我們建議在基本輸入輸出系統(tǒng)中禁止所有不必要的設(shè)備，例如主板中的聲卡、并行端口、某些情況下的串行端口以及其他未使用的設(shè)備。如果不使用該設(shè)備，禁止使用是安全的。2.2.3存儲介質(zhì)m0n 0墻可以安裝在緊湊型閃存、硬盤或帶有軟盤驅(qū)動器的光盤中，以保存配置。CompactFlash至少需要8M緊湊型閃存卡。硬

13、盤任何IDE或SCSI硬盤都可以使用(只要它是FreeBSD支持的磁盤控制器)。光盤/軟盤驅(qū)動器任何IDE或SCSI光驅(qū)都可以啟動。此外，還需要一個1.44兆的軟驅(qū)(任何標(biāo)準(zhǔn)軟驅(qū))和一個用微軟磁盤操作系統(tǒng)格式化的軟盤。使用這種配置方法，您的電腦應(yīng)該能夠從光盤啟動。壓縮驅(qū)動器設(shè)置從版本1.2b3開始，m0n0wall可以在Zip驅(qū)動器中運(yùn)行硬盤映像。通過寫硬盤來寫壓縮驅(qū)動器。2.3支持的嵌入式設(shè)備以下嵌入式設(shè)備可以運(yùn)行m0n0wall。2.3.1。蘇克里斯工程公司所有Soekris設(shè)備都與m0n0wall完全兼容。對于net4501和其他45xx型號，請使用net45xx映像。對于net4801

14、，請使用net48xx映像。二。我公司防火墻配置流程3.1硬件一條古老的毒龍。128記憶。18g硬盤。兩個D-link 530TX網(wǎng)卡。3.2配置知識產(chǎn)權(quán)分配規(guī)劃(1 1)m0n 0墻網(wǎng)絡(luò)配置外部網(wǎng)卡的配置IP地址： 1子網(wǎng)掩碼：48網(wǎng)關(guān)：9域名系統(tǒng)：8連接到局域網(wǎng)網(wǎng)卡配置IP: 05子網(wǎng)：1、通過控制臺設(shè)置步驟1:按照上述方法制作m0n 0墻，在目標(biāo)機(jī)器上安裝帶有m0n 0墻的硬盤，在BIOS中設(shè)置從硬盤引導(dǎo)，引導(dǎo)完成后出現(xiàn)圖7。這是主界面，也證明安裝已經(jīng)完成。以下是菜單的簡要介紹。1)接口：分配網(wǎng)絡(luò)端口(網(wǎng)卡：指定網(wǎng)絡(luò)端口)，指定已安裝的網(wǎng)卡，并使用哪一個連接廣域網(wǎng)，哪一個連接局域網(wǎng)。2)設(shè)置