-
版主
2009-4-1 19:43#1
我們經常在討論著到底哪一款防火墻功能最強,對系統保護最安全。耳中聽到的常常是“天網”、“瑞星防火墻”、“金山防火墻”等,其實真正功能強大而安全的往往是一些硬件防火墻。不過硬件防火墻對於普通用戶來說,幾乎是可望而不可即的。那麼真的就沒有辦法用上硬件防火墻了嗎?
老機配老U盤,發揮潛力
所謂的硬件防火墻,也不過是在一些硬件設備上面,寫入了防火墻程序而已,將防火墻的功能執行轉由硬件設備上的芯片執行而已,因此可以實現極為強大的運算過濾功能。其實只要我們擁有因此的硬件設備和防火墻程序,也同樣可以打造出自己的硬件防火墻。
普通用戶能有這樣的設備嗎?其實,只需要一張U盤或光盤,一台淘汰的舊電腦就可以了。硬件要求非常低,古董級的486都可以,只要有CPU、顯卡、內存、2張網卡就足夠了,什麼聲卡、顯示器、硬盤之類的都不需要!
至於安裝在硬件設備上的防火墻軟件,可以使用一個叫做m0n0wall的軟件。
M0n0wall簡介及安裝
M0n0wall其實是一個基於FreeBsd內核開發的免費軟件防火墻。m0n0wall提供基於web的配置管理、提供VPN功能、支持DHCP Server、DNS轉發、動態DNS、lpsec、流量控制、無線網絡支持等功能。我們可以將這個軟件直接寫入可引導的光盤或U盤等設備中,直接由這些設備引導系統,提供硬件防火墻的支持。
首先,我們需要下載M0n0wall系統(下載地址:http://m0n0.ch/wall/download.php?file=net48xx-1.3b11.img)和physdiskwrite工具(下載地址:http://www.m0n0.ch/wall/downloads/physdiskwrire-0.5.zip),將兩個文件解壓後放在“c:\m0n0”目錄下。將U盤接上電腦,硬盤不需要有多大的空間,只要8MB以上就可以了。然後打開命令提示符窗口,執行如下命令:
cd c:\m0n0
physdiskwrite.exe-u net48xx-1.3b11.img
命令執行後,自動檢測當前系統中的硬盤及移動存儲設備,並顯示出所有存儲設備的序號及相關參數。一般來說,如果新機上只有一個硬盤,那麼接上的U盤序號就為“PhysicalDrive 1”;如果系統中有兩塊硬盤,則U盤序號就為“PhysicalDrive2”,以此類推。
在命令行窗口中會提示“Which disk do you want to write?(0..1)”,詢問要選擇寫入哪個磁盤,因為這裡有兩個硬盤,U盤的序號為2,所以選擇2。確定後,開始寫入程序,屏幕顯示“6291456/6291456 bytes written in total”,則說明m0n0wall系統已經安裝到U盤中了。
小提示:注意不要選錯設備序列號,否則相應硬盤中的數據將全部被清除!另外,我們也可以將m0n0wall寫入硬盤或光盤中,寫入硬盤的方法與寫入U盤一樣,只要選擇相應的序列號就可以了。寫入光盤的話,則需要下載光盤片M0n0wall系統(下載地址:http://m0n0.ch/wall/download.php?file=cdrom-1.3b11.iso),將其記錄到光盤上即可。
設置網絡連接
寫入M0n1wall系統後,取下U盤,將其接入舊電腦上。然後需要設置舊電腦的網絡連接。要求舊電腦機有兩張網卡,設置方法很簡單:
從ADSL貓的輸出口,將網線連接到舊電腦的一張網卡上,再從另一張網卡與交換機或集線器的WAN端口就可以了。也就是說,僅僅是在原來的網關出口前加上了舊電腦。
啟動硬件防火墻
啟動舊電腦,設置為U盤引導系統,如果是寫入其它硬盤或光盤上,則設置為相應的設備來引導系統。
小提示:舊電腦可以沒有顯示器,引導系統進行設置時,可以將新電腦的顯示器接上,設置完後取下來,以後不用顯示器即可啟動硬件防火墻。
系統菜單
系統啟動後,將會引導入linux系統,M0n0wall會自動檢測網絡環境和設備,並出現網絡設置菜單。下面對菜單進行簡單介紹:
第1項“lnterfaces: assignnetwork ports”(網卡:指定網絡端口),用於指定安裝的網卡,用哪一塊連接WAN,哪一塊連接LAN:
第2項“Set UP LAN IP Address”(設定LAN網卡的IP地址),該項用於設置網絡中訪問防火墻的IP地址;
第3項“Reset WebGui Password”(重設Webgui密碼為Mono),該項用於恢復防火墻配置密碼;
第4項“Reset to factory defaults”(恢復成出廠設置),表示恢復所有設置項為默認值。
設置網絡端口
這裡我們首先要設置網卡端口,輸入“1”並迴車,系統檢測到兩張網卡,並顯示其設備名。這裡兩張網卡的設備名分別為“Lnc0”和“Lnc1”,注意是數字“1”,而不是字母“I”。系統提示是否設置對VLAN(虛擬局域網)的支持,回答N。然後系統接著提示:“Enter the LAN interface name or‘a’for auto-detection:”(輸入LAN網卡名稱或輸入a自動檢測),在這裡輸入“IncO”,迴車後系統再提示“Enter the WAN interface name or‘a’for auto-detection:”,要求輸入WAN網卡名稱,這裡輸入“Inc1”。
迴車後系統再提示“Enter the Option 1 i……”,按迴車鍵後,系統將顯示當前的配置,這裡為:
LAN——Inc0
WAN——lnc1
正確的顯示了LAN和WAN配置,說明設置成功。系統提示“The firewall will reboot after saving the changes……”,輸入y,自動保存設置後,系統將重新啟動。
小提示:在要求輸入的網卡名稱時,不同品牌的網卡的名稱是不一樣的,例如RTL8139系列網卡提示為“rtlx”,530tx網卡提示為“dfex”,Intel網卡提示為“fxpx”。本文中顯示的是Lnc,實現過程中,需要根據屏幕顯示輸入。
設置WEB管理IP地址
重啟後進入系統菜單,輸入“2”進行LAN IP設置。然後提示要求輸入IP地址,默認地址是“192.168.1.1”。一般來說,因為網絡中還有其它的設備,比如ADSL MODEM和路由等,它們出廠默認IP也是“192.168.1.1”,因此可將硬件防火墻的IP地址改變“192.168.1.2”等。然後要求設置子網掩碼,一般的子網掩碼就是“255.255.255.O”之類的,直接輸入代碼24就可以了。迴車後,要求設置是否啟用DHCP動態IP分配,一般無需啟用,輸入n,迴車後即可完成配置。
防火墻設置
重啟後,現在舊電腦已經變成一個硬件防火墻了,它的執行效率可遠遠比在自己的電腦上運行防火墻高得多,而且防火墻本身的功能也非常強。
登錄防火墻設置界面
在局域網中的其它電腦上,打開瀏覽器,在瀏覽器的地址欄中輸入防火墻默認的WEB管理IP地址“http://192.168.1.2”,迴車後要求輸入用戶名和密碼。登錄的默認用戶名為“admin”,密碼為“mono”(英文字母o,非數字0),確定後就可以登錄WEB管理界面了。
應用實例:流量控制
m0n0wall具有強大流量控制功能,可以對基於IP地址、mac地址、網段、p2p軟件、協議等方式來實現對上傳下載速度的控制。例如要求限制IP地址為“192.168.1.20”的計算機下載速度不得超過“20Kbit/S”,可進行如下操作:點擊“防火墻”→“流量管理”,勾選“啟用流量管理”項,點擊“保存”按鈕進行保存。然後點擊左側的“規則”→“管道”項,在右邊的“Bandwidth”(帶寬)處輸入“20”,“Description”描述處隨意輸入一些說明,其它設置不可以不設。然後在規則中,設置“address”處為要控制的IP地址,其他設置一般可以不設,最後保存設置即可控制指定IP的流量了。
m0n0wall的功能非常強大,比一般的軟件防火墒強上無數倍!可以設置界面中進行各種防火墻安全設置,此外,m0n0wall本身還具備路由功能,可以充當路由器,大可以省下共享上網買路由器的錢了!也就是說,我們現在有了一個免費的路由器和防火墻結合的產品!
具體的配置
用寫好的DOM或硬盤啟動之後,屏幕上會顯示如下圖: 
按數據鍵“1”,出現下圖: 這裡是設置VLAN的,我們不需要,所以就按“n”出現下圖: 這是設置用於內網的網卡,這兒根據圖上黃框圈出的2個名字裡選擇一個作為內網,我這裡選擇的是lnc0
寫好lnc0之後,按迴車,出現如下圖: 這是選擇外網網卡,這裡我輸入另外一塊網卡lnc1,之後按迴車。出現如下圖: 這裡是設置Optional口的,我們沒有,所以直接迴車結束。出現如下圖: 它詢問我們是否繼續進行,我們選“y”迴車之後,系統會馬上自動重新啟動,等它啟動之後,出現如下的畫面: 如果黃色框裡的LAN和WAN的名字都是剛才我們設置好的名字,那就說明已經成功了!這時候,我們就可以通過客戶端用WEB瀏覽器進行配置了。 在Windows中的配置
我們現在需要把WINDOWS的客戶機的IP設置為192.168.1.X,這裡的X可以是從2開始到254;子網掩碼:255.255.255.0,網關為:192.168.1.1;DNS服務器可以設置為你當地ISP的DNS服務器地址,我是蘇州電信的用戶,所以我設置的2個DNS服務器是:61.177.7.1備用DNS為:221.228.255.1,設置如下圖: 設置好以後,我們可以通過IE瀏覽器來對m0n0進行進一步的配置了,
在IE的地址欄裡輸入:http://192.168.1.1
會彈出一個對話框,要求我們輸入用戶名和密碼,這裡默認的用戶名是:admin? 密碼是:mono 這裡要注意了,密碼的“o”是字母o而不是數字0,都是小寫的字母。如下圖:確定以後,可以看到如下的畫面: 下來是全中文的了,看上去省力一點了,必竟洋文我不認識幾個,呵呵。 公網為固定IP的設置
接下來我們來設置WAN,如果你有固定IP的話,就在類型裡選擇Static,輸入ISP提供給你的IP、子網掩碼、網關,如下圖:
我這裡有2組公網IP,所以我選的掩碼是29,如果你是1組的話,選30就可以了。
設置好之後點保存,這時候,你的電腦就應該可以上網了!ADSL上網方式的設置
如果你是ADSL的用戶就在類型裡選擇PPPoE,然後在正面PPPoE選項裡填上ISP提供的用戶名和密碼就可以了,如下圖: 填好之後,點擊保存即可,這時候m0n0就會自動撥號上網了。 一般來說,我們就採用的是這兩種方式上網的,別的方式就省略了,你肯定能搞得定的吧!^_^ m0n0的PPTP Server設置
1.點擊m0n0wall的“VPN專網”中的“PPTP”。 2.照著下圖設置,具體的IP地址可根據你自己的情況輸入: 完成之後,別忘了點擊下面的Save哦。 3.PPTP User的設置 按下圖中的“+”圖標 輸入用戶名和密碼。IP地址我沒填。 4.添加PPTP的防火墻規則: 點擊m0n0wall中的“防火墻”中的“規則” 這裡要提的是,這是實驗配置,rules可根據實際需要進行相關完善,必竟這樣基本沒有限制了,安全性就不高了。
做到這裡,m0n0wall裡的設置應該是完成了!下來就應該是Windows客戶端裡建立VPN的虛擬專用網絡連接,這個就不做了吧。
最近發現系統記下的日誌中時間有誤,本以為路由系統時間有錯誤,進入CMOS重新設置時間後,還同有問題。
原來,m0n0wall升級到1.233最終優秀插件版後,默認時區設置並不是中國,需要重新修改,設置如下圖就可以了!(中國/上海) -
二轉會員
2009-4-1 20:15#2
長篇大論=.=睇到眼花
-
五星白金會員
2009-4-1 20:49#3
抄得真係用心:smilie_:D4:
加個Gd俾你先face_l_18: -
三星高級會員
2009-4-1 21:23#4
不錯的教學 又學了 一樣野了 謝謝:smilie_:D5:
-
二轉會員
2009-4-1 21:37#5
我諗我睇完都唔會明-.-
-
五星白金會員
2009-4-1 21:41#6
原帖由 高b慈 於 2009-4-1 09:37 PM 發表
我諗我睇完都唔會明-.-
極樂好用心抄嫁..
大家都俾D心機睇face_l_18: -
二轉會員
2009-4-1 21:42#7
多謝分享啦唯有:redface:
-
五星白金會員
2009-4-1 21:46#8
原帖由 七夜魔君 於 2009-4-1 09:42 PM 發表
多謝分享啦唯有:redface:
七夜你會唔會玩VERY勇公測?
我想同你隻抽.... -
二轉會員
2009-4-1 21:46#9
會:smilie_:10:
-
五星白金會員
2009-4-1 21:47#10
我要同你隻抽:smilie_/):
-
版主
2009-4-2 00:00#11
唔通自己作咩......
轉過來 唔知有冇人會用,但轉過來又唔洗死
搵到要時間架,佢原先仲要係簡體字...... (靈感來自某電腦雜誌教人用呢個方法) -
二星初級會員
2009-4-2 05:19#12
转载的-.-LS很强大唷.
-
二星初級會員
2009-4-2 14:06#13
感謝極樂的分享- -"
-
八星無敵會員
2009-4-3 13:55#14
囉部舊機做檔箭牌開防火:smilie_:):
-
五星白金會員
2009-4-5 12:17#15
試整下..睇下得唔得先:smilie_:)3:
-
一星新手會員
2009-4-17 01:18#16
謝謝分享!我要轉貼文章
禁止張貼論壇網址
[ 本帖最後由 極樂 於 2009-4-22 01:22 AM 編輯 ] -
一星新手會員
2009-4-29 16:18#17
好东西 收藏了 学习学习
-
一星新手會員
2009-6-14 12:37#18
樓主可唔可以比原本個簡體網的網址我
我想睇下