SDA
29.03.2005, 21:20
M0n0wall - открытый проект, файрвол и роутер, разработанный Мануэлем Каспером на основе усеченной версии FreeBSD. M0n0wall предлагает своим пользователям многие из тех возможностей ,что содержатся только в коммерческих продуктах типа Check Point Firewall-1 и Cisco Pix. С помощью такой системы ты сможешь не только достойно фильтровать пакеты, но и создавать VPN сети между двумя точками для более безопасной работы. Кроме того к M0n0wall можно прикрутить RADIUS для аутентификации клиентов, что еще больше повысит безопасность работы. Для конфигурирования ОС используется Web-интерфейс, а все настройки хранятся в XML файле, что позволяет легко переносить ее между разными машинами.
Естественно для развертывания системы понадобится image, который можно утащить с сайта. Можно выбрать между нормальной РС или специальными встроенными устройствами, вот только каждый вариант по традиции имеет свои преимущества и недостатки, однако вдаваться в различия между подходами мы особо тут не будем. Для тестирования использовался компьютер с 450 МГц процессором и 128 Мб памяти (минимум рекомендуется 64 Мб), делаем загрузочную болванку и начинаем установку. Если болванка прожглась правильно, то увидеть можно будет приблизительно следующее:
*** This is m0n0wall, version 1.2b3
built on Sun Dec 5 11:22:47 CET 2004 for generic-pc-cdrom
Copyright (C) 2002-2004 by Manuel Kasper. All rights reserved.
Visit http://m0n0.ch/wall for updates.
LAN IP address: 192.168.1.1
Port configuration:
LAN -> sis0
WAN -> sis1
m0n0wall console setup
**********************
1) Interfaces: assign network ports
2) Set up LAN IP address
3) Reset webGUI password
4) Reset to factory defaults
5) Reboot system
6) Ping host
Первым делом, естественно, бежим в первый пункт, где надо настроить LAN и WAN интерфейсы, кроме того следует разобраться (если хочется) с зонами безопасности. Во втором подпункт следует изменить IP адреса карт, которые настроены по дефолту на 192.168.1.1. Тут же ведется разговор о DHCP и его составляющих. Остальные пункты служат для разрешения проблем, думаю они вам тебе не понадобятся.
Подключаем сетевой шнурок в LAN-интерфейс файрвола и с любого другого компьютера в локальной сети с помощью броузера подключаемся к веб-серверу сервера: http://192.168.1.1, по умолчанию юзаем admin и m0n0. Первым делом в общих настройках надо и сменить дефолтовые логин и пароль, там же можно обнаружить имя хоста, настройки DNS, NTP, настроить конфигурацию внешнего выхода - PPPoE, PPTP и т.д.
Следующим шагом обозначим некоторые правила, по которым будет работать файрвол. Например "все, что из локалки идет во внешний мир разрешено" (тут * значит любой):
Proto ***Source ***Port ***Destination ***Port ***Description
* ***LAN net **** **** **** ***Default LAN -> any
Легко изменить, дав доступ только к HTTP трафику:
Proto ***Source ***Port ***Destination ***Port ***Description
TCP ***LAN net ***
80 HTTP
**** **** ***Only HTTP from LAN -> any
Естественно для управления можно поднять NAT. Сохраним настройку... и все. Если все написано правильно, то подключив одним концом файрвол в Инет, а другим в локалку, мы получим функциональный файрвол. Если хотите еще большей безопаности при доступе к ресурсам локалки, то можно использовать PPTP тунели, или, как уже говорилось, RADIUS для аутентификации внешних клиентов.
Вот так легко за несколько десятков минут получить вполне функциональный файрвол.
Естественно для развертывания системы понадобится image, который можно утащить с сайта. Можно выбрать между нормальной РС или специальными встроенными устройствами, вот только каждый вариант по традиции имеет свои преимущества и недостатки, однако вдаваться в различия между подходами мы особо тут не будем. Для тестирования использовался компьютер с 450 МГц процессором и 128 Мб памяти (минимум рекомендуется 64 Мб), делаем загрузочную болванку и начинаем установку. Если болванка прожглась правильно, то увидеть можно будет приблизительно следующее:
*** This is m0n0wall, version 1.2b3
built on Sun Dec 5 11:22:47 CET 2004 for generic-pc-cdrom
Copyright (C) 2002-2004 by Manuel Kasper. All rights reserved.
Visit http://m0n0.ch/wall for updates.
LAN IP address: 192.168.1.1
Port configuration:
LAN -> sis0
WAN -> sis1
m0n0wall console setup
**********************
1) Interfaces: assign network ports
2) Set up LAN IP address
3) Reset webGUI password
4) Reset to factory defaults
5) Reboot system
6) Ping host
Первым делом, естественно, бежим в первый пункт, где надо настроить LAN и WAN интерфейсы, кроме того следует разобраться (если хочется) с зонами безопасности. Во втором подпункт следует изменить IP адреса карт, которые настроены по дефолту на 192.168.1.1. Тут же ведется разговор о DHCP и его составляющих. Остальные пункты служат для разрешения проблем, думаю они вам тебе не понадобятся.
Подключаем сетевой шнурок в LAN-интерфейс файрвола и с любого другого компьютера в локальной сети с помощью броузера подключаемся к веб-серверу сервера: http://192.168.1.1, по умолчанию юзаем admin и m0n0. Первым делом в общих настройках надо и сменить дефолтовые логин и пароль, там же можно обнаружить имя хоста, настройки DNS, NTP, настроить конфигурацию внешнего выхода - PPPoE, PPTP и т.д.
Следующим шагом обозначим некоторые правила, по которым будет работать файрвол. Например "все, что из локалки идет во внешний мир разрешено" (тут * значит любой):
Proto ***Source ***Port ***Destination ***Port ***Description
* ***LAN net **** **** **** ***Default LAN -> any
Легко изменить, дав доступ только к HTTP трафику:
Proto ***Source ***Port ***Destination ***Port ***Description
TCP ***LAN net ***
80 HTTP
**** **** ***Only HTTP from LAN -> any
Естественно для управления можно поднять NAT. Сохраним настройку... и все. Если все написано правильно, то подключив одним концом файрвол в Инет, а другим в локалку, мы получим функциональный файрвол. Если хотите еще большей безопаности при доступе к ресурсам локалки, то можно использовать PPTP тунели, или, как уже говорилось, RADIUS для аутентификации внешних клиентов.
Вот так легко за несколько десятков минут получить вполне функциональный файрвол.