-
M0n0wall: файрвол за 5 минут
M0n0wall - открытый проект, файрвол и роутер, разработанный Мануэлем Каспером на основе усеченной версии FreeBSD. M0n0wall предлагает своим пользователям многие из тех возможностей ,что содержатся только в коммерческих продуктах типа Check Point Firewall-1 и Cisco Pix. С помощью такой системы ты сможешь не только достойно фильтровать пакеты, но и создавать VPN сети между двумя точками для более безопасной работы. Кроме того к M0n0wall можно прикрутить RADIUS для аутентификации клиентов, что еще больше повысит безопасность работы. Для конфигурирования ОС используется Web-интерфейс, а все настройки хранятся в XML файле, что позволяет легко переносить ее между разными машинами.
Естественно для развертывания системы понадобится image, который можно утащить с сайта. Можно выбрать между нормальной РС или специальными встроенными устройствами, вот только каждый вариант по традиции имеет свои преимущества и недостатки, однако вдаваться в различия между подходами мы особо тут не будем. Для тестирования использовался компьютер с 450 МГц процессором и 128 Мб памяти (минимум рекомендуется 64 Мб), делаем загрузочную болванку и начинаем установку. Если болванка прожглась правильно, то увидеть можно будет приблизительно следующее:
*** This is m0n0wall, version 1.2b3
built on Sun Dec 5 11:22:47 CET 2004 for generic-pc-cdrom
Copyright (C) 2002-2004 by Manuel Kasper. All rights reserved.
Visit http://m0n0.ch/wall for updates.
LAN IP address: 192.168.1.1
Port configuration:
LAN -> sis0
WAN -> sis1
m0n0wall console setup
**********************
1) Interfaces: assign network ports
2) Set up LAN IP address
3) Reset webGUI password
4) Reset to factory defaults
5) Reboot system
6) Ping host
Первым делом, естественно, бежим в первый пункт, где надо настроить LAN и WAN интерфейсы, кроме того следует разобраться (если хочется) с зонами безопасности. Во втором подпункт следует изменить IP адреса карт, которые настроены по дефолту на 192.168.1.1. Тут же ведется разговор о DHCP и его составляющих. Остальные пункты служат для разрешения проблем, думаю они вам тебе не понадобятся.
Подключаем сетевой шнурок в LAN-интерфейс файрвола и с любого другого компьютера в локальной сети с помощью броузера подключаемся к веб-серверу сервера: http://192.168.1.1, по умолчанию юзаем admin и m0n0. Первым делом в общих настройках надо и сменить дефолтовые логин и пароль, там же можно обнаружить имя хоста, настройки DNS, NTP, настроить конфигурацию внешнего выхода - PPPoE, PPTP и т.д.
Следующим шагом обозначим некоторые правила, по которым будет работать файрвол. Например "все, что из локалки идет во внешний мир разрешено" (тут * значит любой):
Proto ***Source ***Port ***Destination ***Port ***Description
* ***LAN net **** **** **** ***Default LAN -> any
Легко изменить, дав доступ только к HTTP трафику:
Proto ***Source ***Port ***Destination ***Port ***Description
TCP ***LAN net ***
80 HTTP
**** **** ***Only HTTP from LAN -> any
Естественно для управления можно поднять NAT. Сохраним настройку... и все. Если все написано правильно, то подключив одним концом файрвол в Инет, а другим в локалку, мы получим функциональный файрвол. Если хотите еще большей безопаности при доступе к ресурсам локалки, то можно использовать PPTP тунели, или, как уже говорилось, RADIUS для аутентификации внешних клиентов.
Вот так легко за несколько десятков минут получить вполне функциональный файрвол.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Re:M0n0wall: файрвол за 5 минут
M0n0wall - открытый проект, файрвол и роутер http://m0n0.ch/wall/
-
-
Visiting Helper
- Вес репутации
- 77
Re:M0n0wall: файрвол за 5 минут
лучше уж сразу Knoppix --firewall запустить www.knoppix.net
-
-
Re:M0n0wall: файрвол за 5 минут
А самому фрюху настроить слабо? %))
-
Re:M0n0wall: файрвол за 5 минут
некоторым слабо
некоторым лень
некоторым и то и другое
-
Re:M0n0wall: файрвол за 5 минут
Сообщение от
SDA
Вот так легко за несколько десятков минут получить вполне функциональный файрвол.
А обойдут его тоже за несколько десятков минут? Согласен с Sanja, лучше настроить полновесный бастион на Linux/Unix.
-
Re:M0n0wall: файрвол за 5 минут
неужели FreeBSD такая дырявая ?