m0n0wall詳細安裝及基本配置方法(圖)

  http://wenku.baidu.com/view/ec5790bef121dd36a32d8271.html

m0n0wall詳細安裝及基本配置方法(圖)

公司一直在用ISA2006作為防火牆，開始投入使用時覺得設定很複雜！于是沉下心來研究這個東東，一段時間過後，發覺也就那麼回事，于是乎就不再去管它了，就讓它一直開着，公司開通外網的權限全靠它了！

最近公司網絡大變更，給我一個超級好的學習機會！郵件伺服器、ERP伺服器......陸續成功上線了！今天，台北的MIS老大又叫我把ISA2006防火牆更改成m0n0wall！暈，沒用過這個防火牆，不知道性能怎麼樣，于是baidu了一下，找到了這個軟體的交流平台：m0n0wall中國（http://bbs.m0n0china.org），根據m0n0wall對硬體要求不高的特點，我選了一台配置最差的電腦，成功下載下傳并安裝了這個軟體！

摘要：m0n0wall is a project aimed at creating a complete, embedded firewall software package that, when used together with an embedded PC, provides all the important features of commercial firewall boxes (including ease of use) at a fraction of the price (free software).

m0n0wall is based on a bare-bones version of FreeBSD, along with a web server, PHP and a few other utilities. The entire system configuration is stored in one single XML text file to keep things transparent.

一、    認識M0n0wall

M0n0wall是基于FreeBsd核心開發的免費軟體防火牆。m0n0wall提供基于web的配置管理、提供VPN功能、支援DHCP Server、DNS轉發、動态DNS、Ipsec、流量控制、無線網絡支援等功能。

二、m0n0wall安裝

m0n0wall可以安裝在IDE硬碟、電子硬碟（DOM）、CF存儲卡、CD光牒＋軟碟上。任何486以上的電腦，隻要配備二塊網卡，不小于64M記憶體就可以運作該系統。下面分别介紹這幾種安裝方式，讀者可以根據自身情況選擇一種最适合自己的運作模式。m0n0wall雖然可以在很低的硬體環境下使用，但筆者建議最好還是采用586以上的計算機，不低于128M記憶體，M0n0wall可以RTL8139、DFE530-TX等常見的網卡，但從筆者所安裝的防火牆的使用情況來看，要充分發揮m0n0wall的性能，性能優良的網卡是必不可少的，是以我們建議有條件的朋友選用Intel或3COM等品牌的網卡。

（一）、硬碟運作模式

m0n0wall對硬碟沒有特殊要求，隻需準備容量大于8MB以上的硬碟就可以了，m0n0wall啟動完成後，所有的運作都是在記憶體中進行的，但由于路由器通常是長時間的連續運作的，普通IDE硬碟長時間運作容易出現故障，在筆者維護的網絡中，最容易出現問題的就是IDE硬碟的損壞，建議有條件的朋友使用電子硬碟（圖2）或CF存儲卡，電子硬碟是非機械式的不容易壞損，電子硬碟市面一般較少見，做工控産品的廠商一般都有出售，64M 的DOM大概需要200元左右；CF存儲卡市場容易購得，但CF-IDE轉接卡（圖3）市場很難見到，每塊售價一般在80元左右，讀者可以根據實際情況進行選擇。

M0n0wall可以在Windows和Unix/Linux平台下把系統IMG檔案寫到硬碟中，無論是使用IDE硬碟，還是DOM或CF卡，安裝M0n0wall的方法是相同的，下面我們以在Windows XP下安裝m0n0wall到IDE硬碟為例進行說明。

步驟一：把IDE硬碟安裝到一台安裝有Windows XP的電腦的主機闆的另一個IDE接口，連接配接好電源線。

步驟二： 下載下傳M0n0wall系統和physdiskwrite工具，漢化版下載下傳網址：http://ftp.m0n0china.org/analyst/m0n0wall/generic-pc-1.235_sc.img，選擇任何一個鏡像站下載下傳，我們把下載下傳的檔案儲存在c:\m0n0目錄，1.2 漢化版的檔案名為generic-pc-1.235_sc.img，m0n0wall是用img格式打包的，我們還需要下載下傳physdiskwrite工具，該工具的下載下傳位址：http://www.m0n0.ch/wall/downloads/physdiskwrite-0.5.zip。官方的下載下傳速度較慢，大家也可以到到：http://www.router.nt.cn下載下傳。下載下傳後對physdiskwrite-0.5.zip進行解壓并拷貝到C:\M0N0目錄中（圖4）。

(圖4)

步驟三：開始?運作?cmd回車，cd c:\m0n0進入m0n0目錄中運作physdiskwrite -u generic-pc-1.235_sc.img （隻有當硬碟容易大于800MB時才需要-u）。系統顯示你電腦中的兩個硬碟的一些資訊，并提示Which disk do you want to write?(0..1)，我們這裡選擇1（圖5）。螢幕顯示“6291456/6291456 bytes written in total”則表示m0n0wall系統已經安裝到硬碟中了。提示：不要選錯，否則硬碟資料将全部被清除。

(圖5)

步驟四：把安裝好m0n0wall的硬碟安裝到作為防火牆的電腦，在系統BIOS中設定從硬碟啟動。

（二）、CD光牒+軟碟運作模式

CD光牒+軟碟運作模式需要準備一個光驅和一個3.5英寸軟驅，CD光牒用于存儲m0n0wall 系統，軟碟存儲配置檔案。從網站上下載下傳m0n0wallCD光牒版檔案，并把檔案刻錄到CD光牒，具體操作步驟如下。

步驟一：m0n0wallCD光牒版檔案下載下傳。官方下載下傳位址：http://www.m0n0.ch/wall/download.php?file=cdrom-1.11.iso，選擇任一下載下傳連結下載下傳。國内下載下傳位址:http://www.Router.Net.cn。

步驟二：把下載下傳的cdrom-1.11.iso檔案刻錄到CD光牒，推薦使用nero進行刻錄。不要解壓後再刻錄，否則刻錄出來的CD光牒将無法啟動。

步驟三：格式化一張1.44MB軟碟，在Windows指令符方式下輸入：format a:。

步驟四：把刻錄成功的CD光牒和軟碟插入作為路由器的電腦上，在BIOS設定中設定成從CD光牒啟動。

昨天，我已經成功将m0n0wall安裝程式成功的寫入了硬碟或DOM中(詳見：原創：m0n0wall詳細安裝及基本配置方法（一），http://www.52mis.com.cn/view.asp?id=112)，今天我們繼續研究其基本配置方法！可是，很奇怪的問題出現了，配置成功後，我關掉ISA2006伺服器，将原來的ISA2006LAN口IP配置設定給m0n0wall的LAN，ISA2006的WAN口IP配置設定給m0n0wall的WAN口，接入區域網路後才發現，ping m0n0wall的lan口IP時出現request timed out!郁悶！直到現在還沒有解決，明天繼續研究這個問題！

　　廢話就不說了，現把m0n0wall的基本配置方法記錄下來！

一、    用寫好的DOM或硬碟啟動之後，螢幕上會顯示如下圖：

二、按資料鍵“1”，出現下圖：

三、這裡是設定VLAN的，我們不需要，是以就按“n”出現下圖：

四、這是設定用于内網的網卡，這兒根據圖上黃框圈出的2個名字裡選擇一個作為内網，我這裡選擇的是lnc0，寫好lnc0之後，按回車，出現如下圖：

五、這是選擇外網網卡，這裡我輸入另外一塊網卡lnc1，之後按回車。出現如下圖：

六、這裡是設定Optional口的，我們沒有，是以直接回車結束。出現如下圖：

七、它詢問我們是否繼續進行，我們選“y”回車之後，系統會馬上自動重新啟動，等它啟動之後，出現如下的畫面：

如果黃色框裡的LAN和WAN的名字都是剛才我們設定好的名字，那就說明已經成功了！這時候，我們就可以通過用戶端用WEB浏覽器進行配置了。

前一章，我們已經成功配置了m0n0wall伺服器，詳見：http://www.52mis.com.cn/post/116.html，接下來，我們可以通過用戶端電腦用WEB頁面的形式對m0n0wall進行更加詳細的配置，讓m0n0wall更好的為我們服務！用WEB頁面來進行配置簡化了m0n0wall的配置過程，使之看上去更加通俗易懂！進入WEB界面：

1、m0n0wall預設LAN網卡接口的IP位址是192.168.1.1,我們在區域網路内找一台安裝有Windows系統的電腦，設定ＩＰ設定與防火牆同一網段，見下圖。

2、在指令提示符下用Ping 指令測試與防火牆是否連通，則說明與防火牆已經連通了。

3、接着我們就在用戶端遊覽器位址欄輸入：http://192.168.1.1 在使用者名處輸入admin，密碼處輸入mono（英文字母o，非數字0）就可以通過web進行管理了，（這裡因本人已将LAN網卡的IP改成192.168.50.3,故此處輸入為http://192.168.50.3，大家可以随便改）。

4、登入成功畫面：

5、然後大家就可以在這裡面進行各種詳盡的配置啦！怎麼樣？WEB界面配置，很直覺吧！

暈，公司又有電腦出問題啦，就先配到這裡，下回詳細講解防火牆配置規則！

前一章節，我記錄了如何進入m0nowall的WEB配置界面，下面我來寫寫如何配置m0n0wall使區域網路使用者能夠共享上網！這也是m0n0的一個精華所在。讓我郁悶的是，在自己測試的過程中，當我把m0n0wall的LAN口設成192.168.50.2時，下面的使用者端卻ping不通這台伺服器。找了半天也查不出原因，暈倒！192.168.50.2是原ISA的LAN口IP，我測試的時候把ISA伺服器關閉了，網線也拔掉了,就是ping不通,但是把m0n0wall的LAN口IP改成50.3就能通！後來台北的MIS老大教我一個方法，因為我們的ADSL帶有路由功能，是以從路由器出來的線不直接接m0n0wall的WAL口，而是接一個五口的HUB,原來的ISA的WAN口接這個小的HUB上，還是用來控制使用者外網。m0n0wall的WAN口設成和ISA的WAN口在同一個網段就解決這個問題了！其實我們這麼做是用m0n0wall來控制程控電話交換機，隻要将這個電話交換機的網關設成50.3,然後在m0n0wall開通VPN功能就能遠端電話啦！

回頭看下，發現自己都不知道寫了些什麼東西，不管了，先把共享上網的寫完吧！

1、進入m0n0wall的WEB管理界面，哈哈，前一節已經教你怎麼進入了，别說不會哦！系統-正常設定中設定主機名、域名、DNS伺服器（主機名、域名随便設定，如果區域網路内有DNS伺服器就填網内DNS伺服器，第二個填當地的DNS伺服器），其它預設就行！

 2、網絡接口-LAN設定，此處就是共享使用者的網關位址，我設成50.3,使用者的網關也必面是50.3

 3、網絡接口-WAN設定，此處我設定的是從路由出來的IP，和ISA在同一網段，因為前面有路由器，是以此處就選static,然後在靜态IP中填入路由器出來的IP，如果你前面沒有路由器，請選擇PPPOE，然後填ISP提供的帳号和密碼也是一樣的！

 這樣，就設定完成了，下面的使用者網關設成m0n0wall的LAN口IP，就能共享上網啦！預設狀态下m0n0wall是全部開通外網的，明天記錄如何控制内網IP的權限！

如何限制使用者是否開通internet，肯定是許多菜鳥級别的朋友特别想知道的技術吧！哈哈，OK，今天我們就用m0n0wall來控制哪些使用者能開通外網，哪些使用者不能開通外網吧！當然，m0n0wall也可以控制類似隻開通QQ、skype,不開通網頁；隻開通網頁，不開通QQ等等。還有流量控制的功能，m0n0wall提供了很好的流量控制技術，後面再慢慢研究！　　在《m0n0wall詳細安裝及基本配置方法（四）》我們設定了如何用m0n0wall來共享上網,在

這個基礎上如何實作哪些使用者可以上風，哪些使用者不能上網呢？下面詳細介紹！ 1、進入m0n0wall的WEB界面，打開防火牆-規則-LAN（當然也可以選WAN，這裡介紹LAN） 2、在預設情況下，m0n0wall是允許所有的使用者開通外網的，見（圖1）。我們更改為所有的使用者不開通外網,點“e”更改！将動作中的pass改成block!選擇“應用更改”。這時已将所有的使用者上外網的權限關閉！（圖3） （圖1）

（圖2）

 （圖3） 3、開通需要上網使用者的IP，見下圖！我這裡開通192.168.50.51使用者能上internet，點“+”圖示，按圖4輸入需開通外網的IP，點确認（圖4）!

 4、這裡要說明的是，規則以順序定優先（也就是先符合的規則先動作）。 這也就要求您在使用阻止動作時必須考慮先後。預設狀态下，所有未指明通過的都将被阻止。我這裡因為有DNS伺服器，是以必須按同樣的方法允許DNS!

我一開始覺得這個不很友善，因為不能像ISA一樣，開通一個IP段，台北的老大告訴我，是可以的。但要設及到IP的換算問題！《IP換算小工具》就有用處啦，呵呵！ 就這樣，我們隻開通了192.168.50.100（DNS）和192.168.50.51這兩個使用者能夠上外網！