m0n0wall固然好,但是因为是舶来品,国人使用起来往往还有点不适应,国内的一些发烧友和软件机构,根据国情对于m0n0wall做了不少优化工作,这些优化版本,减少了原版的bug,加强了稳定性和功能,操作上更加适合国人的习惯和口味,这其中由千际公司的工程师鲁承明先生优化的版本一直受到网友的欢迎,优化后的版本依旧是免费软件,供大家免费下载使用,现在最新的版本是1000g-1.0-060202版,在这里http://www.1000gwall.com/1000gwall.rar可以下载,该版本支持安装到普通硬盘、电子盘、CF卡上使用。

  我先下载了防火墙软件模块,但是如何将这个模块安装进电子盘呢,m0n0wall不是windows下开发的软件,而是基于一种陌生的操作系统freebsd,这个系统比linux更加让人感到陌生,但是freebsd具有神秘的稳定性,许多高端的服务器都采用这种操作系统,常常一开机就是一年不重启一次,很少有病毒可以侵袭它,一般的***对它也是束手无策。
  既然是基于陌生的操作系统,m0n0的安装自然也就有点与众不同,没有什么安装文件可以让我们双击,我们需要下载专门的“烧录”工具来将防火墙模块“烧”进硬件里。这个工具就是physdiskwrite.exe,刚才下载的那个包含防火墙模块的压缩包里有两个文件1000g-1.0-060202.img 和physdiskwrite.exe 其中physdiskwrite.exe就是烧录工具,另一个1000g-1.0-060202.img就是防火墙模块软件 ,好了,万事齐备,我们正式开始安装。

  先把电子盘插入一台安装有windows操作系统的PC电脑的主板IDE接口上,点击开始菜单——运行。

  输入“CMD”命令。

  调出DOS命令窗口,记住一定要这样调出窗口,切记千万不能通过“点击开始菜单——程序——附件——C:命令提示符”这种方式来调出窗口,否则将不能正常“烧录”。

将刚才下载的防火墙软件模块1000g-1.0-060202.img和physdiskwrite.exe烧录工具拷贝到同一个目录下,然后执行如下命令:physdiskwrite 1000g-1.0-060202.img ,如果不是往电子盘烧录,而是往IDE硬盘烧录,当你的IDE硬盘容量超过800MB,请添加参数 -u,也就是这样:physdiskwrite 1000g-1.0-060202.img -u

  回车后,屏幕显示如下,显示出两个硬盘的参数,注意Model后面的名称,st3160021A是指的IDE硬盘,而PQI IDE DiskOnModule则是指的电子盘,别忘了今天咱们用的电子盘是PQI牌的,所以一看带有PQI字样,就知道这是电子盘。屏幕下面出现一行字,让选择哪个硬盘是要写入防火墙模块的,自然是选择PQI所在的1号,此处填写1,回车。

  屏幕提示,确认是否正确,是否真的写入,当然选Y。

  几秒钟,防火墙模块即被写入电子盘,也就是被“烧录”、“嵌入”进硬件里。

  将电子盘重新插入咱们组装的1U防火墙那台机器里,启动系统,看到屏幕上飞速滑过一串串神秘的字母和数字,和windows的启动截然不同。

  最终,屏幕停在这里,显示6个选项。

  先选择1,是为了指定防火墙的wan口和lan口到两个网卡上。屏幕提示询问是否设置VLANs,选择N

  现在输入两个网卡名称,先给lAN口指定网卡rl0,再给WAN口指定网卡xl0,注意网卡的名称请看屏幕左上角都有显示。

  网卡绑定好后,输入N,回车。

  屏幕显示LAN和WAN口的绑定网卡名称,并提示防火墙将保存这些设置并重启,是否继续?当然要选Y

  重启之后,选择选项2,为了给LAN口绑定的网卡指定新的IP地址。

  m0n0wall默认的LAN网卡的IP地址是192.168.1.1,端口是80,但是我们单位的局域网使用的网段是192.168.123.x,所以要把防火墙的LAN口IP地址改成这个网段的,我输入的是:192.168.123.21

  子网掩码输入24,这个代表的是掩码:255.255.255.0,回车。

  屏幕提示是否开启DHCP服务,当然要开启,选择Y,这样防火墙可以给内网的客户机自动分配IP地址。


下面输入自动分配IP地址的起始IP地址,我输入192.168.123.22

  再输入自动分配IP地址的终结IP地址,我输入 192.168.123.122

  再回车。

  回到主菜单。

  输入选项6,测试网络是否通。此时我已经把网线插入防火墙的LAN口,输入局域网网关的IP,ping一下,哦,通了!有时候可能会弄不清到底哪个网卡是LAN,这时可以来回将网线分别插入两个网卡测试,那个通那个就是,另一个网卡就是连接外网的WAN口。

现在专业的防火墙都可以通过IE浏览器的WEB界面来远程管理,咱们的防火墙自然也不例外。在局域网里任何一台客户机的浏览器的地址栏里输入防火墙的IP地址:http://192.168.123.21 不用输入端口,防火墙默认是80端口,立即弹出防火墙的登陆界面,要求输入用户名和密码,我输入防火墙默认用户名admin 和密码 1000g 点击确定,进入防火墙管理界面。

  看看,界面够酷吧,和一般硬件防火墙的管理界面没什么区别。

  点击左边菜单的system——general setup,在这里可以更改hostname,你可以改成任意自己喜欢的名字和符号,我改成1000gwall,domain改成1000gwall.com,下面的DNS server填入当地常用的dns服务器的IP地址。—在向下的选项usename和password可以更改防火墙的默认登陆用户名和密码。webgui port这个选项可以更改防火墙的web登陆端口号,默认是80,我给改成8080,这样就可以通过诸如:http://192.168.123.21:8080来访问防火墙的管理界面了,这样可以防止***利用默认端口***防火墙。

  修改完毕,点击页面下面的save,保存修改。屏幕显示改变已经保存生效。

  现在的硬件防火墙很多都带有共享上网的路由功能,咱们这个也不例外,我将用这台防火墙为整个单位的局域网提供共享上网功能,替换原有的那个老路由器,大家都知道现在用来共享上网的宽带路由器都带有pppoe拨号功能,能够自动通过一条ADSL宽带拨号上网,然后让局域网里的全部电脑都共享上网,咱们的这台防火墙也有这个能力,下面选择菜单里wan选项进行设置。 在TYPE(类型)中有Static(固定)、DHCP(动态)、PPPoE、PPTP、BigPond等五种类型,这里我们介绍固定IP和ADSL的设置,另外的设置方式类似。

a. 固定IP方式设置

  如果您使用的固定IP请选择选择Static,在这里我选择了Static,Static IP configuration(静态IP地址配置)?IP Address(IP地址)输入外网IP地址219.159.82.XXX/30,Gateway(网关)输入外网网关地址219.159.82.xxx。

  提示:这台防火墙子网掩码采用的是CIDR标记法,如255.255.255.0用/24表示,255.255.0.0用/16表示,255.0.0.0用/8表示等,实际上x中的就是子网掩码二进制表示的数位1的个数,如255.255.255.252,用CIDR标记为/30。

b. ADSL宽带设置

  如果你使用的是ADSL,请在type中选择PPPoE在PPPoE Configuration下的username(用户名)处输入用户名,Password处输入密码,Service name(服务商名称)可以随意输入或留空,最后点击Save保存配置。

  提示:只需设置一种上网方式。


 设置好ADSL帐号的用户名和密码之后,选择保存设置,修改的选项立刻生效,将防火墙的wan接口接入adsl猫,lan口接入交换机或者集线器的任意一个接口(记住是任意一个lan接口而不是集线器级联用的uplink接口),其他客户机电脑接入集线器或者交换机的其他lan口,重启防火墙之后,防火墙即可自动拨号上网,并给各个客户机自动分配IP地址,局域网用户即可共享上网,当然这时大家已经处于防火墙的保护之下了。

  现在许多防火墙还具有动态主机功能,就是内置了一些动态主机软件,例如花生壳客户端、每步动态域名客户端,让其他互联网用户可以通过动态域名访问到防火墙所在的局域网内的服务器,这个功能咱们的防火墙也有,点击dynamic dns选项进行设置,首先将Enable选项勾选上,启动动态域名服务。

  在咱们的防火墙里默认内置了许多国际上常见的动态域名的客户端,我喜欢使用其中的hn.org,去hn.org网站注册一个用户名,在防火墙下拉菜单里选择使用hn.org的客户端,然后输入刚刚注册的用户名和密码就可以使用了,互联网上的网民只要输入你的动态域名,例如 1000g.hn.org即可访问到防火墙所在的公网IP地址,再通过在防火墙上设置端口映射,即可让外界的网民访问到内网的服务器,端口映射的方法我下面接着说。

发布Web和ftp服务器

  我们单位局域网里安装有对外开放的web和ftp服务器,配置防火墙可以让外界网民访问web和ftp服务器。

  步骤一:点击Firewall——NAT,点击Inbound的+号增加配置信息。


  步骤二:配置Web端口映射。其中Interface设置为WAN,Protocol设置为tcp,External port range设置为http, NAT IP设置为192.168.123.88,Local port设置为http,Description(描述信息)设置为web Server,最后Auto-add a firewall rule to permit traffic through this NAT rule一定要选定,否则必须手动在Firewall中rules 加规则,所有设置如图15所示,点击save键。

  步骤三:配置FTP端口映射。其中Interface设置为WAN,Protocol设置为tcp,External port range设置为FTP, NAT IP设置为192.168.123.88,Local port设置为FTP,Description(描述信息)设置为FTP Server,最后Auto-add a firewall rule to permit traffic through this NAT rule一定要选定,否则必须手动在Firewall中rules 加规则,点击save键,再点击“apply Changes”(修改确认),系统提示应用生效,通过查看Firewall rules,发现系统已经有二条新加入的规则。在外网输入动态域名就可以访问发布的web服务器了。

  依此类推,可以设置好远程桌面3389、smtp、pop3等常用的端口映射,如下图显示。

  如果您并不想用这台防火墙给局域网做防护,而是想用于一台服务器的防护,可以选择firewall:NAT里面的1:1模式,这样,所有访问都将经过防火墙过滤后转发到同一个IP地址上。

 硬件防火墙都可以监控流量和资源占用率,咱们的防火墙当然也可以了,选择status——system 出现System information界面,点击上面的CPU usage——view graph选项,这时出现CPU占用率的曲线图,但是现在显示不正常,原来必须安装一个小小的插件,点击这里http://www.1000gwall.com/1000gwallview.rar即可下载这个插件。

  在客户端电脑下载插件安装之后,登陆防火墙管理界面后即可显示现在的CPU占用率,现在的占用率很低。