M0n0wall
открытый проект, файрвол и роутер,
разработанный Мануэлем Каспером на основе
усеченной версии FreeBSD. M0n0wall предлагает
своим пользователям многие из тех
возможностей ,что содержатся только в
коммерческих продуктах типа Check Point Firewall-1 и
Cisco Pix. С помощью такой системы ты сможешь не
только достойно фильтровать пакеты, но и
создавать VPN сети между двумя точками для
более безопасной работы. Кроме того к M0n0wall
можно прикрутить RADIUS для аутентификации
клиентов, что еще больше повысит
безопасность работы. Для конфигурирования
ОС используется Web-интерфейс, а все
настройки хранятся в XML файле, что позволяет
легко переносить ее между разными машинами.

Упрочняя

Естественно для развертывания системы
понадобится image, который можно утащить с
сайта. Можно выбрать между нормальной РС
или специальными встроенными устройствами,
вот только каждый вариант по традиции имеет
свои преимущества и недостатки, однако вдаваться
в различия между подходами мы особо тут не
будем. Для тестирования использовался
компьютер с 450 МГц процессором и 128 Мб памяти
(минимум рекомендуется 64 Мб), делаем
загрузочную болванку и начинаем установку.
Если болванка прожглась правильно, то
увидеть можно будет приблизительно
следующее:

*** This is m0n0wall, version 1.2b3
built on Sun Dec 5 11:22:47 CET 2004 for generic-pc-cdrom
Copyright (C) 2002-2004 by Manuel Kasper. All rights reserved.
Visit http://m0n0.ch/wall for updates.

LAN IP address: 192.168.1.1

Port configuration:

LAN -> sis0
WAN -> sis1

m0n0wall console setup
**********************
1) Interfaces: assign network ports
2) Set up LAN IP address
3) Reset webGUI password
4) Reset to factory defaults
5) Reboot system
6) Ping host

Первым делом, естественно, бежим в первый
пункт, где надо настроить LAN и WAN интерфейсы,
кроме того следует разобраться (если
хочется) с зонами безопасности. Во втором
подпункт следует изменить IP адреса карт,
которые настроены по дефолту на 192.168.1.1. Тут
же ведется разговор о DHCP и его составляющих.
Остальные пункты служат для разрешения
проблем, думаю они вам тебе не понадобятся.

Достаем из широких штанин

Подключаем сетевой шнурок в LAN-интерфейс
файрвола и с любого другого компьютера в
локальной сети с помощью броузера
подключаемся к веб-серверу сервера: http://192.168.1.1,
по умолчанию юзаем admin и m0n0. Первым делом в
общих настройках надо и сменить дефолтовые
логин и пароль, там же можно обнаружить имя
хоста, настройки DNS, NTP, настроить
конфигурацию внешнего выхода — PPPoE, PPTP и т.д.

Следующим шагом обозначим некоторые
правила, по которым будет работать файрвол.
Например  «все, что из локалки идет во
внешний мир разрешено» (тут * значит любой):

Proto Source Port Destination Port Description
* LAN net * * * Default LAN -> any

 

Легко изменить, дав доступ только к HTTP
трафику:

Proto Source Port Destination Port Description
TCP LAN net

80 HTTP

* * Only HTTP from LAN -> any

Естественно для управления можно поднять
NAT. Сохраним настройку… и все. Если все
написано правильно, то подключив одним
концом файрвол в Инет, а другим в локалку, мы
получим функциональный файрвол. Если
хотите еще большей безопаности при доступе
к ресурсам локалки, то можно использовать
PPTP тунели, или, как уже говорилось, RADIUS для
аутентификации внешних клиентов.

Вот так легко за несколько десятков минут
получить вполне функциональный файрвол.

Оставить мнение

Check Also

Охота на Енота. Как вирмейкер спалился сам и спалил заказчиков

В большинстве случаев разоблачения происходят потому, что вирмейкер где-то фундаментально …