M0n0wall -
открытый проект, файрвол и роутер,
разработанный Мануэлем Каспером на основе
усеченной версии FreeBSD. M0n0wall предлагает
своим пользователям многие из тех
возможностей ,что содержатся только в
коммерческих продуктах типа Check Point Firewall-1 и
Cisco Pix. С помощью такой системы ты сможешь не
только достойно фильтровать пакеты, но и
создавать VPN сети между двумя точками для
более безопасной работы. Кроме того к M0n0wall
можно прикрутить RADIUS для аутентификации
клиентов, что еще больше повысит
безопасность работы. Для конфигурирования
ОС используется Web-интерфейс, а все
настройки хранятся в XML файле, что позволяет
легко переносить ее между разными машинами.
Упрочняя
Естественно для развертывания системы
понадобится image, который можно утащить с
сайта. Можно выбрать между нормальной РС
или специальными встроенными устройствами,
вот только каждый вариант по традиции имеет
свои преимущества и недостатки, однако вдаваться
в различия между подходами мы особо тут не
будем. Для тестирования использовался
компьютер с 450 МГц процессором и 128 Мб памяти
(минимум рекомендуется 64 Мб), делаем
загрузочную болванку и начинаем установку.
Если болванка прожглась правильно, то
увидеть можно будет приблизительно
следующее:
*** This is m0n0wall, version 1.2b3
built on Sun Dec 5 11:22:47 CET 2004 for generic-pc-cdrom
Copyright (C) 2002-2004 by Manuel Kasper. All rights reserved.
Visit http://m0n0.ch/wall for updates.
LAN IP address: 192.168.1.1
Port configuration:
LAN -> sis0
WAN -> sis1
m0n0wall console setup
**********************
1) Interfaces: assign network ports
2) Set up LAN IP address
3) Reset webGUI password
4) Reset to factory defaults
5) Reboot system
6) Ping host
Первым делом, естественно, бежим в первый
пункт, где надо настроить LAN и WAN интерфейсы,
кроме того следует разобраться (если
хочется) с зонами безопасности. Во втором
подпункт следует изменить IP адреса карт,
которые настроены по дефолту на 192.168.1.1. Тут
же ведется разговор о DHCP и его составляющих.
Остальные пункты служат для разрешения
проблем, думаю они вам тебе не понадобятся.
Достаем из широких штанин
Подключаем сетевой шнурок в LAN-интерфейс
файрвола и с любого другого компьютера в
локальной сети с помощью броузера
подключаемся к веб-серверу сервера: http://192.168.1.1,
по умолчанию юзаем admin и m0n0. Первым делом в
общих настройках надо и сменить дефолтовые
логин и пароль, там же можно обнаружить имя
хоста, настройки DNS, NTP, настроить
конфигурацию внешнего выхода - PPPoE, PPTP и т.д.
Следующим шагом обозначим некоторые
правила, по которым будет работать файрвол.
Например "все, что из локалки идет во
внешний мир разрешено" (тут * значит любой):
| Proto | Source | Port | Destination | Port | Description |
| * | LAN net | * | * | * | Default LAN -> any |
Легко изменить, дав доступ только к HTTP
трафику:
| Proto | Source | Port | Destination | Port | Description |
| TCP | LAN net |
80 HTTP |
* | * | Only HTTP from LAN -> any |
Естественно для управления можно поднять
NAT. Сохраним настройку... и все. Если все
написано правильно, то подключив одним
концом файрвол в Инет, а другим в локалку, мы
получим функциональный файрвол. Если
хотите еще большей безопаности при доступе
к ресурсам локалки, то можно использовать
PPTP тунели, или, как уже говорилось, RADIUS для
аутентификации внешних клиентов.
Вот так легко за несколько десятков минут
получить вполне функциональный файрвол.
