M0n0wall: файрвол за 5 минут

M0n0wall -
открытый проект, файрвол и роутер,
разработанный Мануэлем Каспером на основе
усеченной версии FreeBSD. M0n0wall предлагает
своим пользователям многие из тех
возможностей ,что содержатся только в
коммерческих продуктах типа Check Point Firewall-1 и
Cisco Pix. С помощью такой системы ты сможешь не
только достойно фильтровать пакеты, но и
создавать VPN сети между двумя точками для
более безопасной работы. Кроме того к M0n0wall
можно прикрутить RADIUS для аутентификации
клиентов, что еще больше повысит
безопасность работы. Для конфигурирования
ОС используется Web-интерфейс, а все
настройки хранятся в XML файле, что позволяет
легко переносить ее между разными машинами.

Упрочняя

Естественно для развертывания системы
понадобится image, который можно утащить с
сайта. Можно выбрать между нормальной РС
или специальными встроенными устройствами,
вот только каждый вариант по традиции имеет
свои преимущества и недостатки, однако вдаваться
в различия между подходами мы особо тут не
будем. Для тестирования использовался
компьютер с 450 МГц процессором и 128 Мб памяти
(минимум рекомендуется 64 Мб), делаем
загрузочную болванку и начинаем установку.
Если болванка прожглась правильно, то
увидеть можно будет приблизительно
следующее:

*** This is m0n0wall, version 1.2b3
built on Sun Dec 5 11:22:47 CET 2004 for generic-pc-cdrom
Copyright (C) 2002-2004 by Manuel Kasper. All rights reserved.
Visit http://m0n0.ch/wall for updates.

LAN IP address: 192.168.1.1

Port configuration:

LAN -> sis0
WAN -> sis1

m0n0wall console setup
**********************
1) Interfaces: assign network ports
2) Set up LAN IP address
3) Reset webGUI password
4) Reset to factory defaults
5) Reboot system
6) Ping host

Первым делом, естественно, бежим в первый
пункт, где надо настроить LAN и WAN интерфейсы,
кроме того следует разобраться (если
хочется) с зонами безопасности. Во втором
подпункт следует изменить IP адреса карт,
которые настроены по дефолту на 192.168.1.1. Тут
же ведется разговор о DHCP и его составляющих.
Остальные пункты служат для разрешения
проблем, думаю они вам тебе не понадобятся.

Достаем из широких штанин

Подключаем сетевой шнурок в LAN-интерфейс
файрвола и с любого другого компьютера в
локальной сети с помощью броузера
подключаемся к веб-серверу сервера: http://192.168.1.1,
по умолчанию юзаем admin и m0n0. Первым делом в
общих настройках надо и сменить дефолтовые
логин и пароль, там же можно обнаружить имя
хоста, настройки DNS, NTP, настроить
конфигурацию внешнего выхода - PPPoE, PPTP и т.д.

Следующим шагом обозначим некоторые
правила, по которым будет работать файрвол.
Например  "все, что из локалки идет во
внешний мир разрешено" (тут * значит любой):

Proto Source Port Destination Port Description
* LAN net * * * Default LAN -> any

Легко изменить, дав доступ только к HTTP
трафику:

Proto Source Port Destination Port Description
TCP LAN net

80 HTTP

* * Only HTTP from LAN -> any

Естественно для управления можно поднять
NAT. Сохраним настройку... и все. Если все
написано правильно, то подключив одним
концом файрвол в Инет, а другим в локалку, мы
получим функциональный файрвол. Если
хотите еще большей безопаности при доступе
к ресурсам локалки, то можно использовать
PPTP тунели, или, как уже говорилось, RADIUS для
аутентификации внешних клиентов.

Вот так легко за несколько десятков минут
получить вполне функциональный файрвол.

Похожие материалы