1、DIY自己的 硬件防火墙设备第一部分 http:/ . l?positioncode=2171第二部分 http:/ . l?positioncode=2171第三部分 http:/ . ;cPositionCode=51_0现在家庭中拥有计算机并连接到因特网上已经不是少数了,甚至许多家庭还拥有多台计算机。不过由于因特网的复杂,可能大部分用户都遭受过病毒侵入、黑客攻击和不明扫描等其他一些不安全因素的影响,如果有一台称手的硬件防火墙可供使用,那就大大地省事了。可现在市场上的硬件防火墙产品动辄就是以数千元计,对一般的家庭来说实在是不划算。其实,只要有一台以前淘汰下来能够使用的老机器,再安装基于 L
2、inux的免费防火墙产品就可实现这一目标了,对用户来说,在成本上的花费根本可以忽略不计。现存,有很多基于 Linux环境的路由器/防火墙软件可供选择,例如像有 m0n0wall 、Smoothwall Express、LEAF-Bering uClibc 和 ClarkConnect等等,这次,我们把目光转向号称为“让不良数据包到此为止”的 IPCop,主要给大家介绍怎样安装一台自己的 IPCop硬件防火墙。准备硬件平台依照 IPCop用户手册中的内容,这套软件最低硬件需求只要是一台安装有 386处理器,32MB 内存和一块300MB大小容量硬盘的“古董级”机器就行了。不过从系统的运行速度及稳
3、定性方面考虑,笔者还是建议使用速度更快的硬件。一块奔腾(Pentium)家族的处理器再加上 256MB的内存应当是能够表现得相当好的,而且使用一块 20GB大小的硬盘还可以把它作为一台高效率的代理缓存计算机来使用。也不是说使用最新、配置最好的硬件它的性能就能表现得再好,使用最新的硬件平台可能会引起一些问题,主要是 IPCop对新硬件产品的支持还不完善的缘故,例如对 PCI Express技术的支持也还只刚起步,远还没达到完成与成熟的地步。图 1:使用两块网卡路由器的网络连接拓扑结构 IPCop的标准配置至少需要一块网卡的支持,没有网卡的路由器我们还有称之为路由器吗?我们选择的是市面上基于 Re
4、altek 8139系列芯片的网卡,因为一种芯片极其广泛的应用实际上也是相当于保证了它能够得到更加广泛的驱动支持。在笔者给大家介绍的实例中,使用了两块网卡,这跟我们使用一台 SOHO宽带路由器来共享 ADSL或 cable modem上网的具体网络结构是一样的(如图 1所示)。在我们使用的这个网络中,一块网卡(第一块网卡)是连接到家用网络那一端的交换机上(用绿色的连接线表示),而它的另一块网卡(第二块网卡)则是直接连接到一台 ADSL或是 cable modem上的(用红色的连接线表示。实际上,一块ISDN卡或是一块传统的模拟 modem卡也是可以用来代替它的第二块网卡的;另外,我们还可以增加
5、更多的网卡来满足更复杂的需求。IPCop路由器的硬件需求CPU/主板 Intel 或 AMD的 CPU,Pentium 系列或更高级别,最小需要 100 MHz的速度 (Socket 7, Socket 370, Socket A等等) 内存 256 MB SDRAM 或 DDR-SDRAM 硬盘 20 - 40 GB 用来用在代理模式下作网站缓存 网卡 两块 10/100 Mbit/s网卡 显卡 随便一块 2MB显存的卡,并不需要 3D加速功能,只要能够安装上就行了 光驱 随便什么样的光驱都行,只要能够使用 键盘 随便哪一种键盘都行 安装软件系统IPCop是基于 Linux系统的,操作系统本
6、身及它的源代码都是可自由使用的,只要遵循 GPL许可协议,下载地址为 http:/www.ipcop.org/,格式是一个 ISO的光盘映像文件,体积很小巧的,仅仅只能 41 MB,把它刻录成一张启动光盘就可使用了,而且这个映像文件也可把它恢复到某个分区中来安装。在我们的这次安装中,担当路由器的计算机是从一个光驱并从光盘上安装整个系统。在主板 BIOS设置中把光驱作为第一启动设备后,保存设置,计算机重新启动,我们就可看到 Isolinux的引导加载程序(如图 2所示)。在这要注意的是如果此项安装过程进行下去,会删除你硬盘中的所有数据,所以请大家要小心,在安装之前一定要备份重要的数据资料图 2:
7、硬盘上的数据被删除之前的警告信息 按下回车键后将会加载 Linux的内核。注意在这个地方还可以使用另外的两个参数“nousb”和“nopcmcia”,这两个选项参数实质上就是屏蔽主板上的 USB接口和 PCMCIA接口功能。一般情况下一台普通的路由器是根本就不需要这两种接口的。操作系统的内核完成加载完成后,安装过程的第一步就是选择安装界面的语言版本,在这有几种不同的语言可用,不过好像没有找到有中文的选择项,那我们就选择英文吧。接下来,安装程序会询问我们是希望从哪一个存储媒体介质中来进行安装,有 CDROM和 HTTP/FTP可供选择。如果你是从一个软驱引导系统的,那就能够选择 HHTP/FTP
8、方式,我们就选择 CDROM这个选项。然后,虽说我们已经把安装光盘放到了光驱之中,但安装程序还是会提示要插入一张安装光盘,一定要确认一下才行。当安装程序把这个硬盘进行重新分区并格式化后,真正的安装过程就开始了,整个根本不需要与用户交互,全部自动进行,如系统检查所使用的硬盘驱动器、对它进行分区操作,然后再使用适当的文件系统格式化新的分区等。不像其他的操作系统安装一样,安装程序会频繁地请求与询问用户有关安装的一些内容,像什么有关于交换分区的容量大小等。并且我们也不必去了解它的数据分区是使用 ReiserFS或是 ext3分区格式等。如果以前已经安装过这样的系统,并把相关的配置信息都保存到了一张软盘
9、上,安装达成后就可直接导入所有的配置信息,并跳过余下的配置过程,这可能为用户节省不少的时间。只要在图 3所示的屏幕内容中选择“Restore”这个按钮就行了,然后让这个安装程序来完成剩下的工作。由于我们这次是新系统的安装,没有任何的配置信息可用,所以就只能选择“Skip”这个按钮了。系统的安装过程至此结束,接下来就是对IPCop进行设置了。图 3:系统配置系统导入提示怎样使用那些淘汰下来的计算机硬件设备来 DIY一台自己的防火墙设备,在前一部分中,我们给大家介绍了硬件平台的准备及 Linux环境下路由器/防火墙软件的安装,下面,接头给大家介绍一下怎样来配置 IPCop防火墙软件。(相关文章:防
10、黑客不愁 DIY 自己的防火墙设备)配置局域网接口在这个设置过程中,安装程序会询问用户来选择一个正确的驱动程序以使用连接到家庭局域网的那块网卡(即绿线所连接的网卡)。在大多数情况下,我们都可选择“Probe”按钮,让安装程序运行一个自动检测程序来检测系统中所安装的网卡,一般情况下,对常见的网卡都可正确地识别出来,自动地安装相应的驱动程序。如下图 1所示。如果所安装的网卡不能够被自动识别,那就必须手动指定它的驱动程序,选择“Select”这个按钮。网卡配置 如果 IPCop所检测出来你使用网卡的名字并不与它实际的名称相符合,实际上并没出什么问题,不会影响使用。Linux 内核程序是通过网卡的芯片
11、来确定它们的名称的,而并不是通过它的具体型号或与之相似的名称。举例来说,一块 D-Link的网卡就有可能会被自动检测程序识别为一块 Realtek 8139网卡。只要正确地安装地网卡的驱动程序后,接下来就是来为这块网卡分配一个 IP地址。由于这台机器上的局域网接口是连接到我们的家庭局域网的,因此我们可分配一个保留的 IP地址给这块网卡。使用 C类地址就完全足够了,因为家庭网络中的机器并不会太多。作为网关的计算机总是使用这个地址段的最末一个地址,故我们就给这块网卡分别 IP地址为 192.168.0.254,而子网掩码就选择使用255.255.255.0就行了。给 IPCop计算机分配 IP地址
12、 还是有几个其他方面的设置值需要用户来进行配置。接下来,安装程序会引导用户来选择“Keyboard mapping”(键盘映射),假如你是使用一个非标准的“QWERT”键盘布局的话,就可以使用它提供的这项功能了,否则就没必要进行这方面的设置。然后再为系统的时钟来设置相应的时区。接下来,系统将会提示你输入这台 IPCop路由器的主机名和域名,在 web管理时我们可以使用这个主机名来代替它的 IP地址,系统默认的主机名是 ipcop,笔者就使用了它的默认主机名;我们可以保留系统的默认域名 localdomain不用作任何更改,除非你的网络是某一个域中的一部分,或者你想把它更改成你更容易记住的名字。
13、接着,是选择 ISDN卡,我们并没有使用这样的硬件设备,就选择了“Disable ISDN”(禁用 ISDN)。局域网部分的内容配置就到此完成了,以下是有关 WAN和DHCP服务器的设置。配置 WAN和 DHCP服务器接下来我们就要来对网络配置方面进行最后的配置。在我们的网络中,除了这块用绿色线连接的局域网接口网卡外,还有另外一块用红色线连接的广域网接口网卡,我们还要来选择这块网卡并对其进行配置。图 3和图 4显示的是适合上一篇中图 1笔者网络拓朴结构的选择。设定网络配置类型 Green + red是我们所要选择的内容蓝色”和“橙色”这两个接口也是可选择进行配置的,“蓝色”接口是用来进行无线网
14、络连接的那块网卡,IPCop 路由器作为一台无线路由器来使用的;“橙色”接口是被用来作为一个专用的“DMZ”端口,它的作用是为网络中的应用服务器提供服务。在选择好与我们网络相适合的配置选项后,系统就会返回到“Network Configuration menu”这个菜单中,在这,我们要选择“Drivers and card assignments”这个选项,并分配那块未使用的网卡作为红色接口使用。正如那个绿色的接口一样,在红色接口这边也有一个 IP地址的配置,如下图 5所示,我们选择“Address settings”这个选项来为其配置相应的 IP地址。红色接口的 IP地址配置在对 WAN(因
15、特网)端口的配置过程中,我们必须指定使用是哪一种类型的因特网连接,以便 IPCop路由器知道怎样来连接到因特网上。图 6中显示的是 WAN端口可供选择的具体连接类型,内容跟我们平常的 ADSL Modem中的差不多。红色(因特网)接口的连接类型 对使用 cable modem和使用 PPPoE拨号方式的 DSL用户来说,其最常见的选择是图 6中所示的PPPoE的选项;如果我们使用的静态的 IP地址,那我们还需要为这台路由器指定所使用的 DNS服务器和网关等信息,通过在图 5的窗口中选择“DNS and Gateway Settings”,然后再填入首选 DNS与备用 DNS服务器和默认网关地址
16、就行了。IPCop路由器也可为用户提供一个 DHCP服务器功能,这样局域网端的用户就能够通过这个 DHCP服务功能来获得一个动态的 IP地址并同时获取相应的网关和 DNS服务器地址。在图 6中选择 DHCP选项后,就显示如图 7中所显示的内容,我们可在其中指定 DHCP服务器所分配地址段的起始地址与结束地址,还可在这指定客户端计算机所使用的 DNS服务器地址及 DHCP地址的租用期限。DHCP服务器设置 安装配置结束实际上,到此为止我们的安装过程差不多就要完成了。仅仅只需要为系统指定“root”和“admin”用户的密码就行了。“root”用户在一个 Linux系统中实际上是一个超级用户,它对
17、整个系统拥有无限制的访问与一切特权。而这个“admin”用户,从另一方面来说,仅仅只是一个权限比普通用户稍大的管理用户,它仅仅只是在 Web前端拥有全部的访问权限。这个用户能够更改 IPCop路由器的 DHCP服务配置内容、端口转发设置参数、初始化连接、更新 IPCop和重新启动这台路由器等等。整个的安装过程总算是结束了,我们马上就可重新启动这台计算机进入到新系统中了。再次启动系统后,我们就会得到一个欢迎屏幕,它是 Grub启动管理程序在等待用户选择相应的硬件环境(如图 8所示),在这个页面中,我们有四个选项内容可供选择:IPCop、IPCop SMP、IPCop (ACPI enabled)
18、和 IPCop SMP(ACPI HT enabled)。它的第一个选项是适合于普通的 IPCop硬件环境;接下来的那个 IPCop SMP选项是针对那些多处理器机器的,如像使用了超线程技术的 Pentium 4处理器或又内核处理器;对一些更新的机器,IPCop 也提供了两个选项来支持主要所使用的 ACPI技术。在这,这些选项仅仅只可供选择一次, IPCop 会记住用户选择的这个选项值,并在每次启动时都会使用所保存的这个硬件环境设置值。IPCop的欢迎屏幕 在完成这个引导过程后,如果系统的登录屏幕出现在屏幕上,那就表示着它就可正常工作了。然后,这台机器的显示器和键盘也就没什么作用了,我们也可把
19、它们去掉,仅仅只留下一台主机在那运行就行了。不过我们还是建议把机箱的扬声器连接到主板上,这样的话,在系统进行操作时或引导的时候就可通过扬声器的声音给我们反馈一定的信息来判断相应的使用状态。详细功能设定【IT168 专稿】硬件平台及 IPCop防火墙软件的安装配置完成后,到此时,我们还只获得了一个比较粗糙的系统,要有一台完全满足自己要求的防火墙设备,还需要对系统作进一步的详细设定。接下来再给大家介绍一下 IPCop防火墙软件的各种高级功能。相关文章:防黑客不愁 DIY 自己的防火墙设备DIY自己的防火墙设备 系统配置篇DIY自己的防火墙设备 详细功能设定现在,虽说我们把这台路由器的显示器都取了,
20、但在任何一个 Web浏览器的地址栏中输入前面你所指定那个 URL地址和相应的端口,我们就可从任意一台客户端计算机上连接到这台路由器的管理界面上来。成功连接后,我们可看到 IPCop中有大量的功能设置选项可供用户进行详细配置。现在就让我们来开始看看它的具体功能吧。1、PPPoE 账号设定对一个 DSL用户来说,当他们访问 IPCop的欢迎页面时会看到相应的提示信息(如图 1所示),首先要做的事情就是对这些提示信息作相应的处理。随便哪个用户只要在他们的浏览器地址栏中输入这台 IPCop路由器的主机名或 IP地址(加上相应的端口号)都可看到这些信息。来自于 DSL用户的错误提示信息出现这个错误信息的原因是由于我们没有指定相应的 DSL账号与密码的缘故,要完成这些信息的指定,我们可进入到“Network”菜单下的“Dialup”选项,不过要使用那个 admin或 root用户的身份登录进入。图 2显示的是是 PPPoE连接中所有可用的配置选项内容。PPPoE账号设置2、DHCP 服务器前面就已经提到,IPCop 可以担当一台 DHCP服务器的角色,不过首先要做的是先完成图 3和图 4中所示的内容。由于 DHCP服务器设置的 web界面窗口比较大,笔者就用两张图片来显示这个窗口中的内容,在这两个图片中分别表示的是左边和右边区域部分的内容。
Copyright © 2018-2021 Wenke99.com All rights reserved
工信部备案号:浙ICP备20026746号-2
公安局备案号:浙公网安备33038302330469号
本站为C2C交文档易平台,即用户上传的文档直接卖给下载用户,本站只是网络服务中间平台,所有原创文档下载所得归上传人所有,若您发现上传作品侵犯了您的权利,请立刻联系网站客服并提供证据,平台将在3个工作日内予以改正。