空间管理您的位置: 远景无限博客 » 海缘 » 日志

海纳百川有容乃大，壁立千仞无谷则刚。

monowall安装

上一篇 / 下一篇 2008-08-03 23:08:22 / 天气: 热 / 心情: 平静 / 个人分类：网络

查看( 19 ) / 评论( 0 ) / 评分( 0 / 0 )

O"Q1`"`8D}0在Windows下安装

(use the -u flag if the target disk is > 800 MB - make very sure you\'ve selected the right disk!!)

&{9H}k/z.~^;Gy0physdiskwrite [-u] generic-pc-xxx.img

#Rrcrw ssC"SVM&_0(you must use v0.3 or later!) (将要做路由器的硬盘接到现有的windows系统电脑中，将映象文件写入硬盘）远景无限博客0x5]_ BO

] T6Ri'mk2@P4q2}0准确格式应为：physdiskwrite -u generic-pc-xxx.img 其中-u不应有[ ]符号

B([y0}T oR I5Y [0六、assign functions (LAN/WAN/OPT) to your interfaces (hint: use auto-detection, or let the MAC addresses tell you which card is which one)

V8d9LQ1T9gU0指定你的网卡，哪一块为内网卡，哪一张为外网卡。可以点击，自动检测或者让mac地址告诉你哪一张分别是内外网卡。远景无限博客+^:Z9t,Ie,\3bk^

xsm-XQPl0(1)这步的前提是：如自动、手动指定网卡前，网卡不能插好网线（用自动指定安装时，有提示要插时才能插网线），切记！远景无限博客q:{D}:|+]G`D

)`(@Y8}` ~[0(2)出现：

Do you want to set up VLANs first?

4} }:fno{)L*~.A4@0If you\'re not going to use VLANs, or only for optional interfaes, you

S}+T&p nwB1y0should say no here and use the webGUI to configure VLANs later, if required.

Do you want to set up VLANs now? (y/n) 一般情况下选n远景无限博客9[(T1MaN

（3）出现：

Enter the Optional 1 interface name or \'a\' for auto-detection远景无限博客s0K` }J S(P!l_+ru

(or nothing if finished):

一般情况什么也不用输，直接回车！

--------------------------------------------------------------------------------远景无限博客 ~(eK aOzc+?C

G:J-y/m5W!e.^0--

Qdo;["A _cd;a0mOnOwall设置最关键的步聚：远景无限博客U*J}{Z C"y0y}

机器配置：C667，128M，400M硬盘，815EPT主板。两块DLINK 530TX网卡。远景无限博客Jt vB:CBT"Jd2}

)j8k){O*{${0下载PHYSWRITE5。0和GENERIC-PC-1。1。IMG

WIN2000的DOS下执行：PHYSWRITE GENERIC-PC-1。1。IMG远景无限博客iKj-}byD)V+g

注意：只能在WIN2000，WINNT，WINXP下做，WIN98的DOS下不可以。远景无限博客"TJ q(p_t8QZG-a

*n]QtWp|0做好硬盘后挂到机器上。接好网卡，（不要把网线插到网卡上）开机。会出现五个菜单。

Lb4O4z|5G0还会出现：远景无限博客,z n"d/|c{)]3Sy

VLAN0->SIS0远景无限博客YGx qH{` n

Uk _d#Fc)A!f.b0VLAN1->SIS1远景无限博客 @8tN|H;HN6ZrL2f

接着输入1远景无限博客 O b9{Y`F

输入Y远景无限博客 o3r l,l7~ `

输入A远景无限博客o1qQ6@o

z*z0B8Ej0这时候会出现PRESS ENTER TO CONTIUNE远景无限博客vFi4q*Id\X

先把内网线插到某一块网卡上，按回车，它会出现LINK IS UP远景无限博客9q!k-["\`Vu

\T%] [e#gb$PW^1f0接着输入A，

这时候会出现PRESS ENTER TO CONTIUNE

再把外网线插到另一块网卡上，按回车，它会出现LINK IS UP远景无限博客.p@b x4}BYQ j

1\c~6^'W"Oa0出现：Enter the Optional 1 interface name or \'a\' for auto-detection

-ti)|f7f$r^0(or nothing if finished): －－什么也不用输，直接回车！

接着按Y，远景无限博客 X ^Kou7xQSC

再输入2。设置内网，如192。168。1。1，

输入24，

u i*e2kg+c'M/q.Z0输入起始地址（如192。168。1。2）

输入终止地址（如192。168。1。200）

"I2UlPQ8ZM0输入Y。

最后重新启动，远景无限博客Up]?/`2t3wW

等MONO，再次进入五个菜单后。设置客户机，

客户机只需要设置自动分配IP地址。。

D3|:R8y$rDl8_0在WIN98的DOS下输入WINIPCFG远景无限博客?g2@R(O(F-P

%mI'~1p1~7Fc0点击更新，它会自动得到一个IP地址（如192。168。1。200）远景无限博客$iB-@._w

接着，就可以PING通路由器了，当然也能在WEB页中输入HTTP：//192。168。1。1

用户名：admin远景无限博客4cz"sZAH~.FXTm

?ya Zrw5?~0密码：mono远景无限博客et$pbQpJ0?kD

#?l~6]`U(chA%W0就可以了。

m0n0wall推荐使用Intel 和3COM系列的网卡

我极力推荐使用Intel或3com网卡，Intel PRO/100和3COM 3C905网卡系统非常容易配置。

m0n0Wall光纤固定IP路由的设置远景无限博客D9\y8R~VW}S

\'J']1z\/sziZup0进入web之前的安装很多人讲啦，不再重复，这里讲的是光纤固定IP在web里的设置远景无限博客P$rc?4H&A:W:|g

KEB)E)dGYQD%wb0先进入System选General setup,这里设置你的DNS，别的默认设置就好了

设好以后，拉到最下面点save保存一下。远景无限博客Rt(fx1aY?G

内网卡在安装时设好了，所以再设置下外网卡,进到Interfaces选WAN,远景无限博客Em"T"mo Yc$A!q

L|*b8l5j0最上面的type就是选接入类型了，光纤选static, 在IP address里填你的外网IP远景无限博客f:X!k {#\'QV'`1W

Fr2L#D2rVZn4kV0后面的30是子网掩码，代表255,255,255,252。如果你是别的可以自己选远景无限博客iLT5tf_j'SDc7V

e U0B$RjQ7CuyU0Gateway里填入外网IP的网关

q5Yu;fb|2^4h]0设好以后同样拉到最下面点一下Save保存。远景无限博客/Wqiq,aG:I GA#J_

}+tA u9c0最后进入Diagnostics里选Reboot system远景无限博客(e5R{/B)R']QW#`F

cq/]XR0问你是否确定要重启，选Yes重启，让刚才的设置生效，重启好以后

#xg1L%m5eU8y'D;q)q0你的外网线还没插吗，插上吧，路由开始工作了~!远景无限博客SZ6NciC6sS+|

m;Ge\/Z0终于MOMO了，呵呵

9hX1wI]`&duDW0以下不是原创：）远景无限博客:X!x#P `pg4R DT/wM

%u II _X Y0安装到硬盘上的步骤为：

Installation on a standard PC (CF/IDE version)

Installation on a standard PC requires the following steps:

^g1Is[Oj0一、download the raw CF/IDE image (generic-pc)远景无限博客L.fP#ft6OS%}

write the image to a CF card (> 5 MB) or an IDE hard disk, either with dd under FreeBSD or under Windows with my tool, physdiskwrite 0.4 (下载m0n0的硬盘启动映象文件,地址为：

[url=http://m0n0wall.cac.net/download/m0n0wall/generic-pc-1.1.img]http://m0n0wall.cac.net/download/m0n0wall/generic-pc-1.1.img[/url]远景无限博客J5l RjLI

同时下载映象文件写入工具physdiskwrite，地址为：

[url=http://www.m0n0.ch/wall/downloads/physdiskwrite-0.5.zip]http://www.m0n0.ch/wall/downloads/physdiskwrite-0.5.zip[/url]

m&I9N$J;utX!g$j0二、Windows:

1|H5| |0z}Ho&|0(use the -u flag if the target disk is > 800 MB - make very sure you\'ve selected the right disk!!)远景无限博客5eh7E)?0x

physdiskwrite [-u] generic-pc-xxx.img

(you must use v0.3 or later!) (将要做路由器的硬盘接到现有的windows系统电脑中，将映象文件写入硬盘）

三、put the CF card/HD into the target PC (把硬盘安装到目标机器中）远景无限博客|1Am:y G

四、plug the PC into the network (LAN/WAN/...) (接好网络设备）远景无限博客/hx}Y-[Xp

五、power it up

S vWv^bxk0六、assign functions (LAN/WAN/OPT) to your interfaces (hint: use auto-detection, or let the MAC addresses tell you which card is which one)远景无限博客b3zU"E1j"Z/@m

指定你的网卡，哪一块为内网卡，哪一张为外网卡。可以点击，自动检测或者让mac地址告诉你哪一张分别是内外网卡。

`V?e-`$B c0change the LAN IP address, or use the default (192.168.1.1; m0n0wall acts as a DHCP server by default)

0p'yj-PF&BOi0access the webGUI (user: \'admin\', default password: \'mono\')远景无限博客L0[4tEU8^\Lq%]

make the necessary changes to the default configuration

简而言之，就是将下载到的映象文件写到一个6M以上的硬盘上以后，就可以通过[url=http://192.168.1.1/]http://192.168.1.1[/url]进行各项功能设定、管理了。远景无限博客|U9AV C

xv'uA8Eu9T8V0说明文档：

6A*j\'?H~$Q8G0[url=http://www.m0n0.ch/wall/docbook/]http://www.m0n0.ch/wall/docbook/[/url]远景无限博客AL@O)yc]RNw^

kA3X;C#J:|W0oI0m0n0wall管理员手册

m0n0wall组成简介 1远景无限博客rW3FFSHR|k

m0n0wall功能特点 2远景无限博客\-@"K2`0nlXQ9H

m0n0wall安装方法 3

;[BLd]/|HB]7L0如何在标准PC上安装CD-ROM版本 3

,b[A8aI,F5Y0如何在标准PC或者嵌入式PC上安装CF/IDE版本 4远景无限博客9Ze!kCi-q3~ A

m0n0wall组成简介

%_O&ga*A$Y7}0m0n0wall是一款以FreeBSD 4.9 为内核的，整合了Unix系统下大名鼎鼎的包过滤防火墙软件ipfilter，配合PHP（做管理界面）、thttpd（提供基于浏览器的管理）、MPD（提供VPN功能）、ISC DHCP server（提供ip地址自动分配功能）以及DNS转发、动态DNS、IPSec IKE（VPN加密），提供快速、稳定、易用的工作组级防火墙系统，并且是开放源代码的软件产品，作者的目标并不是提供大型企业级安全产品，而是给中小用户提供一个另外的选择，假如你打算要购买 WatchGuard SOHO、 ZyXEL ZyWALL 10、 SonicWALL SOHO、 NetScreen 5XP等类似级别商业防火墙，那么完全可以使用m0n0wall代替。

N6x_g`3_v?3S0m0n0wall防火墙系统现在在CF卡或者CD-ROM上占用不到5M的空间，并且包括了：

"w(z'as5tS0 所有必需的FreeBSD组件，包括内核、用户程序

 ipfilter包过虑防火墙软件远景无限博客8A ~HYp5uwn%f

.T c$^kc,V)? {1Ty0 PHP（CGI版本）远景无限博客%N.XywP;KM0N(t3?@

 thttpd

?Vtz!rC-F0 MPD远景无限博客OS-s}^H og|

h^]q1Q_i5yV K0 ISC DHCP 服务器

4L0F:V$jnO4Q*dz0 ez-ipupdate（为动态域名服务提供更新）远景无限博客#UI0[#af3u1s

 Dnsmasq（为DNS缓存转发提供服务）

UR.bMqL0 racoon（为IPsec IKE提供支持）

m0n0wall 当前有好几个适用版本，可以用在普通IDE硬盘、IDE电子硬盘、CF卡、光盘＋软盘、或者net45xx、net48xx等通讯计算机上。m0n0wall 在标准PC机上可以达到>50Mbps的性能，包括NAT在内。远景无限博客Z$k!o1PIBYI

@T3L|$_c(s0任何386以上的计算机，只要配备2或者3块网卡，不小于64M内存就可以运行该防火墙系统，有两种模式：

 硬盘模式：有个小硬盘或者电子硬盘，也可以是CF卡，然后把m0n0wall 写到硬盘上，从硬盘启动即可；远景无限博客t$nJS,hN/\

:cq${;q9Y ?w/IcwT&@0 光盘＋软盘模式：光盘存储m0n0wall 软件，软盘存储配置文件，从光盘启动即可；软盘使用FAT文件系统，配置文件为XML格式，在windows下面可以读写。

+n[/P.Q7l5au)RAJ0m0n0wall功能特点

当前m0n0wall 已经提供了很多商业防火墙所具备的功能，包括：远景无限博客 aW3V@?d3I

5L-a_2d9Sq0 基于浏览器的管理接口 (支持 SSL)

SR7r/V)zb0 基于控制台的简单管理，用于系统修复远景无限博客%O&l Y3G cz+F&j

7VO:Y6Rt.QCl0 设置LAN接口、WAN接口、DMZ接口

 配置LAN接口地址

j/\ K`8[6D^k*pyb0 恢复Web管理登录密码远景无限博客#d-\a)@'h a

9ms:UVdrbJ:b1u3}w0 恢复出厂设置

9E'c^[(Js m {0 重启系统

np7[y(Pr0 支持无线网络 (access point with PRISM-II/2.5 cards, BSS/IBSS with other cards including Cisco)远景无限博客\;|b&K s&Z1mc3U

wi&v^)@w@0 基于状态的包过滤（这是checkpoint公司首先提出的）

rP`0yFX o4}V0 阻止/允许规则远景无限博客S+}4u0zKO8MOQ

*@1PM&A#~,[0 日志记录

 NAT或者PAT，包括一一映射

7j8qP2Z7}-@j-zsNUj0 WAN接口支持DHCP、PPPoE、PPTP

 IPsec VPN tunnels (IKE; with support for hardware crypto cards and mobile clients)远景无限博客zZh5Fy2h Je c

OS?3Eh}'N!v3~0 PPTP VPN (with RADIUS server support)

`Ah({X]0 静态路由远景无限博客/V;b5aICQf

~bdIe}"`0 DHCP服务器

 DNS缓存转发

 动态DNS客户端

 SNMP代理远景无限博客;i2s.DJZ R-qM

 流量整形远景无限博客L;zKK:l;F

 通过FTP升级系统固件

 配置文件备份与恢复

G.U"s3b.h0 主机别名或者网络别名远景无限博客b??0P4bs)M0_Nx

#A6f\jZ%V~4q0m0n0wall安装方法远景无限博客+Vo/K'L@ w$Y

如何在标准PC上安装CD-ROM版本远景无限博客1NfFTnz

在标准PC上安装m0n0wall防火墙系统CD-ROM（＋软盘）版本需要如下这些步骤：远景无限博客6Ob)T4n:pgZR

x9P.}f7`0 取得m0n0wall防火墙系统的ISO镜像文件远景无限博客#Z:r0[.L } A3j&O2aK

A.PY5S7p5v+]:z Tn7Z0 将ISO镜像文件烧录在CD-R 或者CD-RW上远景无限博客:lJ;`Sy

1k-oRyP+`,y|0 FreeBSD（ATAPI 刻录机）：burncd –s max –e data cdrom-xxx.iso fixate远景无限博客7z%D;Q'M4{M'@

 Windows：使用你喜欢的烧录软件（比如Nero）来烧录ISO镜像文件（2048bytes/sector，Mode-1）

 找一片1.44M的软盘并格式化（采用MS-DOS / FAT文件系统）远景无限博客-|9TncsqQ(F,Y"WI

5D&nB~6TczG0 FreeBSD：fdformat –f 1440 /dev/fd0 && newfs_msdos –L “m0n0wallcfg” –f 1440 /dec/fd0 注意：如果你的软盘已经格式化，那么你可以忽略这一步

2l'S(whz#Z3x0 Windows：format A:远景无限博客*ia6l`e6] c

/G@'^bPFF O)v2xf\0 打开你的PC，进入BIOS，设置为从CD-ROM启动，禁止从软盘启动

 插入烧录好的光盘和格式化好的软盘（不要写保护）远景无限博客C``9m2o!`!}V6eR

;U&ua5UQH0 启动PC

7W7FQi G3z.zi0 等待控制台菜单出现，选择1指定网络接口远景无限博客4cR;Y7D3o

B3L&s9i:Eq h:k\0 指定LAN/WAN/OPT使用的接口名称（提示：可以使用自动检测，或者根据MAC地址确定哪张网卡是哪个接口）

4l5`,|0\0c2P&b0 修改LAN接口的ip地址，或者使用默认的地址（192.168.1.1; m0n0wall默认将提供DHCP服务器功能）

 通过浏览器管理接口访问m0n0wall（用户名：admin，密码：mono）

.H Tp+eo0 根据需要修改默认的配置

如何在标准PC或者嵌入式PC上安装CF/IDE版本

u]rQL'HVqA0在标准PC或者嵌入式PC上安装m0n0wall防火墙系统CF/IDE版本需要如下这些步骤：远景无限博客L:WS z:wDg5y#M

j"up1]:Gc0 取得m0n0wall防火墙系统的原始CF/IDE镜像文件

R#\;p7R,kr ?.gJ;\0 将镜像文件写入CF卡（>5M）或者IDE硬盘，可以在FreeBSD下使用dd或者在windows下使用我提供的工具physdiskwrite 0.4远景无限博客b4yUm ?7|.XR

 FreeBSD：远景无限博客6vJ${\4evM

 gzcat generic-pc-xxx.img | dd f=/dev/rad[n] bs=16k远景无限博客m*{v*~:Q0T

 这里n=你的CF卡的AD设备号（通过dmesg查看）

 忽略关于跟踪信息的警告，这是由于数字签名造成的

 Linux：

}n3En_4R/W0 Gunzip –c generic-pc-xxx.img | dd f=/dev/hdX bs=16k

Q;Cwd3xp7`,b0 这里X=你的CF卡的IDE设备名（通过hdparm –i /dev/hdX查看），有些适配卡，特别是USB，可能会显示在SCSI，比如 /dev/sdX

 忽略关于跟踪信息的警告，这是由于数字签名造成的

 Windows：远景无限博客V7M,ZUex

 如果你的IDE硬盘容量超过800MB，请添加参数 –u ，（确定你选择了正确的硬盘）

 physdiskwrite [-u] generic-pc-xxx.img

 将CF卡或者IDE硬盘接到PC远景无限博客*U U y2Y$d.d}}} ?

P3@[!H#U2MG0 将PC连上网络（LAN/WAN/…）

 打开PC电源

:^#PnS W4}X0 指定LAN/WAN/OPT使用的接口名称（提示：可以使用自动检测，或者根据MAC地址确定哪张网卡是哪个接口）

 修改LAN接口的ip地址，或者使用默认的地址（192.168.1.1; m0n0wall默认将提供DHCP服务器功能）远景无限博客)TQtGyW

 通过浏览器管理接口访问m0n0wall（用户名：admin，密码：mono）远景无限博客X {1F2X gvMy:K

 根据需要修改默认的配置远景无限博客b?dA)tO,L

zz|Zs|7M0m0n0wall配置指南

-@ge+^N0通过控制台配置远景无限博客%oM(?pQ o`/k

m0n0wall启动完成之后会列出可用的网络接口，包括名称和MAC地址，并且提供一个简单的菜单：远景无限博客%R+ml)VjHH

1设置LAN接口、WAN接口、DMZ接口远景无限博客,Q p {d%Rl&I

2配置LAN接口地址

3恢复Web管理登录密码

%x5P&nZ9E.h3FW04恢复出厂设置

Kt0Mu]Z05重启系统

选择1，根据提示输入LAN、WAN、OPT接口使用的网络接口名称，也可以采用自动检测的方法，先拔掉所有网线，然后输入1，输入a，根据提示插入网线，然后回车检测，这样检测的是LAN网络接口名称，根据提示可以继续检测WAN网络接口名称和OPT网络接口名称。如果网络接口名称指定发生变化，在完成检测之后系统将提示重新启动。远景无限博客Skye|/c!W(B+K

p7s*^t/Pxid0选择2，设定LAN网络接口的ip地址，首先输入ip地址，回车后提示输入子网掩码的长度，比如8、16、24等，采用CIDR格式。

剩余3个选项很简单，根据提示操作就行了。

通过浏览器配置远景无限博客R!V-Ho)F%Ia~#r1c

控制台只是提供了一些初始化的简单配置功能，要想更多的配置整个防火墙的各项参数，还得从浏览器登录。默认采用的是80端口，也就是HTTP，可以改成支持SSL的HTTPs，在浏览器里输入 [url=http://192.168.1.1/]http://192.168.1.1/[/url]（假定防火墙LAN接口ip地...0n0wall主界面。

/A%p(B6p7Jhi@0在System-General setup里面，hostname指定了防火墙的名称，比如FW，domain指定了防火墙所在的域，比如mycom.com，这样别人看到的防火墙全称就是FW.mycom.com，DNS servers指定了防火墙可以使用的DNS服务器地址，这将提供给DHCP服务器和PPTP VPN客户端使用，Username可以重新设定管理员的用户名，默认是admin，Password可以重新管理员的登录密码，WebGUI protocol指定是采用 [url=http://192.168.1.1/]HTTP://192.168.1.1[/url]还是HTTPS:/192.168.1.1/?..芾斫缑妫瑆ebGUI port指定管理端口，默认是HTTP采用80端口而HTTPS采用443端口，如果改变了端口，就需要在URL中进行指定，比如 [url=http://192.168.1.1:8088/]http://192.168.1.1:8088/[/url]。

G"_s)\,b7t0在System-Static routes里面添加静态路由，如果你对路由这个概念不熟悉，建议你先看看这方面的书籍。远景无限博客N-T[R~Tdr

在System-Firmware里面可以对系统固件进行升级，当然这对光盘版不适用，当防火墙有新版本出来时，可以先点击 Enable firmware upload ，然后选择新版本的防火墙软件文件，最后点击 Upgrade firmware ，当升级完成时系统自动重新启动，不会损坏配置文件。在升级过程中不用取消，否则整个系统将崩溃。

9u;M{DO0赟ystem-Advanced里面可以设置是否让NAT支持IPv6封装包，是否启动桥接过虑功能，是否禁用控制台菜单，以及额外SSL的是指证书。

在Interface-assign里面可以重新设定网络接口名称。

| IUg"weX0在Interface-LAN里面设置LAN接口ip地址

在Interface-WAN里面设置WAN接口类型，并根据接口类型设置参数，包括MAC地址；静态IP地址和网关；PPPoE的用户名、密码和服务名；PPTP的用户名、密码、本地IP地址和远端ip地址；是否阻止保留网络地址段从WAN接口进入等。远景无限博客f3a6mfJ ld6M{

gVI+?:hr.[^0在Interface-optional interfaces里面设定接口描述，是否跟其他接口进行桥接，接口IP地址等。

在Interface-wireless configuration里面设置无线网络的模式、SSID、通道、WEP加密、是否跟其他接口桥接，接口IP地址等。远景无限博客m;ach;eB

-ik)\9r P[!]-E0在Firewall-Rules里面设置防火墙的访问规则。远景无限博客/V?LOZQQ3d-B#f

V m%QdPI$\Bm0在Firewall-NAT里面设置网络地址转换规则，包括入口转换、服务器转换、一一映射、出口转换等。

在Firewall-Traffic shaper里面设置带宽分配策略，包括是否启用带宽分配功能、定义管道、设定队列权重、带宽分配规则等。

在Firewall-Alias里面设定主机或者网络别名，通过别名，可以更好的维护防火墙规则。

!}` r,L3[6?0在Services-DNS forwarder里面设定DNS缓存转发，还可以设定一些新的DNS条目，以覆盖其他外部DNS服务器提供DNS解析的某些条目。

~-j:R ~ u{,v0在Services-Dynamic DNS里面设定动态域名客户端，不一定支持外部所有的动态域名服务器，如果你不知道动态域名是怎么回事，建议你先上网看看相关资料，比如DNS2go。