Začínáme s m0n0wall

tato dokumentace byla napsána v lednu 2004, aby poskytla nějaký návrh dokumentace pro projekt brány firewall m0n0wall. Byla nahrazena oficiální projektovou dokumentací. O deset let později byl samotný m0n0wall nahrazen jiným softwarem brány firewall, zejména opnSense a pfSense. Tato stránka zůstává k dispozici pouze pro historické účely. (It still gets hits…)

Úvod

projekt m0n0wall je open Source firewall založený na FreeBSD určený pro použití na minimálním hardwaru PC, včetně vestavěných zařízení, jako jsou hardwarové platformy Soekris net4501 a net4801, přičemž stále poskytuje všechny základní funkce komerčních zařízení firewall. Prakticky veškerá konfigurace a správa se provádí pomocí webového rozhraní, které velmi usnadňuje nastavení robustní brány firewall.

webové rozhraní, i když je přímočaré, předpokládá určité minimální porozumění jak správě sítě obecně, tak konkrétně m0n0wall. Tato příručka byla napsána, aby vysvětlila počáteční kroky potřebné k získání systému m0n0wall nakonfigurovaného tak, aby poskytoval dvě služby — konfiguraci DHCP pro klienty a sdílení připojení založené na NAT -, které jsou nejužitečnější pro typickou domácí síť.

tato příručka se nepokouší poskytnout podrobné informace o konfiguraci brány firewall. Důrazně doporučujeme dvě knihy, abyste se podrobně dozvěděli o firewallech:

Firewally a internetová bezpečnost: odpuzování lstivého hackera
budování internetových firewallů

důležité: jste zodpovědní za vlastní zabezpečení sítě. Absolutně neneseme žádnou odpovědnost za bezpečnost vaší sítě, ať už budete postupovat podle pokynů zde nebo ne.

obecné zásady firewallu a zařízení NAT

systém založený na m0n0wall se zásadně používá k propojení dvou (nebo více) samostatných sítí dohromady, což umožňuje zařízením, jako jsou počítače a servery v obou sítích, aby se navzájem povolené připojení. Zařízení založené na m0n0wall může do sítě přidat připojení a funkce, například umožnit mnoha systémům sdílet jednu veřejnou IP adresu. Může také omezit připojení k systémům pod jeho kontrolou a působit jako opatrovník, aby zabránil neoprávněnému přístupu interních systémů zvenčí.

pro účely této příručky zjednodušíme možnosti a diskutujeme pouze o jedné z běžnějších situací, kdy se m0n0wall často používá, připojení domácí nebo malé kancelářské sítě k Internetu prostřednictvím širokopásmového připojení (dial-up zde není diskutován):

na obrázku 1 se m0n0wall používá k připojení malé domácí sítě LAN k internetu, což je největší WAN ze všech.

]

než začnete

než začnete provádět změny ve stávající síti, je velmi, velmi dobrý nápad zdokumentovat vaši aktuální pracovní konfiguraci. Pokud vám váš operační systém umožňuje zálohovat konfiguraci sítě, udělejte to hned.

dokumentování pracovní konfigurace je ideální čas na shromáždění některých důležitých informací. Mít nějaké konkrétní podrobnosti o vaší síti zapsané na jednom místě způsobí, že nastavení a aktivace m0n0wall půjde mnohem rychleji, a také umožní vycouvat, pokud se věci zhorší.

ideálním místem pro shromažďování těchto informací je sada, kterou vám ISP poslal, když jste se zaregistrovali k připojení k síti. Většina lidí soubor a ztratit tyto informace, ale naštěstí, můžete získat většinu z nich pouhým otevřením konfigurace sítě nástroj pro klientský počítač, který má v současné době přístup k internetu:

informace, které budete chtít shromáždit, jsou:

položka	klientské pole	příklad
WAN IP adresa pro zařízení m0n0wall	IP adresa (Mac) IP adresa (Win2K)	66.123.45.3
Maska podsítě	Maska podsítě	255.255.255.248
WAN brána	Router (Mac) Výchozí brána (Win2K)	66.123.45.1
DNS servery	DNS servery (Mac) preferovaný / alternativní DNS server	66.123.45.2 66.123.45.9

pokud vám váš ISP dal více než jednu IP adresu pro vaši síť, budete si muset vybrat jednu, kterou chcete dát m0n0wall. Pro zjednodušení doporučujeme zvolit nejnižší nebo nejvyšší IP adresu přidělenou klientskému systému (nikoli serveru). Všechny vaše desktopové systémy získají nové” interní ” IP adresy, které automaticky poskytuje m0n0wall, takže opravdu vyberte libovolnou adresu, kterou chcete.

přehled nastavení m0n0wall

nastavení nového zařízení m0n0wall se skládá z následujících sedmi kroků:

1. nastavení hardwaru, včetně připojení síťových kabelů
2. spusťte a nakonfigurujte minimální parametry m0n0wall pomocí rozhraní konzoly m0n0wall
3. nakonfigurujte klientský systém pro novou síť a připojte se k zařízení m0n0wall prostřednictvím webového rozhraní
4. změňte heslo správce
5. nakonfigurujte Obecná nastavení pro m0n0wall
6. nakonfigurujte rozhraní LAN
7. konfigurace rozhraní WAN

z větší části stačí připojit základní informace, které jste shromáždili dříve, na správná místa v m0n0wall. Žádný z těchto kroků není komplikovaný a pro mnoho sítí můžete přijmout výchozí nastavení, tj.

nastavení hardwaru

pokud plánujete spustit m0n0wall na nádherném vestavěném hardwaru od Soekris (buď zařízení řady net4501 nebo net4801), proces nastavení hardwaru nemůže být jednodušší. Je to proto, že všechna síťová rozhraní jsou vestavěná a m0n0wall o nich ve výchozím nastavení ví.

pokud plánujete spustit m0n0wall na standardním počítači, musíte se ujistit, že je k dispozici dostatek karet síťového rozhraní (nebo vestavěných rozhraní), abyste mohli k systému připojit požadované kabely.

v obou případech chcete připojit LAN (pravděpodobně pomocí ethernetového kabelu připojeného k rozbočovači nebo přepínači) k prvnímu síťovému rozhraní (Net0) a WAN (pravděpodobně ethernetový kabel připojený k vašemu DSL nebo kabelovému modemu nebo routeru) k druhému síťovému rozhraní (Net1):

na zařízeních Soekris jsou rozhraní Net0 a Net1 konektory RJ-45 pro Etherent 100 Mb / s a jsou označeny Net0 a Net1. Pokud nastavujete svůj vlastní počítač s více síťovými rozhraními ,budete se muset rozhodnout, které rozhraní je Které (a je dobré je označit jedním z těchto výrobců štítků, takže si budete pamatovat později!).

Poznámka: v případě, že to není zřejmé, vaše stolní počítače v domácí síti by měly být spojeny pomocí zbytku konektorů v rozbočovači nebo přepínači LAN Ethernet.

První spuštění

jakmile zapojíte systém m0n0wall do sítě, je čas jej zapnout. Určitě budete chtít vidět protokolování a zprávy, které jsou vytištěny na konzoli m0n0wall, jak se zavádí. Systémy Soekris se připojují sériovým kabelem k terminálu nebo sériovému portu na PC. Běžný počítač se může připojit ke standardnímu monitoru.

jak se m0n0wall spustí, uvidíte mnoho zpráv, které letí kolem; většinu času je můžete ignorovat a jen počkejte, až se zobrazí nabídka konzoly m0n0wall (ostatní zprávy mohou být užitečné při řešení problémů s hardwarem):

obrázek 4 ukazuje konzolu m0n0wall po zavedení s výchozí konfigurací z výroby. Zobrazí se důležitá nastavení, např. IP adresa LAN a aktuální přiřazení síťových rozhraní. Tato konzola je místo, kde musíte upravit několik počátečních nastavení konfigurace, pokud váš hardware nefunguje správně s výchozími hodnotami m0n0wall (pravděpodobně tak učiní pouze zařízení Soekris).

konzolu můžete také použít k resetování m0n0wall v případě, že provedete změny prostřednictvím webGUI, které znemožňují připojení k m0n0wall přes síť. Nakonec můžete restartovat m0n0wall, pokud jste provedli změny nastavení, které vyžadují restart.

Nastavení Konzoly

Poznámka: Pokud používáte m0n0wall na vestavěném zařízení Soekris net45xx nebo net48xx, můžete tuto sekci přeskočit, protože výchozí nastavení m0n0wall by mělo fungovat dobře.

konzola m0n0wall vám umožňuje sdělit m0n0wall základy připojení k síti. Než budete moci používat webové konfigurační rozhraní zvané webGUI, musíte m0n0wall informovat o své síti, protože webGUI závisí na přístupu k síti. Jinými slovy, nemůžete se připojit k m0n0wall přes síť, dokud o své síti neřeknete.

kritické informace přiřazují role různým síťovým rozhraním. Musíte říct m0n0wall, které síťové rozhraní je připojeno k vaší interní síti (LAN) a které je připojeno k internetu (WAN). Toto je konfigurace portu zobrazená uprostřed konzoly a v konfiguraci provedete změny výběrem první možnosti v nabídce konzoly “rozhraní: přiřazení síťových portů”:

když zvolíte možnost 1, nejprve získáte seznam síťových rozhraní, která m0n0wall našel, když inicializoval hardware, na kterém je spuštěn. Toto jsou síťová rozhraní, o kterých ví, a to jsou jediná rozhraní, která můžete přiřadit portům m0n0wall. (Něco zajímavého na obrázku 5 je, že výchozí tovární nastavení přiřadí port WAN rozhraní sis1, ale když jsou uvedena platná rozhraní, v seznamu není žádné rozhraní sis1!)

na každé výzvě zadejte název rozhraní, které chcete přiřadit požadovanému portu. Zadáte pouze krátký název rozhraní, např. de0, sis0 atd. (dlouhý řetězec čísel a písmen je ethernetová MAC adresa a je uveden pouze pro informační účely).

Poznámka: názvy síťových rozhraní-sis0, de1 atd. – jsou odvozeny od názvu “ovladače” pro hardware rozhraní. Je nepravděpodobné, že vaše síťová rozhraní budou mít tato jména na nich. Možná budete muset udělat nějaké vzdělané odhady, které rozhraní je které. Stačí připojit ethernetové kabely a pokud se v další části nemůžete připojit k webGUI, zkuste kabely vyměnit.

ve prospěch vlastníků zařízení Soekris jsou síťová rozhraní označena, ale ne Názvy zařízení. Zde je rychlé mapování štítků na pouzdře na Názvy zařízení, které vidí m0n0wall:

• Net0 —> Sis0 (má být připojen k síti LAN)
• Net1 —> sis1 (má být připojen k síti WAN)
• Net2 —> Sis2 (může být připojen k DMZ, není popsáno v této příručce)

dalším nastavením, které budete chtít změnit, je IP adresa LAN. Toto je IP adresa pro systém m0n0wall, jak se zobrazuje ve vaší interní síti. Výchozí nastavení je použít speciální IP adresu pro použití pouze v soukromých sítích. Pokud plánujete použít NAT k tomu, aby více interních systémů sdílelo jednu “veřejnou” IP adresu, pak by výchozí IP adresa m0n0wall měla pro vaše nastavení fungovat dobře.

tato příručka předpokládá, že používáte výchozí nastavení v síti. Složitější sítě a konfigurace nejsou v této příručce diskutovány; na internetu je však k dispozici velké množství informací o tomto tématu.

po přiřazení síťových rozhraní k portům budete muset restartovat m0n0wall. Pokud m0n0wall nenabízí, aby to udělal za vás, jednoduše zvolte možnost 5, “Reboot system” z nabídky konzoly. Jakmile m0n0wall dokončí restart, je čas znovu nakonfigurovat alespoň jeden klientský počítač v síti LAN, abyste věděli o m0n0wall, a poté přejděte do webového konfiguračního rozhraní webGUI.

konfigurace klienta

jakmile je m0n0wall nakonfigurován pro vaši síť a restartován pro aktivaci této konfigurace, budete chtít, aby se systémy ve vaší interní síti (LAN) připojily k internetu přes m0n0wall. Pro většinu situací to nemůže být jednodušší. m0n0wall může automaticky odesílat nastavení sítě všem klientům ve vaší síti, když se spustí klientské systémy. Vše, co musíte udělat, je nakonfigurovat klientské systémy tak, aby získaly nastavení sítě pomocí DHCP:

m0n0wall je velmi flexibilní, jak pracovat s klienty LAN. Existují další možnosti konfigurace, včetně statických IP adres nakonfigurovaných na straně klienta, DHCP přiřazování pevných IP adres klientům na základě jejich ethernetové MAC adresy a dalších. Často existují dobré důvody, proč tyto konfigurace chtít, ale pro většinu domácích sítí je to přehnané. Tato příručka neřeší tyto složitější konfigurace.

Představujeme webovou konfigurační aplikaci (webGUI)

webová konfigurační aplikace m0n0wall, webGUI, je místem, kde se většina konfiguračních změn provádí na m0n0wall. Webová rozhraní umožňují mnohem příjemnější uživatelský zážitek než pokus o konfiguraci všech různých funkcí zabudovaných do m0n0wall z konzoly. webGUI je snadno použitelný a příjemný na pohled, poskytuje vysoce kvalitní, profesionálně vypadající rozhraní pro m0n0wall.

Chcete-li se připojit k m0n0wall webGUI, zadejte do pole umístění prohlížeče IP adresu LAN, která je uvedena v konzole m0n0wall. Ve výchozím nastavení by to bylo http://192.168.1.1/. Budete vyzváni k zadání přihlašovacího jména a hesla. Přihlašovací jméno je “admin” a výchozí heslo je “mono”. (To se změní v dalším kroku!

po zadání autentizačních informací, pokud jste správně nastavili fyzickou Síť, Nastavení konzoly m0n0wall a nastavení sítě vašeho klienta, měli byste se zobrazit úvodní obrazovka m0n0wall webGUI:

Gratulujeme! Udělali jste 80% práce nastavit m0n0wall sloužit a chránit vaši síť! Téměř veškerá tvrdá práce je za Vámi.

Obecné nastavení

po přihlášení do konfiguračního rozhraní webGUI je možné dokončit nastavení m0n0wall pro vaši síť. Prvním krokem je změna výchozího hesla pro správu, které se provádí v panelu System / General setup:

zadejte nové heslo správce do polí pro heslo uprostřed panelu Obecné nastavení a klikněte na tlačítko Uložit dole. Nedělejte si starosti s dalšími nastaveními, stačí změnit heslo. (Zapomenutí změnit výchozí hesla je bezpečnostní díra číslo jedna v síťové infrastruktuře.) m0n0wall by měl oznámit, že úspěšně uložil změny.

po změně hesla správce lze zbývající možnosti na panelu Obecné Nastavení zkontrolovat a aktualizovat. Důležitá nastavení, která je třeba zadat, jsou:

• doména, pokud máte jeden
• DNS servery (vlastní nebo ty, které dodává váš ISP)
• Časové pásmo (vyberte město ve svém časovém pásmu; pokud budete mít štěstí, vaše vlastní město nebude na seznamu)

pokud budete někdy spravovat m0n0wall vzdáleně z veřejné sítě, měli byste také změnit protokol webGUI na HTTPS. Pokud tak učiníte, nezapomeňte, že adresa URL pro přístup k webGUI se změní na https://192.168.1.1/ (pokud používáte výchozí adresu) – všimněte si, že adresa URL nyní začíná https, nikoli http.

také při přístupu k nové adrese URL může váš prohlížeč upozornit na to, že není schopen ověřit pravost webu. Tuto zprávu můžete odstranit poskytnutím certifikátu SSL serveru v sekci webGUI SSL certifikát / klíč na panelu diagnostika / pokročilá nastavení. To je nad rámec této příručky. ]

ostatní nastavení zde může být užitečné upravit, ale v této příručce se s nimi nebudeme zabývat.

konfigurace rozhraní LAN

Chcete-li nakonfigurovat nebo zkontrolovat nastavení rozhraní LAN, přejděte na panel rozhraní / LAN:

nastavení zde umožňuje konfigurovat rozsah IP adres, které lze použít ve vaší interní síti. Pokud máte relativně malou síť (méně než 200 systémů) a plánujete použít NAT k jejich připojení k internetu, není dobrý důvod provádět změny výchozího nastavení m0n0wall pro rozhraní LAN.

pokud je vaše vnitřní síť velká, a proto potřebujete větší rozsah IP adres, můžete tuto změnu provést zde. Zadejte adresu IP pro m0n0wall ve vaší interní síti a poté pomocí rozbalovací nabídky netmask ve stylu CIDR řekněte, jak velká je síť. Pokud je vaše síť větší než 200 systémů, můžete také jít všichni ven a zadat 10.0.0.1 / 8, abyste do své interní sítě přidělili velmi velký rozsah IP adres.

zatímco počet polí nastavení na tomto panelu je malý, rozsah možností a důvody pro provedení změn oproti výchozím hodnotám jsou poměrně velké. Pokud zde nejsou splněny vaše potřeby, pravděpodobně budete potřebovat mnohem větší odkaz na síť než tato příručka. ]

konfigurace rozhraní WAN

posledním krokem pro první nastavení m0n0wall je konfigurace rozhraní WAN. To se provádí pomocí panelu Nastavení rozhraní / WAN:

nastavení zde říká m0n0wall, jak se připojit k externí síti, obvykle připojení vašeho ISP k internetu. Existuje celá řada způsobů, jak externí sítě umožňují připojení, a proto tento panel nastavení vypadá tak komplikovaně. Nebojte se, nemusíte to všechno vyplňovat!

nejprve musíte říct m0n0wall, jaký druh připojení se má vytvořit. Existují čtyři různé možné typy rozhraní WAN, které se nastavují pomocí rozbalovací nabídky typu. Který typ zvolíte, bude záviset na tom, k jaké síti se připojujete. První tři možnosti (DHCP, Static a PPPoE) se nejčastěji používají k připojení k Internetu prostřednictvím ISP. Poslední možnost (PPTP) se běžně používá pro připojení k privátním sítím, tj. PPTP zde nebude diskutováno.

pro každý typ připojení je dále v panelu sekce, která umožňuje zadat podrobnosti o připojení. Stačí vyplnit údaje o typu připojení, které jste si vybrali. Všechny ostatní informace mohou a měly by zůstat prázdné. To znamená, že panel Nastavení rozhraní WAN je mnohem jednodušší, než vypadá.

DHCP WAN rozhraní

stejně jako m0n0wall může používat DHCP k distribuci síťových nastavení do vašich klientských systémů, může váš ISP použít DHCP k poskytnutí síťových nastavení pro m0n0wall, které má použít pro sebe. Pokud síť vašeho ISP poskytuje DHCP, pak je to zdaleka nejjednodušší způsob nastavení. Ve skutečnosti, protože se jedná o výchozí nastavení, vaše síťové připojení již může fungovat! (Pokračujte a vyzkoušejte, jak je popsáno v testování síťového připojení níže.)

jediné nastavení, které možná budete muset poskytnout pro připojení DHCP, je název hostitele v sekci konfigurace klienta DHCP na panelu. Váš ISP vám bude muset říct, co, pokud něco, dát do tohoto pole. Pokud však vaše připojení již funguje, můžete jej nechat prázdné.

jakmile zadáte příslušné informace do sekce rozhraní DHCP WAN, klikněte na tlačítko Uložit ve spodní části panelu.

statické WAN rozhraní

pokud jste obdrželi pevnou IP adresu od vašeho ISP (na rozdíl od dynamické IP adresy, která se pravidelně mění), budete chtít nakonfigurovat statické WAN rozhraní. To je obvykle případ, pokud máte s vaším ISP smlouvu o poskytování služeb “business-class connection”, která vám mimo jiné umožňuje provozovat vlastní servery, aniž byste porušili smluvní podmínky vašeho ISP. Ale existuje celá řada důvodů, proč můžete mít pevnou nebo statickou IP adresu, kterou vám váš ISP. V každém případě, pokud vám dali IP adresu a masku sítě, kterou chcete použít v nastavení sítě, je to způsob, jak jít.

konfigurace statického rozhraní WAN není o mnoho těžší než rozhraní DHCP WAN, jakmile shromáždíte potřebné informace, jak je popsáno na začátku tohoto dokumentu. Budete potřebovat následující podrobnosti:

• m0n0wall IP adresa
• síťová brána IP adresa
• síťová maska

zadejte adresu IP m0n0wall do pole IP adresa a adresu IP síťové brány do pole brána.

síťová maska je trochu složitá. Většina ISP a desktopových operačních systémů zobrazuje síťovou masku jako sérii čtyř čísel oddělených tečkami (velmi podobné IP adrese), např. 255.255.255.248. m0n0wall používá notaci ve stylu CIDR, což je lomítko ( ” / ” ) a číslo mezi 1 a 31. Zadáte jej pomocí rozbalovací nabídky za polem IP adresa.

vysvětlení rozdílů nebo konverzního vzorce je složitější, než stojí za to. Zde je překladová tabulka, kterou můžete použít k převodu z nejpravděpodobnějších masek tradičního stylu na masky ve stylu CIDR:

Traditional Netmask	CIDR Netmask
255.255.255.254	31
255.255.255.252	30
255.255.255.248	29
255.255.255.240	28
255.255.255.224	27
255.255.255.0	24
255.255.0.0	16

jakmile zadáte příslušné informace do sekce statické rozhraní WAN, klikněte na tlačítko Uložit ve spodní části panelu.

PPPoE WAN rozhraní

PPP byl standardní způsob připojení k Internetu prostřednictvím vytáčeného připojení pomocí běžného modemu a telefonní linky. PPPoE je způsob, jak dělat PPP přes Ethernet, místo telefonní linky.

i když to zní komplikovaně, dobrou zprávou je, že PPPoE je druhý nejjednodušší typ rozhraní WAN, který lze konfigurovat po DHCP. Stačí připojit své uživatelské jméno a heslo PPPoE do sekce konfigurace PPPoE na panelu Nastavení rozhraní WAN.

možná budete potřebovat název služby ve stejné části, ale jak naznačuje rozhraní m0n0wall, pravděpodobně jej můžete přeskočit. Zkuste se s ním připojit prázdný, a pokud to nefunguje, vyhledejte to v informacích, které vám zaslal váš ISP atd.

jakmile zadáte příslušné informace do sekce rozhraní PPPoE WAN, klikněte na tlačítko Uložit v dolní části panelu.

testování síťového připojení

jakmile zadáte potřebná nastavení, jak je popsáno výše, jste připraveni otestovat síťové připojení. Nejjednodušší způsob, jak toho dosáhnout, je navštívit veřejný web pomocí stejného webového prohlížeče, který jste právě použili ke konfiguraci m0n0wall. Zkuste yahoo.com, google.com nebo itunes.com pro začátek. Pokud se některý z webů načte, vaše konfigurace m0n0wall pravděpodobně funguje dobře. Gratuluji!

možná budete chtít testovat jiné druhy síťových připojení kromě webových připojení, protože některé síťové protokoly se chovají jinak než protokol HTTP, který je základem webu.

jedním z příkladů, který si zaslouží kontrolu, je FTP, který musí být určitě správně nakonfigurován, aby fungoval zpoza m0n0wall. Ve výchozím nastavení m0n0wall podporuje pouze “pasivní” FTP a” aktivní ” FTP pravděpodobně selže. (Rozdíl mezi aktivním a pasivním FTP je komplikovaný.) Možná budete muset provést změny konfigurace systému nebo nástrojů pro přenos souborů:

Mezi další aplikace, které byste mohli v tuto chvíli vyzkoušet, patří streamování přehrávačů médií. Přejít na QuickTime.com a sledovat některé filmové upoutávky. Přejít na NPR.org a poslechněte si nějaké novinky, nebo nejnovější díl Fresh Air. Pomocí iTunes můžete poslouchat několik hudebních ukázek z iTunes Music Store.

efektivní a úplné testování brány Firewall je téma daleko nad rámec této příručky. Nicméně, můžete využít Gibson Research Corporation ShieldsUP! služba pro rychlé otestování vaší nové brány m0n0wall. I když není náhradou za profesionální posouzení bezpečnosti vaší sítě, je to skvělý způsob, jak identifikovat některé z snadněji zapojitelných otvorů, které jste možná přehlédli.

řešení problémů

]