Kom godt i gang med m0n0
denne dokumentation blev skrevet i januar 2004 for at give nogle udkast til dokumentation for m0n0mur brandmur projekt. Det blev erstattet af officiel projektdokumentation. Ti år senere blev m0n0mur selv afløst af andre brandmurprogrammer, især åbnsense og pfSense. Denne side forbliver kun tilgængelig til historiske formål. (Det får stadig hits…)
introduktion
m0n0mur-projektet er et Open Source FreeBSD-baseret brandmur designet til brug på minimalt PC-udstyr, inklusive indlejrede enheder som f.eks Soekris net4501 og net4801 udstyrsplatforme, mens det stadig leverer alle de væsentlige funktioner i kommercielle brandmurapparater. Stort set al konfiguration og administration sker ved hjælp af en internetbaseret grænseflade, der gør det meget nemt at oprette en robust brandvæg.
internetgrænsefladen antager, selvom den er ligetil, en vis minimumsforståelse af både netværksadministration generelt og m0n0væg specifikt. Denne vejledning blev skrevet for at forklare de indledende trin, der kræves for at få et m0n0 — system konfigureret til at levere de to tjenester-DHCP — konfiguration til klienter og NAT-baseret forbindelsesdeling-der er mest nyttige til et typisk hjemmenetværk.
denne vejledning forsøger ikke at give detaljerede oplysninger om konfiguration af en brandvæg. Vi kan varmt anbefale to bøger til at lære om brandvægge i dybden:
brandvægge og internetsikkerhed: frastødende den snu Hacker
bygning af Internet brandvægge
vigtigt: du er ansvarlig for din egen netværkssikkerhed. Vi tager absolut intet ansvar for sikkerheden i dit netværk, uanset om du følger instruktionerne her eller ej.
generelle principper for BRANDVÆG og NAT-apparater
grundlæggende bruges et m0n0vægbaseret system til at forbinde to (eller flere) separate netværk sammen, så enheder som computere og servere på begge netværk kan oprette tilladte forbindelser til hinanden. Et m0n0vægbaseret apparat kan tilføje forbindelser og funktioner til et netværk, såsom at tillade mange systemer at dele en enkelt offentlig IP-adresse. Det kan også begrænse forbindelser til systemer under dets kontrol og fungere som værge for at forhindre uautoriseret adgang til interne systemer af udenforstående.
i denne vejledning vil vi forenkle mulighederne og kun diskutere en af de mere almindelige situationer, hvor m0n0væg ofte bruges, der forbinder et hjem eller et lille kontornetværk til internettet via en bredbåndsforbindelse (opkald er ikke diskuteret her):
i Figur 1 bruges m0n0væg til at forbinde et lille hjemmenetværk, LAN, til internettet, som er den største af alle.
]
før du begynder
før du begynder at foretage ændringer i dit eksisterende netværk, er det en meget, meget god ide at dokumentere din nuværende, fungerende konfiguration. Hvis dit operativsystem giver dig mulighed for at lave en sikkerhedskopi af din netværkskonfiguration, skal du gøre det nu.
dokumentation af en arbejdskonfiguration er det perfekte tidspunkt at samle nogle vigtige oplysninger. At have nogle specifikke detaljer om dit netværk skrevet ned et sted vil gøre opsætningen og aktiveringen af m0n0væg gå meget hurtigere, samt gøre det muligt at bakke ud, hvis tingene går galt.
det ideelle sted at indsamle disse oplysninger fra er det sæt, din internetudbyder sendte dig, da du tilmeldte dig din netværksforbindelse. De fleste arkiverer og mister disse oplysninger, men heldigvis kan du få det meste af det bare ved at åbne netværkskonfigurationsværktøjet til en klientcomputer, der i øjeblikket har adgang til internettet:
de oplysninger, du vil indsamle, er:
vare | Klientfelt | eksempel |
---|---|---|
IP-adresse til m0n0væg enhed | IP-adresse (Mac) IP-adresse (Vin2k) |
66.123.45.3 |
undernetmaske | undernetmaske | 255.255.255.248 |
standardport | Router (Mac) standardport (Vind2k) |
66.123.45.1 |
DNS-servere | DNS-servere (Mac) foretrukken / Alternativ DNS-server |
66.123.45.2 66.123.45.9 |
hvis din internetudbyder gav dig mere end en IP-adresse til dit netværk, skal du vælge en til at give til m0n0. For enkelhedens skyld anbefaler vi, at du vælger enten den laveste eller den højeste IP-adresse, der er tildelt et klientsystem (ikke en server). Alle dine desktop-systemer får nye,” interne ” IP-adresser, der automatisk leveres af m0n0.
oversigt over M0n0vægopsætning
opsætning af et nyt m0n0vægapparat består af følgende syv trin:
- opsætning af udstyr, inklusive netværkskabelforbindelser
- Start og konfigurer minimum m0n0vægparametre via m0n0vægkonsollegrænsefladen
- Konfigurer et klientsystem til det nye netværk, og tilslut til m0n0vægapparatet via internetgrænsefladen
- Skift administratoradgangskoden
- Konfigurer Generelle indstillinger for det nye netværk m0n0væg
- konfigurer LAN-grænsefladen
- konfigurer van-grænsefladen
for det meste skal du blot tilslutte de grundlæggende oplysninger, du har samlet tidligere, til de rigtige steder i m0n0væg. Ingen af disse trin er komplicerede, og for mange netværk kan du acceptere standardindstillingerne, dvs.alt hvad du skal gøre er at kontrollere trinnet.
opsætning af udstyr
hvis du planlægger at køre m0n0væg på det vidunderlige indlejrede udstyr fra Soekris (enten net4501-eller net4801-serien af enheder), kunne processen med opsætning af udstyret ikke være mere enkel. Dette skyldes, at alle netværksgrænseflader er indbygget, og m0n0væg kender dem som standard.
hvis du planlægger at køre m0n0væg på en standard PC, skal du sørge for, at der er nok netværkskort (eller indbyggede grænseflader), så du kan tilslutte de nødvendige kabler til systemet.
i begge tilfælde vil du tilslutte dit LAN (sandsynligvis via et Ethernet-kabel, der er tilsluttet en hub eller en kontakt) til den første netværksgrænseflade (Net0) og Van (sandsynligvis et Ethernet-kabel, der er tilsluttet dit DSL eller kabelmodem eller router) til den anden netværksgrænseflade (Net1):
på Soekris-enheder er net0-og Net1-grænsefladerne RJ-45-stik til 100 Mbps Etherent, og de er mærket Net0 og Net1. Hvis du opretter din egen PC med flere netværksgrænseflader, bliver du nødt til at beslutte, hvilken grænseflade der er hvilken (og det er en god ide at mærke dem med en af disse etiketproducenter, så du kan huske senere!).
Bemærk: hvis det ikke er indlysende, skal dine stationære computere på dit hjemmenetværk kobles sammen ved hjælp af resten af stikkene på din LAN Ethernet-hub eller-kontakt.
den første opstart
når du har tilsluttet dit m0n0vægsystem til dit netværk, er det tid til at tænde det. Du vil helt sikkert gerne se logning og meddelelser, der udskrives til konsollen af m0n0væg, når den starter op. Soekris systems tilsluttes via serielt kabel til en terminal eller den serielle port på en PC. En almindelig PC kan oprette forbindelse til en standardskærm.
når m0n0mur starter, vil du se en masse meddelelser flyve forbi; det meste af tiden kan du ignorere disse og bare vente på, at m0n0mur-konsolmenuen vises (de andre meddelelser kan være nyttige, når fejlfinding af udstyr):
figur 4 viser m0n0vægkonsollen efter opstart med fabriksstandardkonfigurationen. Vigtige indstillinger vises, f.eks. LAN IP-adressen og den aktuelle tildeling af netværksgrænseflader. Denne konsol er, hvor du skal redigere et par indledende konfigurationsindstillinger, medmindre dit udstyr fungerer korrekt med m0n0-standardindstillingerne (kun Soekris-enheder vil sandsynligvis gøre det).
du kan også bruge konsollen til at nulstille m0n0væg, hvis du foretager ændringer via netgui, der gør det umuligt at oprette forbindelse til m0n0væg via netværket. Sidst kan du genstarte m0n0væg, hvis du har foretaget ændringer i indstillinger, der kræver genstart.
Konsolindstillinger
Bemærk: Hvis du kører m0n0mg på en Soekris net45mg eller net48mg integreret enhed, kan du springe dette afsnit over, da m0n0mgs standardindstillinger skal fungere fint.
m0n0vægkonsollen giver dig mulighed for at fortælle m0n0væg det grundlæggende i, hvordan du opretter forbindelse til dit netværk. Du skal fortælle m0n0 om dit netværk, før du kan bruge netkonfigurationsgrænsefladen, kaldet netgui, fordi netgui afhænger af netværksadgang. Med andre ord kan du ikke oprette forbindelse til m0n0 via netværket, før du har fortalt det om dit netværk.
den kritiske information tildeler roller til de forskellige netværksgrænseflader. Du skal fortælle m0n0, hvilken netværksgrænseflade der er tilsluttet dit interne netværk (LAN), og som er forbundet til internettet. Dette er portkonfigurationen, der vises midt i konsollen, og du foretager ændringer i konfigurationen ved at vælge den første mulighed i konsolmenuen, “grænseflader: Tildel netværksporte”:
når du vælger mulighed 1, får du først en liste over de netværksgrænseflader, som m0n0mur fandt, da den initialiserede det udstyr, den kører på. Dette er de netværksgrænseflader, den kender til, og dette er de eneste grænseflader, du kan tildele m0n0væg-porte. (Noget interessant at bemærke i figur 5 er, at fabriksstandarden tildeler van-porten til sis1-grænsefladen, men når de gyldige grænseflader er angivet, er der ingen sis1-grænseflade på listen!)
ved hver prompt skal du indtaste navnet på den grænseflade, der skal tildeles den ønskede port. Du indtaster kun det korte navn til grænsefladen, f.eks. (den lange række af tal og bogstaver er Ethernet MAC-adressen og er kun angivet til informationsformål).
Bemærk: netværksgrænsefladens navne — sis0, DE1 osv. – er afledt af navnet på” driveren ” for grænsefladens udstyr. Det er usandsynligt, at dine netværksgrænseflader har disse navne på dem. Du skal muligvis lave nogle uddannede gæt om, hvilken grænseflade der er hvilken. Tilslut bare dine Ethernet-kabler, og hvis du ikke kan oprette forbindelse til netgui i det næste afsnit, kan du prøve at bytte kablerne.
til fordel for Soekris-enhedsejere er netværksgrænsefladerne mærket, men ikke med enhedsnavne. Her er en hurtig kortlægning af etiketterne på sagen til de enhedsnavne, som m0n0væg ser:
- Net0- > sis0 (skal forbindes til LAN)
- Net1 —> sis1 (skal tilsluttes van)
- Net2 —> sis2 (kan forbindes til DMR, ikke omtalt i denne vejledning)
den anden indstilling, du måske ønsker at ændre, er LAN IP-adressen. Dette er IP-adressen til m0n0-systemet, som det vises på dit interne netværk. Standardindstillingen er at bruge en særlig IP-adresse til brug kun på private netværk. Hvis du planlægger at bruge NAT til at tillade, at flere interne systemer deler en enkelt “offentlig” IP-adresse, skal M0N0-standard LAN-IP-adressen fungere fint til din opsætning.
denne vejledning forudsætter, at du bruger standardindstillingen på dit netværk. Mere komplicerede netværk og konfigurationer diskuteres ikke i denne vejledning; der er dog et væld af oplysninger om dette emne tilgængeligt på internettet.
når du har tildelt netværksgrænseflader til porte, skal du genstarte m0n0væg. Hvis m0n0væg ikke tilbyder at gøre det for dig, skal du blot vælge mulighed 5, “Genstart system” fra konsolmenuen. Når m0n0mur er færdig med at genstarte, er det tid til at konfigurere mindst en klientcomputer på LAN for at vide om m0n0mur og derefter flytte til internetkonfigurationsgrænsefladen.
Klientkonfiguration
når m0n0mur er konfigureret til dit netværk og er genstartet for at aktivere denne konfiguration, skal systemerne på dit interne netværk (LAN) oprette forbindelse til internettet via m0n0mur. I de fleste situationer kunne dette ikke være enklere. m0n0 kan automatisk sende netværksindstillinger til alle klienter på dit netværk, når dine klientsystemer starter op. Alt du skal gøre er at konfigurere klientsystemerne for at få deres netværksindstillinger via DHCP:
m0n0væg er meget fleksibel om, hvordan man arbejder med LAN-klienter. Der er andre konfigurationsmuligheder, herunder statiske IP-adresser konfigureret på klientsiden, DHCP tildele faste IP-adresser til klienter baseret på deres Ethernet MAC-adresse og andre. Der er ofte gode grunde til at ønske disse konfigurationer, men for de fleste hjemmenetværk er det overkill. Denne vejledning omhandler ikke disse mere komplekse konfigurationer.
introduktion af Internetkonfigurationsapplikationen
m0n0vægkonfigurationsapplikationen, er der, hvor de fleste konfigurationsændringer foretages til m0n0væg. Internetgrænsefladerne giver en meget mere behagelig brugeroplevelse end at prøve at konfigurere fra konsollen alle de forskellige funktioner, der er indbygget i m0n0væg.
hvis du vil oprette forbindelse til m0n0-netværksguiden, skal du indtaste den LAN-IP-adresse, der er angivet i m0n0-netværkskonsollen, i feltet Placering. Som standard ville dette være http://192.168.1.1/. Du bliver bedt om et login og en adgangskode. Login er ” admin “og standardadgangskoden er”mono”. (Dette vil blive ændret i næste trin!)
når du har indtastet godkendelsesoplysningerne, skal du, hvis du har konfigureret dit fysiske netværk korrekt, indstillingerne for m0n0vægkonsollen og din klients netværksindstillinger, blive præsenteret for m0n0væggui-skærmbilledet:
Tillykke! Du har gjort 80% af arbejdet med at oprette m0n0mur til at tjene og beskytte dit netværk! Næsten alt det hårde arbejde er bag dig.
Generel opsætning
når du er logget ind på konfigurationsgrænsefladen, er det muligt at afslutte opsætningen af m0n0væg til dit netværk. Det første trin er at ændre standardadministrationsadgangskoden, som gøres i System / General setup panel:
Indtast den nye administratoradgangskode i adgangskodefelterne midtvejs gennem panelet generelt setup, og klik på knappen Gem nederst. Du skal ikke bekymre dig om de andre indstillinger endnu, bare ændre adgangskoden. (Glemmer at ændre standard adgangskoder er Nummer et sikkerhedshul i netværksinfrastruktur.) m0n0væg skal rapportere, at det med succes gemte ændringerne.
efter ændring af administratoradgangskoden kan resten af indstillingerne på det generelle installationspanel gennemgås og opdateres. De vigtige indstillinger, der skal indtastes, er:
- domæne, hvis du har en
- DNS-servere (dine egne eller dem, der leveres af din internetudbyder)
- tidsområde (vælg en by i dit tidsområde; medmindre du er heldig, vil din egen by ikke være på listen)
hvis du nogensinde vil administrere m0n0 fra et offentligt netværk, skal du også ændre
når du får adgang til den nye URL, kan din bro.ser muligvis give dig en advarsel om ikke at være i stand til at verificere ægtheden af siden. Du kan fjerne denne meddelelse ved at give serveren et SSL-certifikat i sektionen SSL-certifikat/nøgle i panelet diagnostik / Avancerede indstillinger. Dette er uden for rammerne af denne vejledning. ]
de andre indstillinger Her kan være nyttige at ændre, men vi behandler dem ikke i denne vejledning.
konfiguration af LAN-grænsefladen
for at konfigurere eller gennemgå indstillingerne for LAN-grænsefladen skal du gå til Interfaces / LAN-panelet:
indstillingerne her giver dig mulighed for at konfigurere rækkevidden af IP-adresser, der kan bruges på dit interne netværk. Hvis du har et relativt lille netværk (færre end 200 systemer) og planlægger at bruge NAT til at forbinde dem til internettet, er der ingen god grund til at foretage ændringer i standardindstillingerne for M0N0VÆG til LAN-grænsefladen.
hvis dit interne netværk er stort, og du derfor har brug for et større udvalg af IP-adresser, kan du foretage denne ændring her. Indtast IP-adressen til m0n0væg på dit interne netværk, og brug derefter lokalmenuen CIDR-stil netmask, hvor stor netværket skal oprettes. Hvis dit netværk er større end 200 systemer, kan du lige så godt gå ud her og indtaste 10.0.0.1 / 8 for at tildele et meget stort udvalg af IP-adresser til dit interne netværk.
mens antallet af indstillingsfelter på dette panel er lille, er mulighederne og årsagerne til at foretage ændringer fra standardindstillingerne ret store. Hvis dine behov ikke opfyldes af standardindstillingerne her, har du sandsynligvis brug for en meget større netværksreference end denne vejledning. ]
konfiguration af Van-grænsefladen
det sidste trin til opsætning af m0n0væg for første gang er at konfigurere van-grænsefladen. Dette gøres ved hjælp af panelet grænseflader / indstillinger:
indstillingerne her fortæller m0n0væg, hvordan du opretter forbindelse til det eksterne netværk, normalt din internetudbyders forbindelse til internettet. Der er forskellige måder, hvorpå eksterne netværk tillader forbindelser, hvorfor dette indstillingspanel ser så kompliceret ud. Bare rolig, du behøver ikke udfylde det hele!
først skal du fortælle m0n0væg hvilken slags forbindelse der skal oprettes. Der er fire forskellige mulige typer interface, og disse indstilles via pop op-menuen Type. Hvilken type du vælger afhænger af, hvilken type netværk du opretter forbindelse til. De første tre muligheder (DHCP, Static og PPPoE) bruges oftest til at oprette forbindelse til internettet via en internetudbyder. Den sidste mulighed (PPTP) bruges ofte til at oprette forbindelse til private netværk, dvs.forbinde et satellitkontor med hovedvirksomhedsnetværket. PPTP vil ikke blive diskuteret her.
for hver type forbindelse er der et afsnit længere nede i panelet, som giver dig mulighed for at indtaste detaljerne i forbindelsen. Du skal kun udfylde detaljerne for den type forbindelse, du har valgt. Alle de andre oplysninger kan og bør være tomme. Dette betyder, at panelet med indstillinger for Interface er meget enklere, end det ser ud.
DHCP-grænseflade
på samme måde som M0N0 kan bruge DHCP til at distribuere netværksindstillinger til dine klientsystemer, kan din internetudbyder bruge DHCP til at levere netværksindstillinger, som m0n0 kan bruge til sig selv. Hvis din internetudbyders netværk leverer DHCP, er dette langt den nemmeste måde at konfigurere. Faktisk, fordi dette er standardindstillingen, fungerer din netværksforbindelse muligvis allerede! (Gå videre og test, som beskrevet i test af netværksforbindelsen nedenfor.)
den eneste indstilling, du muligvis har brug for for at angive en DHCP-forbindelse, er værtsnavnet i afsnittet DHCP-klientkonfiguration i panelet. Din internetudbyder bliver nødt til at fortælle dig, hvad, hvis noget, at sætte i dette felt. Men hvis din forbindelse allerede fungerer, kan du lade den være tom.
når du har indtastet de relevante oplysninger i afsnittet DHCP-grænseflade, skal du klikke på knappen Gem nederst i panelet.
statisk grænseflade
hvis du har modtaget en fast IP-adresse fra din internetudbyder (i modsætning til en dynamisk IP-adresse, der ændres regelmæssigt), vil du ønsker at konfigurere en statisk grænseflade. Dette er ofte tilfældet, hvis du har en “business-class connection” serviceaftale med din internetudbyder, som blandt andet giver dig mulighed for at køre dine egne servere uden at overtræde din internetudbyders Servicevilkår. Men der er en række grunde til, at du muligvis har en fast eller statisk IP-adresse givet dig af din internetudbyder. Under alle omstændigheder, hvis de gav dig en IP-adresse og en netmaske til brug i dine netværksindstillinger, er dette vejen at gå.
konfiguration af en statisk grænseflade er ikke meget sværere end en DHCP-grænseflade, når du først har samlet de nødvendige oplysninger som beskrevet i begyndelsen af dette dokument. Du skal bruge følgende detaljer:
- m0n0vægs IP-adresse
- Netværksportens IP-adresse
- netværksmaske
indtast m0n0vægs IP-adresse i IP-adressefeltet og netværksportens IP-adresse i Portfeltet.
netmasken er lidt vanskelig. De fleste internetudbydere og desktop-operativsystemer viser netmasken som en serie på fire tal adskilt af perioder (meget lig en IP-adresse), f.eks. 255.255.255.248. m0n0 bruger CIDR-stil notation, som er en skråstreg ( ” / ” ) og et tal mellem 1 og 31. Du indtaster det via pop op-menuen efter IP-adressefeltet.
at forklare forskellene eller konverteringsformlen er mere kompliceret end det er værd. Her er en oversættelsestabel, du kan bruge til at konvertere fra de mest sandsynlige traditionelle netmasker til CIDR-stil netmasker:
Traditional Netmask | CIDR Netmask |
---|---|
255.255.255.254 | 31 |
255.255.255.252 | 30 |
255.255.255.248 | 29 |
255.255.255.240 | 28 |
255.255.255.224 | 27 |
255.255.255.0 | 24 |
255.255.0.0 | 16 |
når du har indtastet de relevante oplysninger i afsnittet statisk grænseflade, skal du klikke på knappen Gem nederst på panelet.
PPPoE van Interface
PPP var den standard måde at oprette forbindelse til internettet via en opkaldsforbindelse ved hjælp af et almindeligt modem og telefonlinje. PPPoE er en måde at gøre PPP over Ethernet, i stedet for en telefonlinje.
selvom det lyder kompliceret, er den gode nyhed, at PPPoE er den næst nemmeste Interface-type, der skal konfigureres, efter DHCP. Du skal blot tilslutte dit PPPoE-brugernavn og din adgangskode til PPPoE-konfigurationsafsnittet i panelet Indstillinger for Interface.
du har muligvis også brug for servicenavnet i det samme afsnit, men som m0n0væggrænsefladen antyder, kan du sandsynligvis springe det over. Prøv at oprette forbindelse til det tomt, og hvis det ikke fungerer, skal du kigge efter dette i de oplysninger, der er sendt til dig af din internetudbyder osv.
når du har indtastet de relevante oplysninger i PPPoE-interfacesektionen, skal du klikke på knappen Gem nederst i panelet.
test af netværksforbindelsen
når du har indtastet de nødvendige indstillinger som beskrevet ovenfor, er du klar til at teste din netværksforbindelse. Den enkleste måde at gøre dette på er at besøge en offentlig hjemmeside ved hjælp af den samme internetsøgemaskine, som du lige har brugt til at konfigurere m0n0. Prøv yahoo.com, google.com eller itunes.com til at begynde med. Hvis nogen af siderne indlæses, fungerer din m0n0vægkonfiguration sandsynligvis fint. Tillykke!
du vil måske teste andre typer netværksforbindelser udover internetforbindelser, fordi nogle netværksprotokoller opfører sig anderledes end den HTTP-protokol, der ligger til grund for internettet.
et eksempel, der fortjener kontrol, er FTP, som bestemt skal konfigureres korrekt til at arbejde bag m0n0væg. Som standard understøtter m0n0 kun ” passiv “FTP, og” aktiv ” FTP vil sandsynligvis mislykkes. (Forskellen mellem aktiv og passiv FTP er kompliceret .) Du skal muligvis foretage konfigurationsændringer i dit system eller filoverførselsværktøjer:
andre programmer, du måske ønsker at teste på dette tidspunkt omfatter streaming medieafspillere. Gå til hurtig tid.kom og se nogle filmtrailere. Gå til NPR.org og lyt til nogle nyheder, eller den seneste episode af frisk luft. Brug iTunes til at lytte til et par musikeksempler fra iTunes Music Store.
test af brandmuren
effektiv og fuldstændig test af en brandmur er et emne langt uden for denne vejlednings anvendelsesområde. Du kan dog gøre brug af Gibson Research Corporation ‘ S ShieldsUP! service til hurtigt at teste din nye m0n0-vægport. Selvom det ikke erstatter en professionel vurdering af dit netværks sikkerhed, er det en fantastisk måde at identificere nogle af de lettere at tilslutte huller, du måske har overset.
fejlfinding
]
Leave a Reply