M0n0wallの概要
このドキュメントは、m0n0wallファイアウォールプロジェクトのドラフトドキュメントを提供するために2004年に書かれました。 それは公式のプロジェクト文書に取って代わられました。 10年後、m0n0wall自体は他のファイアウォールソフトウェア、特にopnSenseとpfSenseに取って代わられました。 このページは、歴史的な目的のためにのみ利用可能なままです。 (それはまだヒットを取得します…)
はじめに
m0n0wallプロジェクトは、Soekris net4501やnet4801ハードウェアプラットフォームなどの組み込みデバイスを含む最小限のPCハードウェアで使用するために設計されたオープンソースのFreeBSDベースのファイアウォールであり、商用ファイアウォールアプライアンスのすべての本質的な機能を提供しています。 実質的にすべての構成と管理は、堅牢なファイアウォールの設定を非常に簡単にするwebベースのインターフェイスを使用して行われます。
webインターフェイスは、簡単ではありますが、一般的なネットワーク管理とm0n0wall具体的な両方について一定の最低限の理解を前提としています。 このガイドは、M0n0wallシステムを取得するために必要な初期手順を説明するために書かれました。
このガイドでは、ファイアウォールの設定に関する詳細な情報は提供しません。 私たちは非常に詳細にファイアウォールについて学ぶための二つの本をお勧めします:
ファイアウォールとインターネットセキュリティ:狡猾なハッカーを撃退
インターネットファイアウォールを構築
重要:あなた自身のネットワークセキ 私たちは、あなたがここの指示に従うかどうかにかかわらず、あなたのネットワークのセキュリティについて一切の責任を負いません。
ファイアウォールとNATアプライアンスの一般原則
基本的に、m0n0wallベースのシステムは、二つの(またはそれ以上の)別々のネットワークを接続するために使用され、両方のネットワーク上のコンピュータやサーバなどのデバイスが相互に許可された接続を行うことができる。 M0n0wallベースのアプライアンスは、多くのシステムが単一のパブリックIPアドレスを共有できるようにするなど、ネットワークに接続と機能を追 また、外部からの内部システムへの不正アクセスを防止するための保護者として機能し、制御下のシステムへの接続を制限することもできます。
このガイドの目的のために、私たちは可能性を簡素化し、m0n0wallが頻繁に使用されるより一般的な状況のいずれかについてのみ説明します。:
図1では、m0n0wallを使用して、小規模なホームネットワークであるLANを、最大のWANであるインターネットに接続しています。
]
始める前に
既存のネットワークに変更を加える前に、現在動作している設定を文書化することをお勧めします。 お使いのオペレーティングシステムでネットワーク構成のバックアップを作成できる場合は、今すぐ実行してください。
動作する構成を文書化することは、いくつかの重要な情報を収集するのに最適な時期です。 ネットワークに関するいくつかの具体的な詳細を一つの場所に書き留めておくと、m0n0wallのセットアップと活性化がはるかに速くなり、物事がゆがんで行く場合にバックアップすることが可能になります。
この情報を収集するのに理想的な場所は、ネットワーク接続にサインアップしたときにISPが送信したキットです。 ほとんどの人はこの情報をファイルして失いますが、幸いなことに、現在インターネットにアクセスできるクライアントコンピューターのネットワーク構成ユー:
あなたが収集したい情報は次のとおりです:
項目 | クライアントフィールド | 例 |
---|---|---|
m0n0wallデバイスのWAN IPアドレス | IPアドレス(Mac) IPアドレス(Win2K) |
66.123.45.3 |
サブネットマスク | サブネットマスク | 255.255.255.248 |
WANゲートウェイ | ルーター(Mac) デフォルトゲートウェイ(Win2K) |
66.123.45.1 |
DNSサーバ | 66.123.45.2 66.123.45.9 |
あなたのISPがあなたのネットワークのためにあなたに複数のIPアドレスを与えたならば、あなたはm0n0wallに与えるために1つを選ぶ必要があ 簡単にするために、クライアントシステム(サーバーではない)に割り当てられる最低または最高のIPアドレスのいずれかを選択することをお勧めします。 あなたのデスクトップシステムのすべてが自動的にm0n0wallによって提供される新しい、”内部”IPアドレスを取得しますので、本当に、あなたが望む
m0n0wallセットアップの概要
新しいm0n0wallアプライアンスのセットアップは、次の7つの手順で構成されます:
- ネットワークケーブル接続を含むハードウェアセットアップ
- m0n0wallコンソールインターフェイスを介して最小m0n0wallパラメータを起動して設定
- m0n0wall
- lanインターフェイスの設定
- wanインターフェイスの設定
ほとんどの場合、以前に収集した基本的な情報をm0n0wallの適切な場所に接続す これらの手順はどれも複雑ではなく、多くのネットワークではデフォルトを受け入れることができます。
ハードウェア設定
Soekrisの素晴らしい組み込みスタイルのハードウェア(net4501またはnet4801シリーズのデバイス)でm0n0wallを実行する予定の場合、ハードウェ これは、すべてのネットワークインターフェイスが内蔵されており、m0n0wallはデフォルトでそれらを認識しているためです。
標準のPCでm0n0wallを実行する予定の場合は、必要なケーブルをシステムに接続できるように、十分なネットワークインターフェースカード(または内蔵イ
いずれの場合も、LAN(ハブまたはスイッチに接続されているイーサネットケーブルを介して)を最初のネットワークインターフェイス(Net0)に接続し、WAN(おそらくDSLま):
注: それは明らかではない場合には、あなたのホームネットワーク上のデスクトップコンピュータは、LANイーサネットハブやスイッチ上のコネクタの残りの部分を使用して一緒にフックする必要があります。
最初の起動
m0n0wallシステムをネットワークに配線したら、電源を入れます。 起動時にm0n0wallによってコンソールに出力されるログとメッセージを確実に確認したいと思うでしょう。 SoekrisシステムはPCのターミナルかシリアルポートに連続ケーブルで接続する。 通常のPCは標準モニターに接続できます。
m0n0wallが起動すると、多くのメッセージが飛んでいるのを見ることができます;ほとんどの場合、これらを無視して、m0n0wallコンソールメニューが表示されるのを待つことができます(他のメッセージは、ハードウェアのトラブルシューティング時に役立ちます):
図4は、工場出荷時のデフォルト設定で起動した後のm0n0wallコンソールを示しています。 LAN IPアドレス、ネットワークインターフェイスの現在の割り当てなど、重要な設定が表示されます。 このコンソールは、ハードウェアがm0n0wallのデフォルトで正しく動作しない限り、いくつかの初期構成設定を編集する必要があります(Soekrisデバイスのみ
また、webGUIを介してm0n0wallにネットワーク経由で接続できないように変更を加えた場合に備えて、コンソールを使用してm0n0wallをリセットすることもできます。 最後に、再起動が必要な設定変更を行った場合は、m0n0wallを再起動できます。
コンソール設定
メモ: Soekris net45xxまたはnet48xx組み込みデバイスでm0n0wallを実行している場合は、m0n0wallのデフォルト設定が正常に動作するため、このセクションをスキップ
m0n0wallコンソールを使用すると、ネットワークへの接続方法の基本をm0n0wallに伝えることができます。 WebGUIはネットワークアクセスに依存するため、webGUIと呼ばれるweb設定インターフェイスを使用する前に、ネットワークについてm0n0wallに伝える必要があり つまり、ネットワークについて通知するまで、ネットワーク経由でm0n0wallに接続することはできません。
重要な情報は、異なるネットワークインターフェイスにロールを割り当てています。 どのネットワークインターフェイスが内部ネットワーク(LAN)に接続され、インターネット(WAN)に接続されているかをm0n0wallに指示する必要があります。 これはコンソールの中央に表示されるポート構成であり、コンソールメニューの最初のオプション”インターフェイス:ネットワークポートの割り当て”を選択して構”:
オプション1を選択すると、m0n0wallが実行しているハードウェアを初期化したときに見つかったネットワークインターフェイスのリストが最初に これらは、それが知っているネットワークインターフェイスであり、これらは、あなたがm0n0wallポートに割り当てることができる唯一のインターフェイスです。 (図5の興味深い点は、工場出荷時のデフォルトではwanポートがsis1インターフェイスに割り当てられていますが、有効なインターフェイスがリストされてい)
各プロンプトで、要求されたポートに割り当てるインターフェイスの名前を入力します。 インターフェイスの短い名前(de0、sis0など)のみを入力します。 (数字と文字の長い文字列はイーサネットMACアドレスであり、情報提供のみを目的として記載されています)。
メモ:ネットワークインタフェース名-sis0、de1など。 -インターフェイスのハードウェアの”ドライバ”の名前から派生しています。 ネットワークインターフェイスにこれらの名前が付いていることはまずありません。 あなたはどのインターフェイスがどれであるかについていくつかの教育を受けた推測をする必要があるかもしれません。 イーサネットケーブルを接続するだけで、次のセクションでwebGUIに接続できない場合は、ケーブルを交換してみてください。
Soekrisデバイス所有者の利益のために、ネットワークインターフェイスにはラベル付けがされていますが、デバイス名は付けられていません。 ケース上のラベルを、m0n0wallに表示されるデバイス名に簡単にマッピングします:
- Net0—>sis0(LANに接続する必要があります)
- Net1—>sis1(WANに接続する必要があります)
- Net2—>sis2(DMZに接続することができます。)
他の設定を変更することもできますLAN IPアドレスです。 これは、内部ネットワークに表示されるm0n0wallシステムのIPアドレスです。 既定の設定では、プライベートネットワークでのみ使用するために特別なIPアドレスを使用します。 NATを使用して、複数の内部システムが単一の「パブリック」IPアドレスを共有できるようにする場合は、m0n0wallのデフォルトLAN IPアドレスが設定
このガイドでは、ネットワークのデフォルト設定を使用することを前提としています。 より複雑なネットワークと構成については、このガイドでは説明しませんが、このトピックに関する豊富な情報はインターネット上で入手できます。
ネットワークインターフェイスをポートに割り当てた後、m0n0wallを再起動する必要があります。 M0n0wallがあなたのためにそれを行うことを提供していない場合は、単にコンソールメニューからオプション5、”システムの再起動”を選択します。 M0n0wallの再起動が終了したら、LAN上の少なくとも一つのクライアントコンピュータを再構成してm0n0wallについて知ってから、web構成インターフ
クライアント設定
m0n0wallがネットワーク用に設定され、その設定をアクティブにするために再起動すると、内部ネットワークLAN上のシステムがm0n0wallを介してインターネットに接続する必要があります。 ほとんどの状況では、これは簡単ではありませんでした。 m0n0wallは、クライアントシステムの起動時に、ネットワーク上のすべてのクライアントにネットワーク設定を自動的に送信できます。 あなたがする必要があるのは、DHCP経由でネットワーク設定を取得するようにクライアントシステムを構成することだけです:
M0n0wallはLANクライアントの操作方法に非常に柔軟性があります。 クライアント側で構成された静的IPアドレス、イーサネットMACアドレスに基づいてクライアントに固定IPアドレスを割り当てるDHCPなど、他の構成可能性 これらの構成が必要な理由はよくありますが、ほとんどのホームネットワークではやり過ぎです。 このガイドでは、これらのより複雑な構成については説明していません。
Web設定アプリケーション(webGUI)の概要
m0n0wall web設定アプリケーションであるwebGUIは、ほとんどの設定変更がm0n0wallに行われる場所です。 Webインターフェイスは、m0n0wallに組み込まれているさまざまな機能のすべてをコンソールから設定しようとするよりも、はるかに快適なユー webGUIは、m0n0wallに高品質、プロに見えるインターフェイスを提供し、見て使いやすく、楽しいの両方です。
m0n0wall webGUIに接続するには、ブラウザの場所フィールドに、M0n0wallコンソールに表示されているLAN IPアドレスを入力します。 デフォルトでは、これはhttp://192.168.1.1/になります。 ログインとパスワードの入力を求められます。 ログインは”admin”で、デフォルトのパスワードは”mono”です。 (これは次のステップで変更されます!)
認証情報を入力した後、物理ネットワーク、m0n0wallコンソール設定、およびクライアントのネットワーク設定を正しく設定した場合は、m0n0wall webGUIスプラッ:
おめでとう! あなたのネットワークにサービスを提供し、保護するためにm0n0wallを設定するための作業の80%を行っています! ほとんどすべてのハードワークはあなたの後ろにあります。
General Setup
webGUI設定インターフェイスにログインすると、ネットワークのm0n0wallの設定を完了することができます。 最初のステップは、システム/一般設定パネルで行われるデフォルトの管理パスワードを変更することです:
一般設定パネルの途中でパスワードフィールドに新しい管理者パスワードを入力し、下部の保存ボタンをクリックします。 パスワードを変更するだけで、まだ他の設定を心配しないでください。 (デフォルトのパスワードを変更することを忘れることは、ネットワークインフラ)m0n0wallは、変更を正常に保存したことを報告する必要があります。
管理者パスワードを変更した後、一般設定パネルの残りのオプションを確認して更新することができます。 入力する重要な設定は次のとおりです:
- ドメイン、DNSサーバー(自分のもの、またはISPから提供されたもの)が1つある場合
- タイムゾーン(タイムゾーンで都市を選択します。)
パブリックネットワークからリモートでm0n0wallを管理する場合は、webGUIプロトコルもHTTPSに変更する必要があります。 その場合は、webGUIにアクセスするためのURLがhttps://192.168.1.1/に変更されることに注意してください(デフォルトアドレスを使用している場合)—URLはhttpではなくhttpsで始ま
また、新しいURLにアクセスすると、ブラウザからサイトの真正性を確認できないという警告が表示されることがあります。 診断/詳細設定パネルのwebGUI SSL証明書/キーセクションで、サーバーにSSL証明書を指定することで、このメッセージを削除できます。 これは、このガイドの範囲を超えています。 ]
ここでの他の設定は変更するのに便利かもしれませんが、このガイドではそれらには対処しません。
LANインターフェイスの設定
LANインターフェイスの設定または設定を確認するには、Interfaces/LANパネルに移動します:
ここでの設定では、内部ネットワークで使用できるIPアドレスの範囲を設定できます。 比較的小規模なネットワーク(200システム未満)があり、NATを使用してインターネットに接続する予定の場合、LANインターフェイスのデフォルトのm0n0wall設定を変更する正当な理由はありません。
内部ネットワークが大きいため、より広い範囲のIPアドレスが必要な場合は、ここでその変更を行うことができます。 内部ネットワーク上のm0n0wallのIPアドレスを入力し、CIDRスタイルのネットマスクポップアップメニューを使用して、ネットワークを作るためにどのよ ネットワークが200システムを超える場合は、ここですべてを入力して10.0.0.1/8と入力して、非常に広い範囲のIPアドレスを内部ネットワークに割り当
このパネルの設定フィールドの数は少ないですが、可能性の範囲、およびデフォルトから変更する理由は非常に大きいです。 ここでのデフォルトでニーズが満たされていない場合は、おそらくこのガイドよりもはるかに大きなネットワーキングリファレンスが必要です。 M0n0wallを初めてセットアップするための最後のステップは、WANインターフェイスを設定することです。 これは、インターフェイス/WAN設定パネルを使用して行われます:
ここでの設定は、外部ネットワーク、通常はISPのインターネットへの接続に接続する方法をm0n0wallに伝えます。 外部ネットワークが接続を許可するさまざまな方法があるため、この設定パネルは非常に複雑に見えます。 心配しないで、あなたはそれをすべて記入する必要はありません!
まず、m0n0wallにどのような接続を行うかを伝える必要があります。 WANインターフェイスには4つの異なるタイプがあり、これらはタイプポップアップメニューで設定されます。 どのタイプを選択するかは、接続しているネットワークの種類によって異なります。 最初の3つのオプション(DHCP、Static、およびPPPoE)は、ISP経由でインターネットに接続するために最も頻繁に使用されます。 最後のオプション(PPTP)は、一般的にプライベートネットワークに接続するために使用されます。 PPTPについてはここでは説明しません。
接続の種類ごとに、パネルのさらに下に接続の詳細を入力できるセクションがあります。 選択した接続のタイプの詳細を入力するだけです。 他のすべての情報は空白のままにすることができ、空白のままにする必要があります。 これは、WANインターフェイス設定パネルが見た目よりもはるかに簡単であることを意味します。
DHCP WANインターフェイス
m0n0wallがDHCPを使用してクライアントシステムにネットワーク設定を配布できるのと同じように、ISPはDHCPを使用してM0n0wallが ISPのネットワークがDHCPを提供している場合、これははるかに簡単な設定方法です。 これはデフォルト設定であるため、実際には、あなたのネットワーク接続はすでに動作している可能性があります! (後述のネットワーク接続のテストで説明されているように、先に進んでテストします。)
DHCP接続に必要な設定は、パネルのDHCPクライアントの設定セクションにあるホスト名だけです。 あなたのISPは、もしあれば、この分野に何を入れるべきかをあなたに言わなければなりません。 ただし、接続がすでに機能している場合は、空白のままにすることができます。
DHCP WAN interfaceセクションに適切な情報を入力したら、パネルの下部にあるSaveボタンをクリックします。
静的WANインターフェイス
ISPから固定IPアドレスを受信した場合(動的IPアドレスではなく、定期的に変更されます)、静的WANインターフェイスを設定する これは一般的に、ISPと「ビジネスクラスの接続」サービス契約を結んでいる場合に当てはまりますが、ISPの利用規約に違反することなく独自のサーバーを実 しかし、あなたのISPによってあなたに与えられた固定または静的IPアドレスを持っているかもしれないさまざまな理由があります。 いずれにせよ、彼らがあなたのネットワーク設定で使用するIPアドレスとネットマスクを与えたならば、これは行く方法です。
静的WANインターフェイスの設定は、このドキュメントの冒頭で説明されているように必要な情報を収集した後は、DHCP WANインターフェイスよりもはるかに 次の詳細が必要になります:
- m0n0wall IP address
- Network gateway IP address
- Network netmask
ip addressフィールドにm0n0wall IPアドレスを入力し、Gatewayフィールドにnetwork gateway IPアドレスを入力します。
ネットマスクは少しトリッキーです。 ほとんどのIspやデスクトップosでは、ネットマスクはピリオドで区切られた4つの数字(IPアドレスと非常によく似ています)のシリーズとして表示されます。例:255.255.255.248。 m0n0wallは、スラッシュ(“/”)と1から31の間の数値であるCIDRスタイルの表記法を使用します。 IPアドレスフィールドの後にポップアップメニューから入力します。
違いや変換式を説明することは価値があるよりも複雑です。 最も可能性の高い伝統的なスタイルのネットマスクからCIDRスタイルのネットマスクに変換するために使用できる翻訳テーブルは次のとおりです:
Traditional Netmask | CIDR Netmask |
---|---|
255.255.255.254 | 31 |
255.255.255.252 | 30 |
255.255.255.248 | 29 |
255.255.255.240 | 28 |
255.255.255.224 | 27 |
255.255.255.0 | 24 |
255.255.0.0 | 16 |
[Static WAN interface]セクションに適切な情報を入力したら、パネルの下部にある[Save]ボタンをクリックします。
PPPoE WANインターフェイス
PPPは、通常のモデムと電話回線を使用してダイヤルアップ接続を介してインターネットに接続する標準的な方法でした。 PPPoEは、電話回線の代わりにイーサネット経由でPPPを行う方法です。
それは複雑に聞こえますが、良いニュースは、PPPoEがDHCPの後に設定するのが2番目に簡単なWANインターフェイスタイプであるということです。 PPPoEのユーザー名とパスワードをWanインターフェイス設定パネルのPPPoE設定セクションに接続するだけです。
この同じセクションでもサービス名が必要な場合がありますが、m0n0wallインターフェイスが示唆するように、おそらくそれをスキップすることが 空白で接続してみて、うまくいかない場合は、ISPなどから送信された情報でこれを探してください。
PPPoE WAN interfaceセクションに適切な情報を入力したら、パネルの下部にあるSaveボタンをクリックします。
ネットワーク接続のテスト
上記のように必要な設定を入力したら、ネットワーク接続をテストする準備が整いました。 これを行う最も簡単な方法は、m0n0wallの設定に使用したのと同じwebブラウザを使用して公開webサイトにアクセスすることです。 試してみてくださいyahoo.com,google.com、またはitunes.com まず第一に。 サイトのいずれかがロードされた場合、m0n0wall構成はおそらく正常に動作しています。 おめでとうございます!
一部のネットワークプロトコルは、webの基礎となるHTTPプロトコルとは異なる動作をするため、web接続以外の種類のネットワーク接続をテストすること
チェックに値する一例はFTPであり、m0n0wallの背後から動作するように正しく設定する必要があります。 デフォルトでは、m0n0wallは”passive”FTPのみをサポートし、”active”FTPは失敗する可能性があります。 (アクティブFTPとパッシブFTPの違いは複雑です。)システムまたはファイル転送ツールの設定変更が必要になる場合があります:
この時点でテストしたい可能性のあるその他のアプリケーションには、ストリーミングメディアプレーヤーが含まれます。 QuickTimeに移動します。comといくつかの映画の予告編を見ます。 に行くNPR.org そして、いくつかのニュース、または新鮮な空気の最新のエピソードに耳を傾けます。 ITunesを使用して、iTunes Music Storeからいくつかの音楽サンプルを聴くことができます。
ファイアウォールのテスト
ファイアウォールの効果的かつ完全なテストは、このガイドの範囲をはるかに超えたトピックです。 ただし、Gibson Research CorporationのShieldsUPを使用することができます! すぐにあなたの新しいm0n0wallの出入口をテストするサービス。 ネットワークのセキュリティの専門的な評価に代わるものではありませんが、見落としている可能性のあるプラグインの穴を特定するのに最適な方
]
Leave a Reply