Komma igång med m0n0wall

denna dokumentation skrevs i januari 2004 för att ge några utkast till dokumentation för m0n0wall firewall project. Det ersattes av officiell projektdokumentation. Tio år senare ersattes m0n0wall själv av annan brandväggsprogramvara, särskilt opnSense och pfSense. Denna sida är endast tillgänglig för historiska ändamål. (Det blir fortfarande träffar…)

introduktion

m0n0wall-projektet är en öppen källkod FreeBSD-baserad brandvägg utformad för användning på minimal PC-hårdvara, inklusive inbäddade enheter som soekris net4501 och net4801 hårdvaruplattformar, samtidigt som de tillhandahåller alla väsentliga funktioner i kommersiella brandväggsapparater. Praktiskt taget all konfiguration och administration sker med hjälp av ett webbaserat gränssnitt som gör att inrätta en robust brandvägg extremt lätt.

webbgränssnittet, även om det är enkelt, antar en viss minsta förståelse för både nätverksadministration i allmänhet och m0n0wall specifikt. Den här guiden skrevs för att förklara de första stegen som krävs för att få ett m0n0wall — system konfigurerat för att tillhandahålla de två tjänsterna-DHCP — konfiguration för klienter och NAT-baserad anslutningsdelning-som är mest användbara för ett typiskt hemnätverk.

den här guiden försöker inte ge detaljerad information om hur du konfigurerar en brandvägg. Vi rekommenderar starkt två böcker för att lära sig om brandväggar på djupet:

brandväggar och Internetsäkerhet: avvisa den lömska hackaren
bygga Internetbrandväggar

viktigt: du är ansvarig för din egen nätverkssäkerhet. Vi tar absolut inget ansvar för säkerheten i ditt nätverk, oavsett om du följer instruktionerna här eller inte.

allmänna principer för brandvägg och Nat-apparater

i grund och botten används ett m0n0wall-baserat system för att ansluta två (eller flera) separata nätverk tillsammans, vilket gör att enheter som datorer och servrar i båda nätverken kan göra tillåtna anslutningar till varandra. En m0n0wall-baserad apparat kan lägga till anslutningar och funktioner i ett nätverk, till exempel att låta många system dela en enda offentlig IP-adress. Det kan också begränsa anslutningar till system under dess kontroll, som fungerar som vårdnadshavare för att förhindra obehörig åtkomst av interna system av utomstående.

i den här guiden kommer vi att förenkla möjligheterna och bara diskutera en av de vanligaste situationerna där m0n0wall ofta används, ansluta ett hem-eller litet kontorsnätverk till internet via en bredbandsanslutning (uppringning diskuteras inte här):

i Figur 1 används m0n0wall för att ansluta ett litet hemnätverk, LAN, till internet, vilket är det största WAN av alla.

]

innan du börjar

innan du börjar göra ändringar i ditt befintliga nätverk är det mycket, mycket bra att dokumentera din nuvarande, fungerande konfiguration. Om ditt operativsystem låter dig göra en säkerhetskopia av din nätverkskonfiguration, gör det nu.

att dokumentera en arbetskonfiguration är den perfekta tiden att samla in viktig information. Att ha några specifika detaljer om ditt nätverk skrivet ner på ett ställe gör installationen och aktiveringen av m0n0wall mycket snabbare, samt gör det möjligt att backa ut om sakerna går fel.

den perfekta platsen att samla in denna information från är det kit som din Internetleverantör skickade dig när du registrerade dig för din nätverksanslutning. De flesta filar och förlorar den här informationen, men lyckligtvis kan du få det mesta av det bara genom att öppna nätverkskonfigurationsverktyget för en klientdator som för närvarande har tillgång till internet:

den information du vill samla in är:

artikel	Klientfält	exempel
WAN IP-adress för m0n0wall enhet	IP-adress (Mac) IP-adress (Win2K)	66.123.45.3
nätmask	nätmask	255.255.255.248
Wan-Gateway	Router (Mac) standardgateway (Win2K)	66.123.45.1
DNS-servrar	DNS-servrar (Mac) föredragen / Alternativ DNS-server	66.123.45.2 66.123.45.9

om din Internetleverantör gav dig mer än en IP-adress för ditt nätverk måste du välja en för att ge till m0n0wall. För enkelhetens skull rekommenderar vi att du väljer antingen den lägsta eller den högsta IP-adressen som tilldelats ett klientsystem (inte en server). Alla dina stationära system kommer att få nya,” interna ” IP-adresser, som automatiskt tillhandahålls av m0n0wall, så verkligen, välj vilken adress du vill ha.

översikt över M0n0wall Setup

ställa in en ny m0n0wall-apparat består av följande sju steg:

1. Maskinvaruinställning, inklusive nätverkskabelanslutningar
2. starta och konfigurera minsta m0n0wall-parametrar via m0n0wall-konsolgränssnittet
3. konfigurera ett klientsystem för det nya nätverket och anslut till m0n0wall-apparaten via webbgränssnittet
4. ändra administratörslösenordet
5. konfigurera Allmänna inställningar för m0n0wall
6. konfigurera lan-gränssnittet
7. konfigurera wan-gränssnittet

för det mesta behöver du helt enkelt ansluta den grundläggande informationen du samlade tidigare till rätt platser i m0n0wall. Inget av dessa steg är komplicerat, och för många nätverk kan du acceptera standardinställningarna, dvs allt du behöver göra är att kontrollera steget.

Maskinvaruinställning

om du planerar att köra m0n0wall på den underbara inbyggda hårdvaran från Soekris (antingen net4501 eller net4801-serien av enheter) kan processen med att installera hårdvaran inte vara enklare. Detta beror på att alla nätverksgränssnitt är inbyggda, och m0n0wall vet om dem som standard.

om du planerar att köra m0n0wall på en vanlig dator måste du se till att det finns tillräckligt med nätverksgränssnittskort (eller inbyggda gränssnitt) så att du kan ansluta de nödvändiga kablarna till systemet.

i båda fallen vill du ansluta ditt LAN (troligen via en Ethernet-kabel ansluten till ett nav eller en switch) till det första nätverksgränssnittet (Net0) och WAN( förmodligen en Ethernet-kabel ansluten till ditt DSL – eller kabelmodem eller router) till det andra nätverksgränssnittet (Net1):

på Soekris-enheter är net0-och Net1-gränssnitten RJ-45-kontakter för 100-Mbps Etherent, och de är märkta Net0 och Net1. Om du ställer in din egen dator med flera nätverksgränssnitt måste du bestämma vilket gränssnitt som är vilket (Och det är bra att märka dem med en av dessa etiketttillverkare, så du kommer ihåg senare!).

notera: om det inte är uppenbart bör dina stationära datorer i ditt hemnätverk anslutas med resten av kontakterna på din LAN Ethernet-hubb eller switch.

den första uppstarten

när du har anslutit ditt m0n0wall-system till ditt nätverk är det dags att slå på det. Du kommer definitivt att vilja se loggningen och meddelandena som skrivs ut till konsolen av m0n0wall när den startar upp. Soekris-system ansluts via seriell kabel till en terminal eller seriell port på en dator. En vanlig dator kan ansluta till en vanlig bildskärm.

när m0n0wall startar kommer du att se många meddelanden flyga förbi; för det mesta kan du ignorera dessa och vänta bara på att m0n0wall-konsolmenyn visas (de andra meddelandena kan vara användbara vid felsökning av hårdvara):

Figur 4 visar m0n0wall-konsolen efter uppstart med fabriksinställningarna. Viktiga inställningar visas, t.ex. LAN-IP-adressen och den aktuella tilldelningen av nätverksgränssnitt. Den här konsolen är där du måste redigera några initiala konfigurationsinställningar, såvida inte din maskinvara fungerar korrekt med standardinställningarna för m0n0wall (endast Soekris-enheter kommer sannolikt att göra det).

du kan också använda konsolen för att återställa m0n0wall, om du gör ändringar via webGUI som gör det omöjligt att ansluta till m0n0wall via nätverket. Senast kan du starta om m0n0wall, om du har gjort inställningsändringar som kräver omstart.

Konsolinställningar

Notera: Om du kör m0n0wall på en soekris net45xx eller net48xx inbäddad enhet kan du hoppa över det här avsnittet, eftersom m0n0walls standardinställningar ska fungera bra.

m0n0wall-konsolen låter dig berätta för m0n0wall grunderna för hur du ansluter till ditt nätverk. Du måste berätta för m0n0wall om ditt nätverk innan du kan använda webbkonfigurationsgränssnittet, kallat webGUI, eftersom webGUI beror på nätverksåtkomst. Med andra ord kan du inte ansluta till m0n0wall via nätverket förrän du har berättat om ditt nätverk.

den kritiska informationen tilldelar Roller till de olika nätverksgränssnitten. Du måste berätta för m0n0wall vilket nätverksgränssnitt som är anslutet till ditt interna nätverk (LAN) och som är anslutet till internet (WAN). Detta är portkonfigurationen som visas i mitten av konsolen, och du gör ändringar i konfigurationen genom att välja det första alternativet på konsolmenyn, “gränssnitt: tilldela nätverksportar”:

när du väljer alternativ 1 får du först en lista över nätverksgränssnitten som m0n0wall hittade när den initierade hårdvaran som den körs på. Dessa är nätverksgränssnitt det vet om, och dessa är de enda gränssnitt som du kan tilldela m0n0wall portar. (Något intressant att notera i Figur 5 är att fabriksinställningen tilldelar WAN-porten till sis1-gränssnittet, men när de giltiga gränssnitten listas finns det inget sis1-gränssnitt på listan!)

vid varje prompt, ange namnet på gränssnittet för att tilldela den begärda porten. Du anger bara det korta namnet på gränssnittet, t.ex. de0, sis0, etc. (den långa strängen av siffror och bokstäver är Ethernet MAC-adressen och listas endast i informationssyfte).

Obs: nätverksgränssnittsnamnen-sis0, DE1, etc. – härrör från namnet på” drivrutinen ” för gränssnittets hårdvara. Det är osannolikt att dina nätverksgränssnitt kommer att ha dessa namn på dem. Du kan behöva göra några utbildade gissningar om vilket gränssnitt som är vilket. Anslut bara dina Ethernet-kablar, och om du inte kan ansluta till webGUI i nästa avsnitt, försök byta kablarna.

till förmån för soekris-enhetsägare är nätverksgränssnitten märkta, men inte med enhetsnamnen. Här är en snabb kartläggning av etiketterna på fodralet till enhetsnamnen som m0n0wall ser:

• Net0 – > sis0 (ska anslutas till LAN)
• Net1 – > sis1 (ska anslutas till WAN)
• Net2 – > sis2 (kan anslutas till DMZ, diskuteras inte i den här guiden)

den andra inställningen du kanske vill ändra är LAN IP-adressen. Detta är IP-adressen för m0n0wall-systemet som det visas i ditt interna nätverk. Standardinställningen är att använda en särskild IP-adress för användning endast i privata nätverk. Om du planerar att använda NAT för att tillåta flera interna system delar en enda “offentlig” IP-adress, bör m0n0wall standard LAN IP-adress fungera bra för din installation.

den här guiden förutsätter att du använder standardinställningen i ditt nätverk. Mer komplicerade nätverk och konfigurationer diskuteras inte i den här guiden; det finns dock en mängd information om detta ämne tillgängligt på internet.

när du har tilldelat nätverksgränssnitt till portar måste du starta om m0n0wall. Om m0n0wall inte erbjuder att göra det åt dig, välj helt enkelt alternativ 5, “Reboot system” från konsolmenyn. När m0n0wall är klar med omstart är det dags att omkonfigurera minst en klientdator på LAN för att veta om m0n0wall och sedan flytta till webbkonfigurationsgränssnittet, webGUI.

klientkonfiguration

när m0n0wall är konfigurerad för ditt nätverk och har startat om för att aktivera den konfigurationen, vill du att systemen i ditt interna nätverk (LAN) ska ansluta till internet via m0n0wall. För de flesta situationer kan detta inte vara enklare. m0n0wall kan skicka nätverksinställningar till alla klienter i ditt nätverk automatiskt när dina klientsystem startar upp. Allt du behöver göra är att konfigurera klientsystemen för att få sina nätverksinställningar via DHCP:

m0n0wall är mycket flexibel om hur man arbetar med LAN-klienter. Det finns andra konfigurationsmöjligheter, inklusive statiska IP-adresser konfigurerade på klientsidan, DHCP som tilldelar fasta IP-adresser till klienter baserat på deras Ethernet MAC-adress och andra. Det finns ofta goda skäl att vilja ha dessa konfigurationer, men för de flesta hemnätverk är det överdrivet. Den här guiden behandlar inte dessa mer komplexa konfigurationer.

introduktion av Web Configuration Application (webGUI)

m0n0wall web configuration application, webGUI, är där de flesta konfigurationsändringar görs till m0n0wall. Webbgränssnitten ger en mycket trevligare användarupplevelse än att försöka konfigurera från konsolen alla de olika funktionerna inbyggda i m0n0wall. webGUI är både lätt att använda och tilltalande att titta på, vilket ger en hög kvalitet, professionellt utseende gränssnitt till m0n0wall.

för att ansluta till m0n0wall webGUI, skriv in din webbläsares platsfält LAN-IP-adressen som anges i m0n0wall-konsolen. Som standard skulle detta vara http://192.168.1.1/. Du kommer att bli ombedd att logga in och ett lösenord. Inloggningen är ” admin “och standardlösenordet är”mono”. (Detta kommer att ändras i nästa steg!)

när du har angett autentiseringsinformationen, om du har ställt in ditt fysiska nätverk korrekt, m0n0wall-konsolinställningarna och din klients nätverksinställningar, bör du presenteras med m0n0wall webGUI-stänkskärmen:

Grattis! Du har gjort 80% av arbetet med att ställa in m0n0wall för att tjäna och skydda ditt nätverk! Nästan allt hårt arbete ligger bakom dig.

Allmän inställning

när du är inloggad i WebGUI-konfigurationsgränssnittet är det möjligt att slutföra installationen av m0n0wall för ditt nätverk. Det första steget är att ändra standardadministratörslösenordet, vilket görs i panelen System / General setup:

ange det nya administratörslösenordet i lösenordsfälten halvvägs genom panelen Allmän inställning och klicka på Spara-knappen längst ner. Oroa dig inte för de andra inställningarna ännu, ändra bara lösenordet. (Att glömma att ändra standardlösenord är det främsta säkerhetshålet i nätverksinfrastrukturen.) m0n0wall ska rapportera att det har sparat ändringarna.

när du har ändrat administratörslösenordet kan resten av alternativen på panelen Allmän inställning granskas och uppdateras. De viktiga inställningarna att ange är:

• domän, om du har en
• DNS-servrar (din egen, eller de som tillhandahålls av din ISP)
• tidszon (välj en stad i din tidszon; om du inte har tur, din egen stad kommer inte att vara på listan)

om du någonsin kommer att administrera m0n0wall på distans från ett offentligt nätverk, bör du också ändra webGUI-protokollet till HTTPS. Om du gör det, kom ihåg att webbadressen för åtkomst till webGUI ändras till https://192.168.1.1/ (om du använder standardadressen) — Observera att webbadressen nu börjar med https, inte http.

när du öppnar den nya webbadressen kan din webbläsare också ge dig en varning om att du inte kan verifiera webbplatsens äkthet. Du kan eliminera detta meddelande Genom att ge servern ett SSL-certifikat i avsnittet webGUI SSL-certifikat/nyckel i panelen diagnostik / avancerade inställningar. Detta ligger utanför ramen för denna guide. ]

de andra inställningarna här kan vara användbara att ändra, men vi kommer inte att hantera dem i den här guiden.

konfigurera Lan-gränssnittet

för att konfigurera eller granska inställningarna för LAN-gränssnittet, gå till panelen gränssnitt / LAN:

inställningarna här låter dig konfigurera intervallet av IP-adresser som kan användas i ditt interna nätverk. Om du har ett relativt litet nätverk (färre än 200 system) och planerar att använda NAT för att ansluta dem till internet finns det ingen anledning att göra ändringar i standardinställningarna för M0N0WALL för LAN-gränssnittet.

om ditt interna nätverk är stort och du därför behöver ett större utbud av IP-adresser kan du göra den ändringen här. Ange IP-adressen för m0n0vägg på ditt interna nätverk, och sedan, med hjälp av popup-menyn CIDR-stil netmask, säg hur stor du ska göra nätverket. Om ditt nätverk är större än 200-system kan du också gå ut här och ange 10.0.0.1 / 8 för att tilldela ett mycket stort antal IP-adresser till ditt interna nätverk.

medan antalet inställningsfält på den här panelen är litet är utbudet av möjligheter och orsakerna till att göra ändringar från standardinställningarna ganska stora. Om dina behov inte uppfylls av standardinställningarna här behöver du förmodligen en mycket större nätverksreferens än den här guiden. ]

konfigurera Wan-gränssnittet

det sista steget för att konfigurera m0n0wall för första gången är att konfigurera WAN-gränssnittet. Detta görs med hjälp av inställningspanelen gränssnitt / WAN:

inställningarna här berättar för m0n0wall hur du ansluter till det externa nätverket, vanligtvis din Internetleverantörs anslutning till internet. Det finns olika sätt på vilka externa nätverk tillåter anslutningar, varför den här inställningspanelen ser så komplicerad ut. Oroa dig inte, du behöver inte fylla i allt!

först måste du berätta för m0n0wall vilken typ av anslutning som ska göras. Det finns fyra olika möjliga typer av WAN-gränssnitt, och dessa ställs in via popup-menyn Typ. Vilken typ du väljer beror på vilken typ av nätverk du ansluter till. De tre första alternativen (DHCP, Static och PPPoE) används oftast för att ansluta till internet via en Internetleverantör. Det sista alternativet (PPTP) används vanligtvis för att ansluta till privata nätverk, dvs ansluta ett satellitkontor med huvudföretagsnätverket. PPTP kommer inte att diskuteras här.

för varje typ av anslutning finns ett avsnitt längre ner på panelen, vilket gör att du kan ange detaljerna för anslutningen. Du behöver bara fylla i detaljerna för den typ av anslutning du har valt. All annan information kan och bör lämnas tom. Det betyder att Wan-Gränssnittsinställningspanelen är mycket enklare än den ser ut.

DHCP Wan-gränssnitt

på samma sätt som m0n0wall kan använda DHCP för att distribuera nätverksinställningar till dina klientsystem, kan din ISP använda DHCP för att tillhandahålla nätverksinställningar för m0n0wall att använda för sig själv. Om din Internetleverantörs nätverk tillhandahåller DHCP är det här det enklaste sättet att konfigurera. Eftersom det här är standardinställningen kanske din nätverksanslutning redan fungerar! (Gå vidare och testa, som beskrivs i Testa nätverksanslutningen nedan.)

den enda inställningen som du kan behöva ange för en DHCP-anslutning är värdnamnet i avsnittet DHCP client configuration på panelen. Din Internetleverantör måste berätta vad, om något, att sätta i det här fältet. Men om din anslutning redan fungerar kan du lämna den tom.

när du har angett lämplig information i avsnittet DHCP WAN-gränssnitt klickar du på Spara-knappen längst ner på panelen.

statiskt Wan-gränssnitt

om du har fått en fast IP-adress från din Internetleverantör (i motsats till en dynamisk IP-adress, som ändras regelbundet), vill du konfigurera ett statiskt WAN-gränssnitt. Detta är vanligtvis fallet om du har ett serviceavtal för “business-class connection” med din ISP, vilket bland annat gör att du kan köra dina egna servrar utan att bryta mot din ISP: s användarvillkor. Men det finns en mängd olika skäl till varför du kan ha en fast eller statisk IP-adress ges till dig av din ISP. I alla fall, om de gav dig en IP-adress och en nätmask att använda i dina nätverksinställningar, är det här vägen att gå.

att konfigurera ett statiskt Wan-gränssnitt är inte mycket svårare än ett DHCP WAN-gränssnitt, när du har samlat in nödvändig information som beskrivs i början av detta dokument. Du behöver följande detaljer:

• M0N0WALL IP-adress
• Network gateway IP-adress
• Network netmask

ange M0N0WALL IP-adress i IP-adressfältet och network gateway IP-adress i Gateway-fältet.

nätmasken är lite knepig. De flesta Internetleverantörer och stationära operativsystem visar nätmasken som en serie med fyra nummer åtskilda av perioder (mycket lik en IP-adress), t.ex. 255.255.255.248. m0n0wall använder CIDR-stilnotationen, som är ett snedstreck (“/”) och ett tal mellan 1 och 31. Du anger den via popup-menyn efter IP-adressfältet.

att förklara skillnaderna eller konverteringsformeln är mer komplicerat än det är värt. Här är en översättningstabell som du kan använda för att konvertera från de mest sannolika traditionella stilmaskerna till CIDR – stilmaskerna:

Traditional Netmask	CIDR Netmask
255.255.255.254	31
255.255.255.252	30
255.255.255.248	29
255.255.255.240	28
255.255.255.224	27
255.255.255.0	24
255.255.0.0	16

när du har angett lämplig information i avsnittet statiskt Wan-gränssnitt klickar du på Spara-knappen längst ner på panelen.

PPPoE WAN-gränssnitt

PPP var det vanliga sättet att ansluta till internet via en uppringd anslutning med ett vanligt modem och telefonlinje. PPPoE är ett sätt att göra PPP över Ethernet, istället för en telefonlinje.

även om det låter komplicerat, är den goda nyheten att PPPoE är den näst enklaste Wan-Gränssnittstypen att konfigurera, efter DHCP. Du behöver bara ansluta ditt PPPoE-användarnamn och lösenord till PPPoE-konfigurationsdelen på WAN-Gränssnittsinställningspanelen.

du kan också behöva servicenamnet i samma avsnitt, men som m0n0wall-gränssnittet antyder kan du förmodligen hoppa över det. Försök att ansluta till det tomt, och om det inte fungerar, leta efter det i informationen som skickas till dig av din Internetleverantör etc.

när du har angett lämplig information i avsnittet PPPoE WAN-gränssnitt klickar du på Spara-knappen längst ner på panelen.

testa nätverksanslutningen

när du har angett de nödvändiga inställningarna som beskrivs ovan är du redo att testa din nätverksanslutning. Det enklaste sättet att göra detta är att besöka en offentlig webbplats med samma webbläsare som du just använde för att konfigurera m0n0wall. Försök yahoo.com, google.com, eller itunes.com till att börja med. Om någon av webbplatserna laddas fungerar din m0n0wall-konfiguration förmodligen bra. Grattis!

du kanske vill testa andra typer av nätverksanslutningar förutom webbanslutningar, eftersom vissa nätverksprotokoll beter sig annorlunda än HTTP-protokollet som ligger till grund för webben.

ett exempel som förtjänar kontroll är FTP, som definitivt måste konfigureras korrekt för att fungera bakom m0n0wall. Som standard stöder m0n0wall bara “passiv” FTP, och” aktiv ” FTP kommer sannolikt att misslyckas. (Skillnaden mellan aktiv och passiv FTP är komplicerad.) Du kan behöva göra konfigurationsändringar i ditt system eller filöverföringsverktyg:

andra program som du kanske vill testa just nu inkluderar strömmande mediaspelare. Gå till QuickTime.kom och titta på några filmtrailers. Gå till NPR.org och lyssna på några nyheter, eller det senaste avsnittet av frisk luft. Använd iTunes för att lyssna på några musikprover från iTunes Music Store.

testa brandväggen

effektivt och fullständigt testa en brandvägg är ett ämne långt utanför ramen för denna guide. Du kan dock använda Gibson Research Corporation ShieldsUP! service för att snabbt testa din nya m0n0wall gateway. Även om det inte ersätter en professionell bedömning av ditt nätverks säkerhet, är det ett bra sätt att identifiera några av de lättare att plugga hålen du kanske har förbisett.

felsökning

]