MONOWALL简明配置手册.docVIP

MONOWALL配置手册 撰写人：萧烺 MONOWALL简介 m0n0wall 是一项针对建立一个完整的、嵌入式的防火墙软件包的计划，该软件包可以安装于嵌入式PC里， 提供所有商业防火墙的重要特性（包括易用性），而且价格只有商业防火墙几分之一（自由软件）。 m0n0wall是基于bare-bones version of FreeBSD，包括一个WEB服务器，PHP和其它一些工具软件。整个系统的配置保存在一个XML文件当中，条理清晰。 m0n0wall可能是第一个启动时通过PHP配置的UNIX系统，这种结构胜于使用shell脚本。 并且整个系统的配置用XML格式保存。 m0n0是一个防火墙，而防火墙的目的是提供安全。增加越多的功能，新增功能的弱点给防火墙带来安全隐患的机会就越大。m0n0wall创建者及主要贡献者的观点是防火墙第3和4层基本服务之外的任何东西都不属于m0n0wall。一些可能合适的服务占用CPU和内存饥渴，而m0n0wall着眼于嵌入式设备，CPU和内存资源都有限。非连续（保存）的文件系统是由于着眼于CF(Compact Flash)安装,这又是一个限制因素。最后，(内核)映象的大小限制，消除了其它可能性。 我们觉得以下服务应该运行在其它服务器，并特意不作为m0n0wall的一部分： ???入侵检测/保护系统(IDS) ???代理服务器 ???第三、第四层外的任何数据包检查 ???通用的WEB服务器 ???FTP服务器 ???网络时间服务器 ???日志文件分析器 基于同样的原因，m0n0不允许登录(login): 控制台没有登录提示符（以显示一个菜单代替），没有telnet 和 ssh服务进程(deamon) 1.3 历史 Manuel Kasper, m0n0wall的作者，说： 从我开始在嵌入式PC上摆弄包过滤器，我就想有一个漂亮的基于web图形界面的 控制器来控制所有的防火墙功能，而不是通过键入单个的命令。在互联网上有很多漂亮的带有WEB接口的防火墙包（大部分是基于Linux的），但是没有一个符合我要求的（自由，快速，简单，干净以及我需要的所有特性）。所以，我终于开始写属于自己的WEB图形界面。但是，我决不是想建立一个webmin的翻版----我想建立一个完整的、新的嵌入式防火墙软件包。它的所有将被发展为一个接上电源的盒子，可以通过串口设置LAN IP地址，登录进WEB界面设置它。然后我决定我不能像平常的启动系统那样通过SHELL脚本配置系统（由于它几乎不可能用SHELL脚本完成，所以我已经写了一个C程序产生过滤器规则），并且自从我使用了基于PHP的WEB接口，不长时间我就发现还是使用PHP来配置系统的好。这种方法，配置数据将不再必须被存储在那些被SHELL脚本解析的文本文件里面----它现在被存储在一个XML文件里。所以我又完全重写了整个系统，除了相当多的“引擎罩底下的东西“外，看上去感觉没有什么改变。 m0n0wall的第一个公共beta版于2003年2月15日，1.0版本正好在一年后的2004年2月15日。这两个版本之间共发布了另外26个公共beta版，平均每两个星期发布一个。每个版本完整的修改列表可以在m0n0wall网站的Change Log栏目找到。 1.4 功能 monowall 提供了很多昂贵商用防火墙中的功能，其中一些功能还是商用防火墙中没有的。包括： ???WEB界面（支持SSL） ???用于恢复系统的串口界面 ???设置LAN IP地址 ???重置密码 ???恢复初始默认设置 ???重启系统 ???无线支持 （access point with PRISM-II/2.5/3 cards, BSS/IBSS with other cards including Cisco） ???上网认证（captive portal） ???支持802.1Q VLAN ???基于状态的包过滤 ???block/pass 规则 ???日志 ???NAT/PAT (包括 1:1) ???在WAN口上支持DHCP 客户、PPPoE、PPTP 和Telstra BigPond Cable ???IPsec VPN 隧道（IKE; 支持硬件加密卡，移动客户和证书） ???PPTP VPN （支持RADIUS 服务器） ???静态路由 ???DHCP服务器与中继 ???缓存DNS 转向器 ???动态DNS客户端与 RFC 2136 DNS更新器 ???SNMP代理 ???流量整形（带宽限制） ???基于SVG的流量图 ???可以通过WEB界面进行固件升级 ???唤醒LAN客户 ???配置文件备份/恢复 ???