РЕКЛАМА
ИНФОРМАЦИЯ
ПОЛЕЗНЫЕ ССЫЛКИ
LEAF-Bering uClibc: межсетевой экран средствами Linux

Платформа WRAP.1D-2 от PC Engines: ещё одно решение для m0n0wall

Rambler's Top100 Рейтинг@Mail.ru

СЕТИ

Брандмауэр m0n0wall: надёжное программное решение
Краткое содержание статьи: Многие администраторы не доверяют программным межсетевым экранам, предпочитая аппаратные решения. Но не следует забывать, что последние часто представляют собой программный брандмауэр под специальной версией Linux. Почему бы не собрать подобное решение самостоятельно? При этом вы получите уникальную гибкость. Бесплатный брандмауэр m0n0wall выполняет не только традиционный набор функций, но может работать конечной точкой VPN, обеспечивает обрезание трафика и поддерживает организацию сетей публичного доступа (хот-спотов).

Брандмауэр m0n0wall: надёжное программное решение


Редакция THG,  14 ноября 2004
Назад
Вы читаете страницу 1 из 4
1 2 3 4
Далее


Введение

Введение

Мы все знаем, что Интернет несёт в себе потенциальную опасность. Пробиться и получить контроль над вашим компьютером может попробовать кто угодно, от простого подростка до организованной криминальной группировки. Поэтому нельзя гарантировать защиту ни одной системы, подключённой к Интернету.

С каждым днём атаки становятся всё более изощрёнными, и всё чаще используются психологические методы. Программы-шпионы, "трояны", "черви" и почтовые вирусы - всему этому в компьютерной прессе уделяется немало внимания. Сегодня уже не осталось сомнений в необходимости применения комплексной защиты - антивирусного ПО, спам-фильтров и программного обеспечения для определения "троянов". Наиболее важной частью этого комплекса до сих пор остаётся межсетевой экран.

В недавней статье, посвящённой проекту LEAF, мы подробно рассмотрели функции межсетевого экрана. Если ограничиться несколькими словами, то межсетевой экран или брандмауэр - это механизм, который позволяет контролировать входящий и исходящий трафик.

Основное различие в брандмауэрах различных производителей заключается в качестве и функциональности. Возможно, вы уже готовы приобрести аппаратное решение нижней ценовой категории, например Linksys BEFRS41, который можно найти всего за $40. Главной функцией этого маршрутизатора является разделение общего широкополосного подключения к Интернету между несколькими пользователями.

Из верхнего ценового диапазона можно выделить устройства таких производителей, как Watchguard, Cisco и Checkpoint, стоимостью несколько тысяч долларов. Такие модели позволяют одновременно пользоваться Интернетом тысячам пользователей и поддерживают множество различных интернет-служб.

Кроме того, выбор не ограничен исключительно аппаратными продуктами. Можно реализовать и альтернативное решение, превратив обычный ПК в межсетевой экран. Для этого достаточно установить на него соответствующее ПО, причём и здесь есть, из чего выбирать: коммерческие или бесплатные решения. Из коммерческих решений можно выделить SmoothWall, Astaro и Coyote/Wolverine. Однако, существует множество бесплатных открытых решений, например Freesco, IPCop, и, конечно же, LEAF. Большинство из них предназначено для использования на Unix-системах, чаще всего на Linux.

Не следует считать, что брандмауэры, выполненные на базе ОС Linux, менее надёжны или менее функциональны, чем коммерческие продукты. Скажем, та же серия брандмауэров Watchguard Firebox-X выполнена на аппаратном обеспечении стандартных ПК и работает под управлением специальной версии Linux. Даже недорогое решение Linksys выполнено на базе Linux.

На самом деле Linux - не единственное семейство открытых UNIX-подобных операционных систем. Есть ещё одно широко известное семейство - BSD (FreeBSD, OpenBSD и NetBSD), появившееся задолго до создания Линусом Торвальдсом (Linus Torvald) первого ядра Linux.

В этом материале мы познакомим читателей с программным межсетевым экраном m0n0wall, предназначенным для работы под управлением FreeBSD и Soekris net4501 - одной из специальных платформ ПК, для которых предназначен m0n0wall. В первой части статьи мы расскажем об установке m0n0wall на Soekris net4501, и покажем, как можно установить его на обычный ПК, удовлетворяющий минимальным требованиям.

Вторая часть материала посвящена платформе PC Engines WRAP. С ней вы можете ознакомиься здесь.

Что такое m0n0wall?

m0n0wall - это бесплатный программный брандмауэр, имеющий ряд особенностей:

  • предназначен для работы под управлением ОС FreeBSD, а не Linux;
  • оптимизирован для компактных интегрированных ПК, однако может использоваться и на ПК с обычным аппаратным обеспечением;
  • более приятные условия лицензирования под FreeBSD, а не GPL.

Большая часть m0n0wall разрабатывалась Маньюэлом Каспером (Manuel Kasper). Он начал создание m0n0wall, как web-интерфейса для фильтра пакетов под FreeBSD, установленной на интегрированный компьютер. Вскоре разработка переросла в полноценный брандмауэр с понятным и простым в использовании web-интерфейсом, основанным на PHP.

Вскоре Маньюэл задумал сделать интерфейс более гибким, для чего решил отказаться от стандартного метода конфигурирования Unix с помощью скриптов. Он сделал отважный шаг - задействовал для настройки системы PHP технологию, используемую для динамического создания web-страниц. Такое использование PHP достаточно интересно и позволяет хранить конфигурацию системы в одном структурированном файле XML. Кроме того, система в таком случае занимает очень мало места (менее 6 Мбайт), поскольку громоздкие компоненты типа PERL не требуются.

Первая бета-версия m0n0wall появилась в феврале 2003 года. Прошёл год, за который было выпущено ещё 26 бета-версий, и в феврале 2004 этого года появился релиз - m0n0wall v1.0. m0n0wall стал совместным проектом, но разработка ведётся под управлением Маньюэла Каспера.

Основные функции и возможности m0n0wall v1.0 перечислены ниже.

  • Фильтрация пакетов на основе содержания (SPI) с возможностью создания правил блокирования/пропускания для всех интерфейсов, а также журналирование.
  • Гибкие и опциональные системы NAT и PAT, включая 1:1.
  • Поддержка DHCP-клиента, PPPoE, PPTP для интерфейса WAN.
  • Статическая маршрутизация.
  • Ограничение трафика (traffic shaping).
  • Клиент динамического DNS.
  • DHCP-сервер с возможностью раздельной настройки для каждого интерфейса.
  • Кэширование DNS с возможностью задания статических записей.
  • Псевдонимы для хостов и сетей.
  • Поддержка беспроводного интерфейса.
  • Конечная точка IPSEC VPN для подключения сетей или мобильных клиентов.
  • Конечная точка PPTP VPN с поддержкой аутентификации на сервере RADIUS.
  • Агент SNMP.
  • Сохранения журналов на сервер Syslog.
  • Возможность онлайнового обновления прошивки.
  • Возможность сохранения и восстановления конфигурации.

Интегрированные платформы ПК

Одним из основных отличий m0n0wall и похожих продуктов является то, что m0n0wall изначально создавался для работы на интегрированных платформах ПК (embedded system). Платформой ПК мы считаем аппаратное обеспечение, совместимое с Intel x86 (AMD, VIA и т.д.). После загрузки программная часть работает исключительно в ОЗУ, при этом в файл XML на внешнем носителе сохраняются только изменения конфигурации.

Интегрированные платформы применяются для создания прекрасных маршрутизаторов и брандмауэров по множеству причин:

  • компактность - не занимают много места;
  • экономичность, поскольку потребление энергии обычно составляет не более 10 Вт, что важно для устройства, которое должно работать постоянно;
  • незначительное тепловыделение, что важно при установке в компактном корпусе;
  • надёжность - не имеют или почти не имеют движущихся частей.

Единственным недостатком таких платформ является то, что они не поддерживают модернизацию, поскольку все основные компоненты, в том числе процессор и память, впаяны в плату.

m0n0wall официально поддерживает платформы net45xx / net48xx Soekris (Santa Cruz, USA) и WRAP (Wireless Router Application Platform) от компании PC Engines (Switzerland). Вы можете скачать готовые образы m0n0wall для этих платформ.

Сегодня платформы Soekris net45xx/net48xx наиболее популярны среди пользователей m0n0wall, не использующих обычные ПК. Мы считаем, что это связано с тем, что PC Engines раньше не поставляла свои решения в собранном виде - в готовых корпусах.

В таблице представлены спецификации и стоимость этих платформ.

Интегрированные платформы ПК

Спецификации платформ. Цены указаны на лето 2004.

Во второй части статьи мы сравним производительность платформ.

Стандартый ПК

m0n0wall не ограничен использованием только интегрированных платформ. Образы для ПК могут работать на большинстве распространённого "железа" и различных интегрированных платформах, например Lex Light, главное, чтобы выполнялись минимальные системные требования:

  • процессор, совместимый с Intel i486-100 или более скоростной;
  • ОЗУ 64 Мбайт;
  • 2 сетевых интерфейса, поддерживаемых FreeBSD 4.9;
  • жёсткий диск или карта памяти Compact Flash с интерфейсом IDE, объёмом не менее 8 Мбай или дисковод с интерфейсом ATAPI, привод CD-ROM с интерфейсом IDE и BIOS с поддержкой загрузки с CD-ROM (стандарт El Torito);
  • адаптер VGA.

Как видно, минимальным требованием может удовлетворить практически любое оборудование. Однако, если кто-то решил использовать свой старый ПК, то наибольшей проблемой, вероятно, станут 64 Мбайт ОЗУ. Это связано с тем, что система полностью находится в ОЗУ и учитывает запас для скачивания обновления прошивки, его распаковки и записи на носитель - для последующей загрузки без отключения брандмауэра.

Если в вашем распоряжении менее 64 Мбайт ОЗУ, то можно использовать установку при помощи CD-ROM и дисковода. Поскольку скачивание образа и обновление обычным способом выполнить не удастся (в случае с CD-ROM нужно записать обновление на CD-ROM и перезагрузить брандмауэр), 32 Мбайт - это тот минимум ОЗУ, который необходим для работы.

С проблемами можно столкнуться и при настройке сетевых интерфейсов, хотя FreeBSD 4.9 поддерживает большинство популярных чипсетов сетевых адаптеров. Подробнее о совместимости можно узнать на сайте FreeBSD 4.9.

Платформа Soekris net4501

Платформа Soekris net4501 является базовой моделью линейки интегрированных платформ Soekris. Компания Soekris разработала net45xx для создания маршрутизаторов, брандмауэров и беспроводных точек доступа. net4501 использует процессор AMD ElanSC520 с частотой 133 МГц, производительность которого сравнима с Intel Pentium P100.

В отличии от линейки VIA mini-ITX, которая также разрабатывалась с учётом максимальной компактности, Soekris net45xx не позволяет использовать операционные системы с графическим интерфейсом, такие, как MS Windows или Linux/FreeBSD с X-Windows. Однако, так или иначе, в ваше распоряжение поступает полнофункциональное устройство, имеющее всё, включая процессор и память. Полностью отсутствуют движущиеся части, нет жёсткого диска, вентиляторов, поэтому при работе устройство будет абсолютно бесшумным, да и механика внезапно не выйдет из строя.

Платформа net4501 поставляется в виде платы с опциональным металлическим корпусом. При заказе комплектом плата будет сразу установлена в корпус. Спецификации платы следующие:

  • процессор AMD ElanSC520 с частотой 133 МГц;
  • ОЗУ 64 Мбайт;
  • разъём для CF Type I/II;
  • 3 порта 10/100 Ethernet, RJ-45;
  • 1 последовательный порт, DB9;
  • индикатор питания, индикатор активности и индикатор ошибки;
  • слот Mini-PCI type III;
  • слот PCI, 3,3 В;
  • диапазон рабочих температур 0-60°C.

Внешний блок питания 12 В также можно также заказать у Soekris, причём доступны модели на 110 и 220 В.

Корпус выполнен из качественного металла. Чтобы заглянуть внутрь, достаточно открутить четыре винта. Размеры корпуса 216 x 150 x 30 мм, при этом вес вместе с платой и карточкой CompactFlash (CF) составляет менее 750 граммов.

Платформа Soekris net4501

Рис. 1. Soekris net4501. Вид спереди.

На лицевой панели расположены три индикатора: "Питание", "Сетевая активность" и "Ошибка". Отметим, что пока m0n0wall не поддерживает индикатор "Ошибка", хотя его использование для отображения статуса соединения WAN уже занесено в список ближайших изменений.

Платформа Soekris net4501

Рис. 2. Soekris net4501. Вид сзади.

На задней панели, слева направо, находятся три порта RJ45 Ethernet, последовательный порт DB9, и, конечно же, разъём питания.

К сожалению, несмотря на то, что на плате есть один слот 3,3 В PCI, на боковой панели корпуса нет отверстия для доступа снаружи. Ещё нам не понравилась расцветка корпуса - доступна только странная зеленоватая.

Для вскрытия корпуса нужно открутить четыре маленьких винта, после чего можно будет сдвинуть верхнюю крышку.

Платформа Soekris net4501

Рис. 3. Soekris net4501. Без верхней крышки, вид спереди.

Карточка CF, предназначенная для хранения системного ПО, удерживается при помощи ещё одного винта. Хотя такое крепление вовсе не требуется при обычном использовании, оно позволяет удерживать карточку в слоте, например, при перевозке устройства.

Слот miniPCI Type III находится между карточкой CF и задней стенкой корпуса. miniPCI часто встречается на материнских платах для ноутбуков, где он обычно используется для установки беспроводной сетевой карточки (как и в net45xx, кстати). m0n0wall позволяет использовать различные беспроводные карты 802.11b в качестве сетевого интерфейса. Более скоростные карты 802.11a и 802.11g пока не поддерживаются. Это ограничение связано с драйверами FreeBSD 4.9, а не с m0n0wall.

Кстати, стальной корпус экранирует сигнал достаточно хорошо, в результате установленная карточка с внутренними антеннами не будет обеспечивать желаемую скорость и расстояние. В корпусе не предусмотрено никаких отверстий или разъёмов для антенн.

Лучше всего в таком случае купить готовый кабель с подходящим разъёмом. Тогда потребуется просверлить отверстие соответствующего диаметра и установить разъём. Такое решение позволит существенно увеличить радиус действия получившейся точки доступа на базе net45xx /m0n0wall.

Платформа Soekris net4501

Рис. 4. Плата Soekris net4501.

На Рис. 4 показана плата net4501 с высокой степенью интеграции. Слот 3,3 В PCI расположен на торце платы. Три больших и три маленьких чипа, расположенные рядом с портами RJ45, это контроллеры интерфейсов и MAC для сетевых интерфейсов National Semiconductor DP83815 Fast Ethernet. В центре расположен процессор AMD ElanSC520, выше него находятся два чипа памяти SDRAM, по 32 Мбайт, а справа от процессора - флэш-память BIOS/BOOT.
Назад
Вы читаете страницу 1 из 4
1 2 3 4
Далее


СОДЕРЖАНИЕ

Обсуждение в Клубе Экспертов THG Обсуждение в Клубе Экспертов THG


РЕКЛАМА
РЕКОМЕНДУЕМ ПРОЧЕСТЬ!

История мейнфреймов: от Harvard Mark I до System z10 EC
Верите вы или нет, но были времена, когда компьютеры занимали целые комнаты. Сегодня вы работаете за небольшим персональным компьютером, но когда-то о таком можно было только мечтать. Предлагаем окунуться в историю и познакомиться с самыми знаковыми мейнфреймами за последние десятилетия.

Пятнадцать процессоров Intel x86, вошедших в историю
Компания Intel выпустила за годы существования немало процессоров x86, начиная с эпохи расцвета ПК, но не все из них оставили незабываемый след в истории. В нашей первой статье цикла мы рассмотрим пятнадцать наиболее любопытных и памятных процессоров Intel, от 8086 до Core 2 Duo.

ССЫЛКИ
Live-ставки на волейбол . betboom официальный сайт
Реклама от YouDo
erid: LatgC7Kww