РЕКЛАМА
ИНФОРМАЦИЯ
ПОЛЕЗНЫЕ ССЫЛКИ
LEAF-Bering uClibc: межсетевой экран средствами Linux

Платформа WRAP.1D-2 от PC Engines: ещё одно решение для m0n0wall

Rambler's Top100 Рейтинг@Mail.ru

СЕТИ

Брандмауэр m0n0wall: надёжное программное решение
Краткое содержание статьи: Многие администраторы не доверяют программным межсетевым экранам, предпочитая аппаратные решения. Но не следует забывать, что последние часто представляют собой программный брандмауэр под специальной версией Linux. Почему бы не собрать подобное решение самостоятельно? При этом вы получите уникальную гибкость. Бесплатный брандмауэр m0n0wall выполняет не только традиционный набор функций, но может работать конечной точкой VPN, обеспечивает обрезание трафика и поддерживает организацию сетей публичного доступа (хот-спотов).

Брандмауэр m0n0wall: надёжное программное решение


Редакция THG,  14 ноября 2004
Назад
Вы читаете страницу 2 из 4
1 2 3 4
Далее


Установка m0n0wall на net4501

Единственное, что нужно сделать для установки m0n0wall на net4501, - это записать образ на карту памяти CF. Распакованный образ m0n0wall занимает 5-6 Мбайт.

Последние версии образов m0n0wall для всевозможных платформ можно найти в разделе "downloads" на сайте m0n0wall (страница http://www.m0n0.ch/wall/downloads.php). В разделе представлен список зеркал сайта, с которых можно скачать образ, обычно наибольшая скорость достигается при скачивании с ближайшего в географическом отношении зеркала.

Когда образ уже скачан, его нужно записать на карту памяти. Как это сделать - зависит от используемой операционной системы.

Запись образа при использовании MS Windows NT/2000/XP

Если вы используете MS Windows NT/2000/XP, то проще всего будет воспользоваться утилитой physdiskwrite.exe, специально написанной Маньюэлом Каспером. Заранее предупреждаем, что утилита не работает под операционными системами MS Windows 9x и MS Windows Millennium.

Кроме ПО, потребуется считывающее устройство, который позволяет работать с картой памяти CF как с дисковым накопителем. Подойдёт большинство USB-считывателей. Под MS Windows XP вы не заметите никаких проблем. Если же вы используете MS Windows 2000 и карточка не обнаружилась, то необходимо установить Service Pack 3, в котором добавлена поддержка устройств хранения данных с интерфейсом USB. Если воспользоваться USB не представляется возможным, то можно подключить адаптер IDE CF.

После установки считывателя вам нужно сделать следующее:

  1. скачать образ m0n0wall для net45xx с ближайшего зеркала;
  2. скачать свежую версию physdiskwrite.exe с сайта m0n0wall, для простоты использования её лучше сохранить в папку "c:\winnt\". Вставить карту CF в адаптер;
  3. открыть командную строку (Пуск -> Выполнить -> "cmd.exe"). Набрать "physdiskwrite net45xx-yy.img", где "yy" - это версия;
  4. далее будут показаны дисковые накопители, среди которых нужно найти карту CF. В нашем случае это устройство 1, а устройство 0 - это жёсткий диск Western Digital IDE объёмом 40 Гбайт;
  5. затем нужно ответить на вопрос "На какой диск нужно записать? (0..x)", в нашем случае 1 - карта CF. После чего произойдёт распаковка и запись образа на карту, что займёт около 20 секунд.

Запись образа при использовании MS Windows NT/2000/XP

Рис. 5. Запись образа m0n0wall на карту CF при помощи утилиты physdiskwrite.

Открыть и просмотреть содержимое карты средствами Windows Explorer не получится, поскольку она записана в формате FreeBSD UFS.

Запись образа на карту под ОС FreeBSD или Linux

Здесь, как и в случае сMS Windows, потребуется считывающее устройство CF для интерфейсов USB или IDE. В FreeBSD для распаковки образа используются команды "gzcat" и "dd". В Linux вместо "gzcat" следует использовать "gunzip".

Подробнее обо всём процессе можно узнать на сайте m0n0wall здесь.

После успешного завершения записи нужно снять крышку с net4501 и установить карту CF в соответствующий слот на материнской плате.

Первая загрузка m0n0wall

На сайте m0n0wall указано, что нужно включить питание net4501 и войти в систему по терминалу. Для этого можно воспользоваться такой утилитой, как Windows HyperTerminal, или любым другим терминалом. Однако вам потребуется нуль-модемный кабель.

На самом деле, терминал через COM-порты можно и не использовать, поскольку изначально интерфейс Net0 net4501 назначен внутренним LAN-интерфейсом m0n0wall и ему присвоен IP-адрес 192.168.1.1/24 (маска 255.255.255.0). DHCP также включён.

Поэтому вам потребуется подключить интерфейс LAN0 к коммутатору или концентратору при помощи стандартного кабеля с прямой обжимкой (MDI) или непосредственно к компьютеру при помощи перекрёстно обжатого кабеля (MDI-X). Если в вашей сети нет другого сервера DHCP, то можно в свойствах TCP/IP указать "Получать IP-адрес автоматически", тогда адрес вашему компьютеру будет назначен встроенным DHCP-сервером m0n0wall. Если вы желаете назначить IP-адрес вручную, то используйте диапазон 192.168.1.2 - 192.168.1.254 с маской 255.255.255.0.

Далее следует открыть окно браузера и перейти по адресу http://192.168.1.1, где вам будет предложено выполнить вход. Имя пользователя по умолчанию admin, пароль - mono, используются только строчные буквы. После входа можно изменить параметры IP так, как вам нужно.

Установка m0n0wall на платформу ПК

Установка на обычный ПК мало чем отличается, отличие состоит лишь в установке версии, использующей CD-ROM.

Образ для платформы PC Engines

Поскольку эта платформа также позволяет загружаться с карты CF, то последовательность действий будет точно такой же, что и для Soekris net4501. Разве что нужно будет указать соответствующий файл образа при заливке на стадии physdiskwrite/dd.

Версия для PC Engines настроена на использование интерфейса LAN1 в качестве локального, и ему назначен адрес 192.168.1.1/24. Так же, как в случае с Soekris net4501, LAN1 расположен рядом с разъёмом питания. Интерфейсы на Soekris net4801 назначены так же, как на net4501.

Универсальные образы для ПК

Как мы уже писали, на платформу ПК, совместимую с Intel x86 и удовлетворяющую минимальным требованиям, можно установить универсальный образ. Это может быть как интегрированная платформа, для которой нет готового образа m0n0wall, так и обычный настольный ПК, который будет доживать свой век, работая в качестве брандмауэра.

Наиболее сложный вопрос заключается в том, как выполнять загрузку: с Compact Flash, IDE или CD-ROM? Мы считаем, что если возможно, то следует выбрать вариант с CompactFlash. Адаптеры IDE CF и сами карты памяти относительно дёшевы, и m0n0wall разрабатывался именно с учётом их использования.

Единственный недостаток CF заключается в том, что карты рассчитаны на относительно небольшое число циклов записи. Хотя это число измеряется сотнями тысяч, брандмауэр, постоянно подключённый к Интернету и настроенный на запись в журнал всех отброшенных пакетов, достаточно быстро сможет вывести карту памяти из строя.

Для того, чтобы этого не произошло, m0n0wall обращается к карте только в трёх случаях:

  • загрузка системы и программного обеспечения в ОЗУ;
  • запись изменений конфигурации в файл XML;
  • запись нового образа при использовании обновления прошивки "Firmware Upgrade" без отключения устройства.

Всё остальное происходит в ОЗУ. Это объясняет столь высокие требования m0n0wall к объёму оперативной памяти (64 Мбайт) по сравнению с другими решениями. В то же время, другие решения часто используют виртуальную память в виде swap-файла на диске, к тому же у них нет преимуществ по энергопотреблению и надёжности, которые возможны при использовании загрузки с CompactFlash.

Если по какой-то причине использовать CompactFlash не предоставляется возможным, то рекомендуем остановиться на жёстком диске. Вероятно, в старом ПК, которому вы хотите дать второе дыхание, уже есть жёсткий диск. Конечно, в этом случае энергопотребление устройства окажется выше, чем при использовании CompactFlash, однако такое решение вполне традиционно, при этом сохраняется возможность обновления ПО без отключения устройства.

Запись образа на жёсткий диск практически не отличается от записи на CompactFlash. Некоторое неудобство возникнет в связи с тем, что придётся выключать и разбирать системный блок компьютера, чтобы подключить к нему винчестер, на который нужно записать образ m0n0wall. Также будьте внимательны при выборе винчестера для записи образа m0n0wall, чтобы не перезаписать свой!

Наконец, последним вариантом является использование привода CD-ROM. С точки зрения надёжности, этот способ наименее интересен, поскольку работа в таком случае будет зависеть как от привода CD-ROM, так и от дискет!!! Однако этот способ как нельзя лучше подходит для проверки работы m0n0wall на платформе обычного ПК. Конечно, возможности онлайнового обновления ПО у вас не будет, но при этом никогда не поздно начать использовать CF или жёсткий диск, или даже перейти к другим решениям.

Для работы нужно просто записать образ ISO на диск CD-R, используя для этого любое программное обеспечение, позволяющее работать с образами в режиме Mode-1 2048 байт на сектор. Затем нужно взять дискету и отформатировать её под FAT16. Установить диски в соответствующие приводы и настроить BIOS ПК на загрузку с CD-ROM.

Подробнее о том, как записать образ на компакт диск и отформатировать дискету под ОС FreeBSD, можете прочитать на сайте m0n0wall по этому адресу.

Первая загрузка m0n0wall на платформе ПК

На базе обычного ПК m0n0wall не может настроить сетевые интерфейсы без вмешательства пользователя, поскольку, в отличие от интегрированных платформ, аппаратная начинка здесь неизвестна. m0n0wall с лёгкостью может работать на ПК без монитора и клавиатуры, однако и то, и другое потребуется при первой загрузке для базовой настройки сетевых интерфейсов.

Наиболее популярные сетевые адаптеры изначально поддерживаются системой. Однако, на всякий случай, рекомендуем посмотреть список совместимости FreeBSD 4.9, поскольку неподдерживаемые карты не будут распознаны и инициализированы, а возможности самостоятельной настройки сетевых интерфейсов не предусмотрено. Также не предусмотрено и добавление драйверов прочих устройств в образ m0n0wall.

При первой загрузке предлагается присвоить определившимся адаптерам интерфейсы для LAN, WAN и OPT. Выполнить это нужно будет по очереди, при этом система отображает имя драйвера и MAC-адрес адаптера.

Совет Совет. m0n0wall использует концепцию логических интерфейсов. Как минимум, должно быть два физических интерфейса: для LAN (локальной сети) и WAN (внешнего подключения). Все остальные интерфейсы будут определены как OPTx (опциональные), где x - номер интерфейса. Имена можно сменить на более понятные, воспользовавшись для этого графическим интерфейсом. Например "DMZ" (Demilitarized Zone) для подключения машин, доступных из Интернета или "LAN2" - для второго локального сегмента.

Отметим, что если у вас есть два или более интерфейса одного типа, то единственным их отличием будет MAC-адрес. Чтобы не запутаться при настройке, система рекомендует по очереди подключать интерфейсы к концентратору или коммутатору. m0n0wall определяет, какой адаптер подключился, после чего предлагает его настроить.

Совет Совет. На практике при настройке m0n0wall сетевые интерфейсы, скорее всего, будут находиться в том же порядке, что и слоты PCI, в которые они установлены. Обычно слот с номером один располагается ближе к процессору и/или слоту AGP (если он есть).

По умолчанию доступ к web-интерфейсу осуществляется по IP-адресу интерфейса LAN. После того, как все интерфейсы настроены, нужно произвести перезагрузку, подключить интерфейс LAN к локальной сети и перейти в браузере по данному IP-адресу. Кстати, ни монитор, ни клавиатура уже не нужны. Возможно, потребуется настроить BIOS на загрузку без клавиатуры. Некоторые ПК при настройках по умолчанию считают это критической ошибкой и, просигналив, останавливают загрузку, отображая соответствующее сообщение.
Назад
Вы читаете страницу 2 из 4
1 2 3 4
Далее


СОДЕРЖАНИЕ

Обсуждение в Клубе Экспертов THG Обсуждение в Клубе Экспертов THG


РЕКЛАМА
РЕКОМЕНДУЕМ ПРОЧЕСТЬ!

История мейнфреймов: от Harvard Mark I до System z10 EC
Верите вы или нет, но были времена, когда компьютеры занимали целые комнаты. Сегодня вы работаете за небольшим персональным компьютером, но когда-то о таком можно было только мечтать. Предлагаем окунуться в историю и познакомиться с самыми знаковыми мейнфреймами за последние десятилетия.

Пятнадцать процессоров Intel x86, вошедших в историю
Компания Intel выпустила за годы существования немало процессоров x86, начиная с эпохи расцвета ПК, но не все из них оставили незабываемый след в истории. В нашей первой статье цикла мы рассмотрим пятнадцать наиболее любопытных и памятных процессоров Intel, от 8086 до Core 2 Duo.

ССЫЛКИ
Реклама от YouDo
erid: LatgBStT4
Дизайн трехкомнатной квартиры 76 кв.м.: http://remont.youdo.com/interior/apartments/threerooms/sizes/diz/76m/.