m0n0wall和pfsense在教育网的运用 九岭学校：张光明 内容提要.DOC

m0n0wall和pfsense在教育网的运用 九岭学校：张光明 内容提要：m0n0wall和pfsense的安装及符合教育网的设置（关闭NAT的方法） 我校接入绵阳教育城域网所配的设备是华为MT800，由于其性能太差（在路由模式下），掉线是常事，一般一百多块钱的路由器都是基于NAT在工作，没有办法关闭其地址转换，所以也不许用，在这种情况下，软路由就能派上用场了，只要我们找到关闭NAT的方法，就符合信息中心的要求了，它既有企业级路由器的部分功能，又是免费的，洽好我校还有一台谁也不愿用的赛扬二计算机闲在仓库里，正好发挥下余热。 以前用的是飞鱼星路由器的破解版，它里面有明确关闭NAT的地方，由于这个破解版有些小问题，就不推荐给大家了（真正的飞鱼星路由器还是相当不错的）。 而m0n0wall和pfsense里面却不象飞鱼星有明确“禁用网络地址转换”的功能。不过经过一周的摸索，还是发现了它们是可以关闭NAT的，现介绍给大家作考参。 m0n0wall介绍 一、准备 一台旧电脑（至少两块网卡），physdiskwrite.exe软件和m0n0wall的IMG文件 二、m0n0wall的安装 m0n0wall是FreeBSD系统的软件，不过还是要说一句：m0n0wall是防火墙。管它是软路由还是防火墙，可以用就行。也不要管什么FreeBSD操作系统（我也不懂），我们安装m0n0wall是在XP下用physdiskwrite.exe直接将m0n0wall的IMG镜象写入硬盘或CF卡里。操作如下： 把作软路由的硬盘挂到一台装XP的计算机（纯DOS下无法运行），在命令提示符下： ph.exe就是physdiskwrite.exe（这个名字也太长了吧，我把名字改短了），123.IMG就是m0n0wall软件的镜象。按回车后提示如下： 这里列出了你计算机上的磁盘，用0，1等编号的，这里就要输入0或1，选择要写到哪块硬盘里，弄不清楚你作软路由的硬盘是哪块，就在我的电脑上点右键，选“管理”，再选“磁盘管理”，看看是写到磁盘0还是磁盘1，不要选错了好，执行后硬盘原数据全部丢失。 再按“y”确认下，几秒钟就写完了。 把硬盘装回软路由的机子，还是要暂用下键盘和显示器在软路由控制台上指定下LAN和WAN的网卡（其它都在WEB上设置，以后软路由上的键盘显示器也用不上了），如下图 选1，指定哪块网卡用于LAN，哪块网卡用于WAN，出现下图： 再按选一下“y”保存后它会自动重启。（控制台已用不上了，其它配置都在WEB中进行，m0n0wall LAN的默认IP是） 找台计算机，设置成同网段，在浏览器中登进m0n0wall，默认用户名是admin,默认密码是mono。 三、关闭NAT的方法 基本配置就不说了，非常简单，这里主要说下关闭NAT的方法，点击NAT，如下图： 再点击“转出”，如下图 出现下图，选中“启用高级转出NAT”，但不要在下面添加手工NAT规则 启用高级转出NAT后就不会使用默认的NAT规则，而是使用下面手工添加的NAT规则，但我们不添加规则，就相当于没有NAT规则可用，这样内网IP在monowall处就不会被NAT，而只是路由跳转。（搞笑吧，关闭NAT的方法如此简单，我可是想了一周啊）。 四、特别提醒 1、m0n0wall在WAN口上对上的MAC欺骗功能无效，如下图 如果信息中心不给改MAC的话就只能找网卡的配置程序把网卡的MAC修改了（8139是PG8139程序） 2、要想外边（城域网内）也能ping通你内网的计算机，还得在防火墙的WAN上添加以下规则，如图： 至少要在WAN口上放行ICMP协议的类型“回响”，其它任意，如下图 如果你内网还有其它服务器，也要在这里添加相应的规则，不然外边是无法连接到你的服务器的。 3、原来的MT800猫就得把它复位成纯桥接模式，可能会问，还是MT800，不怕掉线？放心吧，再差的猫在纯桥接模式下都是工作得很好的。还得注意下，我的MT800在复位后MAC并没有变，这个MAC我们现在是要用到m0n0wall的WAN口上，猫和WAN口是同一个MAC，是上不了网的（我的是这样），所以，还得把MT800的MAC改下，MT800是vikingII芯片的，在网上找个vikingII芯片的刷新升级程序就能把猫的MAC改掉，要是觉得麻烦，就另换一只吧（比如“长虹”的猫） 4、m0n0wall流量管理中的“流控精灵”功能还是很实有的，它会给我们生成一套限速规则，如下图： 5、m0n0wall对内网的认证只有个“入网门户”功能可用，没有我希望的内网PPPOE功能，PPPOE可是防ARP病毒的终极方法（不过就是麻烦了点）。真希望以后的版本中能加入。现在要防ARP，就只能做双绑了（m0n0wall绑客户机，客户机绑m0n0wall），下