M0n0wall防火墙解决问题手记.docVIP

M0n0wall安装手记 一、软件安装　　1．认识M0n0wall：　　M0n0wall，挺奇怪的软件名， M0n0wall是基于FreeBSD内核的嵌入式的防火墙软件，目前，基于Unix/Linux/BSD的路由软件基本上都是免费，这也是选择该款软件的一个重要原因。M0n0wall对硬件要求很低，486芯片、32M内存，几十兆的硬盘加上双网卡即可正常工作并有相当不错的承受能力。M0n0wall提供界面相当友好的基于web界面的的配置管理，局域网内任何一台同一网段的计算机通过M0n0wall默认IP地址登录Web界面后均可对软件进行管理。M0n0wall还提供VPN功能；支持地址1:1映射（如果不是IP太富裕，一般不需要吧）、NAT端口映射、路由规则自定义配置、无线网络支持等功能，特别值得推荐的是M0n0wall还增加了大部分硬件路由器未配置的流量控制功能。　　2．M0n0wall安装：　　在M0n0wall的官方网站http://m0n0.ch/wall/downloads.php可下载M0n0wall软件的映像文件（文件名generic-pc-1.2.img），目前官方网站提供的最新版本为2005年9月11日发布的1.2B10版，考虑到产品的成熟度和稳定性，我选择了1.2B9版。该映像文件支持在Unix/Linux/FreeBSD或WINDOWS下写入硬盘。FreeBSD下写入语句为：　　gzcat generic-pc-1.2.img | dd of=/dev/rad bs=16k　　Linux下写入语句为 　　Gunzip –c generic-pc-1.2.img | dd of=/dev/hd bs=16k　　如果到对以上系统不是很熟悉，建议在Windows的cmd模式下写入，官方网站同时提供了Windows下的磁盘写入工具physdiskwrite.exe下载。将需要安装M0n0wall的硬盘挂接在安装有Windows的计算机的第二个IDE上，M0n0wall的映像文件和磁盘写入文件复制到第一硬盘的同一文件夹，　　在cmd下进入该目录，执行以下命令：　　physdiskwrite –u generic-pc-1.2.img（如下图） 注意参数 –u ，硬盘大于800M时必须带的参数。　　M0n0wall会自动寻找物理硬盘，并将显示所有的物理硬盘信息（上图演示只安装了一个硬盘），选择相应的硬盘后回车就可写入。M0n0wall写入时将清除硬盘所有分区信息，所以千万不要选择错误。　　把安装有M0n0wall的硬盘安装到做路由的计算机，启动后将自动进入M0n0wall界面。 　　二、软件配置：　　1．网络设置：　　学校配外网Web服务器一台，提供Web服务（带虚拟主机）、FTP服务及虚拟主机DNS解析，内网服务器两台，兼作校内FTP及资源库；信息点共500多个，其中教师用计算机200多台，普通教室及功能教室多媒体50多台，四个微机房（各57台）及电子阅览室30多台，已连接电信百兆宽带。网络划分及配置如下：　　教师用机及服务器：网段，要求能使用外网所有资源；教室多媒体：网段，要求能使用校内所有资源，平时不开放Internet，教师有需要时单独开放；　　微机房：、、、四个网段，要求能使用外网所有资源，任课教师可单独控制机房网络使用。　　根据学校网络配置要求，设计如下网络方案：　　软件路由器配置三个网卡，一个连接外网，两个连接校内局域网，分别设置教师用机网段及教室网段，微机房为便于课堂控制，均采用一台安装有网络监控软件的服务器代理上网。机房服务器采用双网卡代理上网，其中一个网卡设置网段IP，另一网卡设置微机房内网IP。 　　2．硬件配置：　　尽管M0n0wall对计算机硬件要求不高，考虑到学校计算机数量多，网络较复杂，采用一台赛扬1.1G、128M内存的联想品牌机，M0n0wall系统中8139网卡表现不尽如人意，最高只能达到60M/s的速度，且连接计算机数量一多时速度会明显变慢，故购置了两块Intel 82559网卡用于外网端口和网段端口，建议使用Intel或3COM的网卡以获得更好的效果（M0n0wall官方网站也是这么推荐的）。M0n0wall工作时硬盘或电子硬盘只是一个软件载体，要求不高，但程序都在内存中运行，且由于日志等原因，运行时间长会导致内存占用增加，故尽量使用128M以上内存。　　如考虑路由器长期运行，IDE硬盘长时间运行因发热等原因易出现故障，故建议不使用IDE硬盘，改用电子硬盘或CF存储卡加CF-IDE转接卡以获得更稳定的性能。M0n0wall只占用硬盘5M左右空间，32M的电子硬盘或CF卡即能满足需要。使用电子硬盘或CF存储卡需在官方网站下载专用的映像文件