M0n0væg er en open source brandvæg og trådløs router udviklet af Manuel Kasper, bygget på et fjernet FreeBSD-operativsystem. M0n0 tilbyder mange af de samme funktioner, der findes i kommercielle brandmure produkter som Check Point brandmur-1 og Cisco, herunder stateful pakkefiltrering. Med det kan du oprette et sikkert virtuelt privat netværk (VPN) mellem to sider, eller du kan bruge m0n0 som en VPN-port, så du kan få adgang til dit LAN sikkert fra internettet. Du kan bruge RADIUS til klientgodkendelse for at øge sikkerheden endnu højere.
M0n0 har en flot grænseflade til konfiguration af brandvægsindstillinger. Det meste af konfigurationen kan udføres via internetgrænsefladen, og alle værdierne gemmes i en enkelt fil. Konfigurationen kan gemmes på en diskette, harddisk eller eksternt lagerkort. Dette gør det nemt at installere flere brandvægge med en lignende udstyrsopsætning.
brandmuren er stabil og ligner en kommerciel brandmur; den eneste forskel er dens mangel på en kommerciel pris. Jeg har brugt m0n0-brandvæggen på mange forskellige PC-konfigurationer i mere end et år uden problemer. Som med alle open source-programmer kan du hente en komplet, ikke-forkrøblet version af m0n0 til evaluering og test.
installation af m0n0væg
hvis du vil prøve m0n0væg, skal du hente en billedfil. Du kan vælge mellem billeder til en normal PC eller til en speciel indbygget udstyrsenhed. Hver tilgang har fordele og ulemper. Gamle reservecomputere (en 100MH 486 med 64MB RAM eller bedre vil gøre) er overalt; de laver dog meget støj og bruger meget strøm. Embedded systemer gør lidt eller ingen støj og bruger minimal strøm, men du har sandsynligvis ikke et ekstra Soekris-system i din kælder, så skulle købe udstyret, som starter ved omkring $200. For udstyrsbaserede konfigurationer som Soekris kan du udføre en opdatering på m0n0, når opdateringer er tilgængelige fra m0n0-projektet.
jeg testede m0n0mur på en gammel 450mh med 128MB RAM. Jeg hentede det rigtige billede og brændte det til en bootbar CD-ROM. Tip: Husk at bruge billedindstillingen i dit cd-brænderprogram; bare kopiering af filen vil ikke producere et bootbart billede. Sæt CD ‘ en i din fremtidige brandvæg; tag alle netværkskabler ud, og tænd for strømmen.
hvis alt er korrekt, skal du se følgende skærmbillede :
*** dette er m0n0væg, version 1.2B3
bygget på Søn Dec 5 11:22:47 CET 2004 til generisk-pc-cdrom
Copyright (C) 2002-2004 af Manuel Kasper. Alle rettigheder forbeholdes.
besøg http://m0n0.ch/wall for opdateringer.
LAN IP-adresse: 192.168.1.1
Port konfiguration:
LAN- > sis0
vil- > sis1
m0n0vægkonsolopsætning
**********************
1) grænseflader:Tildel netværksporte
2) Indstil LAN IP-adresse
3) Nulstil adgangskode
4) Nulstil til fabriksindstillinger
5) Genstart systemet
6) Ping host
Vælg først mulighed 1 For at tildele LAN-og Van-grænsefladerne og en semi-betroet DM, hvis du vælger at have en.
hvis du skal ændre LAN-IP-adressen til noget andet end standard-IP ‘ en (192.168.1.1), skal du vælge indstilling 2. Her kan du også tildele en DHCP-server, hvis du gerne vil bruge DHCP på dit LAN.
de næste fire muligheder er til fejlfinding; du skulle ikke have brug for dem på dette tidspunkt.
adgang til internettet GUI
tilslut nu et crossover-kabel til dit LAN-interface, og brug en anden computer på netværket med en bro.ser til at udføre resten af konfigurationen. Peg bro. ser til http://192.168.1.1 (eller den IP-adresse, du har angivet med mulighed 2 i konsollen). Brug brugernavnet admin og adgangskode m0n0.
under skærmen Generel opsætning kan du — og bør — ændre standardbrugernavn/adgangskode. Du kan også ændre værtsnavnet på brandmuren og angive, om du vil bruge DNS. Du kan også angive, at du vil bruge Netværkstidsprotokol (NTP) til at synkronisere systemtiden med en NTP-server for at sikre, at systemlogtiderne er korrekte.
du kan indstille mange forskellige konfigurationer til din grænseflade, herunder PPPoE, PPTP, BigPond Cable og andre.
det næste trin er at konfigurere nogle regler for brandvæg. Start med et par enkle regler, såsom “alt fra LAN til Van er tilladt.”I m0n0 betyder * “enhver”, så reglen nedenfor tillader alt fra dit LAN til internettet.
| Proto | kilde | Havn | Destination | Havn | beskrivelse |
| * | LAN net | * | * | * | standard LAN – > alle |
det er meget nemt at ændre reglerne. Hvis du kun vil tillade HTTP-trafik til internettet fra LAN ‘ et, skal du ændre ovenstående regel til følgende:
| Proto | kilde | Havn | Destination | Havn | beskrivelse |
| TCP | LAN net |
80 HTTP |
* | * | kun HTTP fra LAN- > enhver |
du kan konfigurere oversættelse af netværksadresse (NAT) og aktivere trafikformning. Under fanen service kan du aktivere DHCP-serveren, men hvis du gør det, skal du være sikker på, at ingen andre DHCP-servere er aktive på dit LAN.
når du har indtastet din nuværende opsætning, skal du gemme den. Du kan derefter tilslutte brandvæggen til vanen. Hvis du gjorde alt korrekt, skal dine LAN-brugere nu kunne nyde at surfe på internettet.
mere avancerede funktioner
hvis du gerne vil have adgang til dit LAN fra internettet, kan du oprette en PPTP-tunnel fra en ekstern klient til sikker adgang til dit LAN eller bruge en RADIUS-server til godkendelse af de eksterne klienter. PPTP-opsætningen afhænger meget af dit klientmaskinoperative system, og hvilken kryptering du kan bruge. Dine faktiske indstillinger skal indtastes i VPN-menuen.
du kan også oprette en site-to-site VPN-forbindelse, så længe du kan konfigurere den anden side af VPN-tunnelen. Det lykkedes mig at oprette en VPN-forbindelse til en Checkpoint-1-maskine med et minimum af arbejde.
på trods af sine gode punkter har m0n0væg nogle ulemper sammenlignet med kommercielle produkter. De fleste importently, der er ingen 24 venstre 7 Støtte til rådighed. Der er en meget aktiv mailingliste med mange hjælpsomme mennesker og en IRC-kanal, men du er alene, hvis din missionskritiske m0n0-brandmur dør midt om natten.