M0n0wall is een open source firewall en draadloze router ontwikkeld door Manuel Kasper, gebouwd op een uitgeklede FreeBSD besturingssysteem. M0n0wall biedt veel van dezelfde functies in commerciële firewalls producten zoals Check Point Firewall-1 en Cisco Pix, met inbegrip van stateful packet filtering. Hiermee kunt u een veilig virtual private network (VPN) maken tussen twee sites, of u kunt m0n0wall gebruiken als een VPN-gateway, zodat u toegang hebt tot uw LAN secure vanaf het Internet. U kunt RADIUS gebruiken voor clientverificatie om de beveiliging nog verder te verhogen.
M0n0wall heeft een mooie webinterface voor het configureren van firewall-instellingen. Het grootste deel van de configuratie kan worden gedaan via de webinterface en alle waarden worden opgeslagen in een enkel XML-bestand. De configuratie kan worden opgeslagen op een diskette, harde schijf of externe opslagkaart. Dit maakt het eenvoudig om meerdere firewalls met een soortgelijke hardware-setup te implementeren.
de firewall is stabiel en lijkt op een commerciële firewall; het enige verschil is het ontbreken van een commercieel prijskaartje. Ik heb de m0n0 firewall gebruikt op veel verschillende PC configuraties voor meer dan een jaar zonder problemen. Zoals met alle open source software, kunt u een complete, niet-kreupele versie van m0n0wall downloaden voor evaluatie en testen.
m0n0wall installeren
download een imagebestand om m0n0wall uit te proberen. U kunt kiezen tussen afbeeldingen voor een normale PC of voor een speciaal embedded hardwareapparaat. Elke aanpak heeft voor-en nadelen. Oude reserve computers (een 100MHz 486 met 64MB RAM of beter zal doen) zijn overal; echter, ze maken veel lawaai en gebruiken veel macht. Embedded systemen maken weinig of geen lawaai en gebruiken minimale macht, maar je waarschijnlijk niet over een reserve Soekris systeem in uw kelder, dus zou moeten kopen van de apparatuur, die begint bij ongeveer $ 200. Voor hardware-gebaseerde configuraties zoals Soekris, kunt u een firmware-update uit te voeren op m0n0wall wanneer updates beschikbaar zijn van de m0n0 project.
ik heb m0n0wall getest op een oude Compaq ProLiant van 450MHz met 128 MB RAM. Ik downloadde de juiste image en brandde het naar een opstartbare CD-ROM. TIP: Vergeet niet om de image optie te gebruiken in uw CD-brander software; alleen het kopiëren van het bestand zal geen opstartbare image produceren. Zet de CD in je toekomstige firewall; Koppel alle Netwerkkabels los en schakel de stroom in.
als alles correct is, ziet u het volgende scherm :
*** Dit is m0n0wall, versie 1. 2b3
gebouwd op zon Dec 5 11: 22: 47 CET 2004 voor generic-pc-cdrom
Copyright (c) 2002-2004 door Manuel Kasper. Alle rechten voorbehouden.
bezoek http://m0n0.ch/wall voor updates.
LAN IP-adres: 192.168.1.1
poortconfiguratie:
LAN – > sis0
WAN – > sis1
m0n0wall console setup
**********************
1) Interfaces: netwerkpoorten
toewijzen 2) LAN-IP-adres
instellen 3) webguiwachtwoord
resetten 4) fabrieksinstellingen
herstellen 5) systeem
herstarten 6) ping-host
kies eerst optie 1 om de LAN-en WAN-interfaces toe te wijzen, en een semi-vertrouwde DMZ als u ervoor kiest er een te hebben.
als u het LAN-IP-adres moet wijzigen in iets anders dan het standaard IP-adres (192.168.1.1), kiest u Optie 2. Hier kunt u ook een DHCP-server toewijzen als u DHCP op uw LAN wilt gebruiken.
de volgende vier opties zijn voor het oplossen van problemen; u zou ze op dit moment niet nodig moeten hebben.
toegang tot de web GUI
sluit nu een crossover-kabel aan op de LAN-interface van uw firewall en gebruik een andere computer op het netwerk met een browser om de rest van de configuratie uit te voeren. Wijs de browser naar http://192.168.1.1 (of het IP-adres dat u hebt ingesteld met optie 2 in de console). Gebruik de gebruikersnaam admin en wachtwoord m0n0.
in het algemeen instellingenscherm kunt — en moet-de standaard gebruikersnaam/wachtwoord wijzigen. U kunt ook de hostnaam van de firewall wijzigen en opgeven of DNS moet worden gebruikt. U kunt ook opgeven dat u NTP (Network Time Protocol) wilt gebruiken om de systeemtijd te synchroniseren met een NTP-server om ervoor te zorgen dat uw systeemlogboektijden nauwkeurig zijn.
u kunt veel verschillende configuraties instellen voor uw WAN-interface, waaronder PPPoE, PPTP, BigPond Cable en anderen.
de volgende stap is het instellen van enkele firewallregels. Begin met een paar eenvoudige regels, zoals “alles van het LAN tot het WAN is toegestaan.”In m0n0 betekent * “any”, dus de regel hieronder staat alles toe van uw LAN naar het Internet.
Proto | Bron | Poort | Bestemming | Poort | Beschrijving |
* | LAN-netto | * | * | * | Standaard LAN -> een |
Het is zeer gemakkelijk om te veranderen van regels. Als u alleen HTTP-verkeer naar het Internet vanaf het LAN wilt toestaan, wijzigt u bovenstaande regel in de volgende:
Proto | Bron | Poort | Bestemming | Poort | Beschrijving |
TCP | LAN-netto |
80 HTTP |
* | * | Alleen HTTP-van LAN -> een |
U kunt instellen dat het netwerk adres vertaling (NAT) en traffic-shaping. Onder het tabblad service kunt u de DHCP-server activeren, maar als u dat doet, moet u ervoor zorgen dat er geen andere DHCP-servers actief zijn op uw LAN.
nadat u uw huidige instellingen hebt ingevoerd, slaat u deze op. U kunt dan de firewall aansluiten op de WAN. Als u alles goed hebt gedaan, moeten uw LAN-gebruikers nu in staat zijn om te genieten van surfen op het Internet.
meer geavanceerde functies
als u toegang wilt krijgen tot uw LAN vanaf het Internet, kunt u een PPTP-tunnel instellen vanaf een externe client om veilig toegang te krijgen tot uw LAN, of een RADIUS-server gebruiken voor authenticatie van de externe clients. De PPTP setup hangt sterk af van uw client machine operative systeem en welke encryptie u kunt gebruiken. Uw werkelijke instellingen moeten worden ingevoerd in het VPN-menu.
u kunt ook een site-to-site VPN-verbinding opzetten, zolang u de andere kant van de VPN-tunnel kunt configureren. Ik slaagde erin om een VPN-verbinding te maken met een Check Point Firewall-1 machine met een minimum aan werk.
ondanks de goede punten heeft m0n0wall een aantal nadelen ten opzichte van commerciële producten. Het belangrijkst is dat er geen 24×7-ondersteuning beschikbaar is. Er is een zeer actieve mailinglijst met veel behulpzame mensen, en een IRC-kanaal, maar je staat er alleen voor als je missiekritische m0n0 firewall in het midden van de nacht sterft.