m0n0wall to zapora sieciowa open source i router bezprzewodowy opracowany przez Manuela Kaspera, zbudowany na pozbawionym systemu operacyjnego FreeBSD. M0n0wall oferuje wiele tych samych funkcji, które można znaleźć w komercyjnych zaporach, takich jak Check Point Firewall-1 i Cisco Pix, w tym filtrowanie pakietów stanowych. Dzięki niemu możesz utworzyć bezpieczną wirtualną sieć prywatną (VPN) między dwoma witrynami lub możesz użyć m0n0wall jako bramy VPN, dzięki czemu możesz uzyskać bezpieczny dostęp do SIECI LAN z Internetu. Możesz użyć usługi RADIUS do uwierzytelniania klienta, aby zwiększyć bezpieczeństwo.
M0n0wall ma ładny interfejs internetowy do konfigurowania ustawień zapory. Większość konfiguracji można wykonać poprzez interfejs webowy, a wszystkie wartości są przechowywane w jednym pliku XML. Konfigurację można zapisać na dyskietce, dysku twardym lub zewnętrznej karcie pamięci. Ułatwia to wdrożenie kilku zapór sieciowych z podobną konfiguracją sprzętową.
firewall jest stabilny i wygląda jak Zapora komercyjna; jedyną różnicą jest brak komercyjnej metki. Używam zapory m0n0 na wielu różnych konfiguracjach PC od ponad roku bez żadnych problemów. Podobnie jak w przypadku wszystkich programów open source, możesz pobrać kompletną, niepalącą wersję m0n0wall do oceny i testowania.
instalacja m0n0wall
aby wypróbować m0n0wall, pobierz plik obrazu. Możesz wybrać pomiędzy obrazami dla zwykłego komputera lub dla specjalnego wbudowanego urządzenia sprzętowego. Każde podejście ma zalety i wady. Stare komputery zapasowe (100MHz 486 z 64MB RAM lub lepiej) są wszędzie; jednak robią dużo hałasu i zużywają dużo mocy. Systemy wbudowane wytwarzają niewielki lub żaden hałas i zużywają minimalną moc, ale prawdopodobnie nie masz zapasowego systemu Soekris w piwnicy,więc musiałbyś kupić sprzęt, który zaczyna się od około $200. W przypadku konfiguracji sprzętowych, takich jak Soekris, można przeprowadzić aktualizację oprogramowania układowego na m0n0wall, gdy aktualizacje są dostępne w projekcie m0n0.
testowałem m0n0wall na Starym Compaq ProLiant 450MHz z 128MB pamięci RAM. Pobrałem odpowiedni obraz i nagrałem go na bootowalną płytę CD-ROM. Wskazówka: pamiętaj, aby użyć opcji obrazu w oprogramowaniu nagrywarki CD; samo skopiowanie pliku nie spowoduje powstania obrazu startowego. Włóż płytę CD do przyszłej zapory; odłącz wszystkie kable sieciowe i włącz zasilanie.
jeśli wszystko jest poprawne, powinieneś zobaczyć następujący ekran :
*** to jest m0n0wall, Wersja 1. 2B3
zbudowany na Sun Dec 5 11: 22: 47 CET 2004 dla generic-pc-cdrom
Copyright (C) 2002-2004 by Manuel Kasper. Wszelkie prawa zastrzeżone.
odwiedź http://m0n0.ch/wall po aktualizacje.
adres IP LAN: 192.168.1.1
konfiguracja portów:
LAN- >sis0
WAN – > sis1
konfiguracja konsoli m0n0wall
**********************
1) interfejsy: Przypisz porty sieciowe
2) Skonfiguruj adres IP LAN
3) Zresetuj hasło webGUI
4) Przywróć ustawienia fabryczne
5) zrestartuj system
6) Ping host
najpierw wybierz opcję 1, Aby przypisać interfejsy LAN i WAN oraz częściowo zaufany DMZ, jeśli zdecydujesz się go mieć.
jeśli musisz zmienić adres IP sieci LAN na inny niż domyślny (192.168.1.1), wybierz opcję 2. Tutaj możesz również przypisać serwer DHCP, jeśli chcesz używać DHCP w sieci LAN.
następne cztery opcje są do rozwiązywania problemów; nie powinieneś ich potrzebować w tym momencie.
dostęp do interfejsu WWW
Teraz podłącz kabel skrzyżowany do interfejsu sieci LAN zapory i użyj innego komputera w sieci z przeglądarką, aby wykonać resztę konfiguracji. Skieruj przeglądarkę na http://192.168.1.1 (lub adres IP ustawiony za pomocą opcji 2 w konsoli). Użyj nazwy użytkownika admin i hasła m0n0.
na ekranie ustawień ogólnych możesz — i powinieneś — zmienić domyślną nazwę użytkownika/hasło. Można również zmienić nazwę hosta zapory sieciowej i określić, czy ma być używany DNS. Można również określić, że chcesz użyć Network Time Protocol (NTP) do synchronizacji czasu systemowego z serwerem NTP, aby upewnić się, że czasy dziennika systemu są dokładne.
możesz ustawić wiele różnych konfiguracji interfejsu WAN, w tym Kabel PPPoE, PPTP, BigPond i inne.
następnym krokiem jest skonfigurowanie niektórych reguł zapory. Zacznij od kilku prostych zasad, takich jak ” wszystko od sieci LAN do WAN jest dozwolone.”W m0n0 * oznacza „dowolny”, więc poniższa reguła pozwala na wszystko, od sieci LAN do Internetu.
| Proto | źródło | Port | przeznaczenie | Port | opis |
| * | sieć LAN | * | * | * | domyślny LAN – > dowolny |
bardzo łatwo zmienić zasady. Jeśli chcesz zezwolić tylko na ruch HTTP do Internetu z sieci LAN, Zmień powyższą regułę na następującą:
| Proto | źródło | Port | przeznaczenie | Port | opis |
| TCP | sieć LAN |
80 HTTP |
* | * | tylko HTTP z LAN – > dowolny |
możesz skonfigurować translację adresów sieciowych (NAT)i włączyć kształtowanie ruchu. W zakładce usługa możesz aktywować serwer DHCP, ale jeśli to zrobisz, upewnij się, że w Twojej sieci LAN nie są aktywne żadne inne serwery DHCP.
po wprowadzeniu bieżącej konfiguracji zapisz ją. Następnie można podłączyć zaporę do sieci WAN. Jeśli zrobiłeś wszystko poprawnie, użytkownicy sieci LAN powinni teraz cieszyć się przeglądaniem Internetu.
bardziej zaawansowane funkcje
jeśli chcesz uzyskać dostęp do SIECI LAN z Internetu, możesz skonfigurować tunel PPTP z zewnętrznego klienta, aby bezpiecznie uzyskać dostęp do SIECI LAN lub użyć serwera RADIUS do uwierzytelniania klientów zewnętrznych. Konfiguracja PPTP zależy w dużej mierze od systemu operacyjnego maszyny klienta i tego, jakiego szyfrowania możesz użyć. Twoje rzeczywiste ustawienia muszą zostać wprowadzone w menu VPN.
Możesz również skonfigurować połączenie VPN między witrynami, o ile możesz skonfigurować drugą stronę tunelu VPN. Udało mi się nawiązać połączenie VPN z maszyną Check Point Firewall – 1 przy minimum pracy.
pomimo dobrych punktów, m0n0wall ma pewne wady w porównaniu z produktami komercyjnymi. Co najważniejsze, nie ma dostępnej obsługi 24×7. Istnieje bardzo aktywna Lista mailingowa z wieloma pomocnymi ludźmi i kanał IRC, ale jesteś zdany na siebie, jeśli twoja krytyczna zapora m0n0 umrze w środku nocy.