M0n0wall é um firewall de código aberto e roteador sem fio desenvolvido por Manuel Kasper, construído em um sistema operacional FreeBSD despojado. O m0n0wall oferece muitos dos mesmos recursos encontrados em produtos de firewalls comerciais, como o Check Point Firewall-1 e o Cisco Pix, incluindo filtragem de pacotes com estado. Com ele você pode criar uma rede privada virtual segura (VPN) entre dois sites, ou você pode usar m0n0wall como um gateway VPN, para que você possa acessar sua LAN segura a partir da Internet. Você pode usar o RADIUS para autenticação de cliente para aumentar ainda mais a segurança.
M0n0wall tem uma interface web agradável para configurar configurações de firewall. A maior parte da configuração pode ser feita através da interface Web e todos os valores são armazenados em um único arquivo XML. A configuração pode ser salva em um disquete, disco rígido ou cartão de armazenamento externo. Isso facilita a implantação de vários firewalls com uma configuração de hardware semelhante.
o firewall é estável e parece um firewall comercial; a única diferença é a falta de um preço comercial. Eu usei o firewall m0n0 em muitas configurações de PC diferentes por mais de um ano sem problemas. Tal como acontece com todos os softwares de código aberto, você pode baixar uma versão completa e não aleijada do m0n0wall para avaliação e teste.
Instalando o m0n0wall
para experimentar o m0n0wall, Baixe um arquivo de imagem. Você pode escolher entre imagens para um PC normal ou para um dispositivo de hardware incorporado especial. Cada abordagem tem vantagens e desvantagens. Computadores sobressalentes antigos (um 100MHz 486 com 64MB de RAM ou melhor) estão em toda parte; no entanto, eles fazem muito barulho e usam muita energia. Os sistemas embarcados fazem pouco ou nenhum ruído e usam energia mínima, mas você provavelmente não tem um sistema soekris sobressalente em seu porão, então teria que comprar o equipamento, que começa em cerca de US $200. Para configurações baseadas em hardware como o Soekris, você pode executar uma atualização de firmware no m0n0wall sempre que houver atualizações disponíveis no projeto m0n0.
testei m0n0wall em um antigo Compaq ProLiant de 450MHz com 128MB de RAM. Baixei a imagem adequada e a gravei em um CD-ROM inicializável. Dica: lembre-se de usar a opção de imagem no software do gravador de CD; apenas copiar o arquivo não produzirá uma imagem inicializável. Coloque o CD no seu futuro firewall; desconecte todos os cabos de rede e ligue a energia.
se tudo estiver correto, você deve ver a seguinte tela :
*** este é m0n0wall, versão 1.2B3
construído em Sun Dec 5 11: 22: 47 CET 2004 para Genérico-pc-cdrom
Copyright (C) 2002-2004 por Manuel Kasper. Todos os direitos reservados.
visite http://m0n0.ch/wall para atualizações.
endereço IP LAN: 192.168.1.1
configuração da porta:
LAN -> sis0
WAN -> sis1
m0n0wall de configuração do console
**********************
1) Interfaces: atribuir portas de rede
2) configure o endereço IP da LAN
3) Redefinir webGUI senha
4) Repor para as predefinições de fábrica
5) Reinicialização do sistema
6) Ping host
Primeiro, escolha a opção 1 para atribuir o LAN e WAN, interfaces, e um semi-confiável DMZ se você optar por ter um.
se você precisar alterar o endereço IP da LAN para algo diferente do IP padrão (192.168.1.1), escolha a opção 2. Aqui você também pode atribuir um servidor DHCP se quiser usar DHCP em sua LAN.
as próximas quatro opções são para solução de problemas; você não deve precisar delas neste momento.
acessando a GUI da Web
agora conecte um cabo cruzado à interface LAN do seu firewall e use outro computador na rede com um navegador para fazer o resto da configuração. Aponte o navegador para http://192.168.1.1(ou o endereço IP definido com a opção 2 no console). Use o nome de usuário admin e senha m0n0.
sob a tela de configuração geral, você pode — e deve — alterar o nome de usuário/senha padrão. Você também pode alterar o nome do host do firewall e especificar se deve usar DNS. Você também pode especificar que deseja usar o Network Time Protocol (NTP) para sincronizar o tempo do sistema com um servidor NTP para garantir que os tempos de log do sistema sejam precisos.
você pode definir muitas configurações diferentes para sua interface WAN, incluindo PPPoE, PPTP, Cabo BigPond e outros.
o próximo passo é configurar algumas regras de firewall. Comece com algumas regras simples, como ” tudo, desde a LAN até a WAN, é permitido.”Em m0n0 o * significa “qualquer”, então a regra abaixo permite qualquer coisa de sua LAN para a Internet.
Proto | Fonte | Porto | Destino | Porto | Descrição |
* | LAN net | * | * | * | Padrão de LAN -> qualquer |
É muito fácil mudar as regras. Se você quiser permitir apenas tráfego HTTP para a Internet a partir da LAN, altere a regra acima para o seguinte:
Proto | Fonte | Porto | Destino | Porto | Descrição |
TCP | LAN net |
80 HTTP |
* | * | Só HTTP partir de LAN -> qualquer |
Você pode configurar endereços de rede (NAT) e habilitar traffic-shaping. Na guia serviço, você pode ativar o servidor DHCP, mas se o fizer, certifique-se de que nenhum outro servidor DHCP esteja ativo em sua LAN.
depois de inserir sua configuração atual, salve-a. Você pode então conectar o firewall à WAN. Se você fez tudo corretamente, seus usuários de LAN agora devem poder navegar na Internet.
recursos Mais avançados
Se você gostaria de obter acesso à sua rede a partir da Internet, você pode configurar um túnel PPTP a partir de um cliente externo para aceder de forma segura a sua rede local, ou usar um servidor RADIUS para autenticação dos clientes externos. A configuração do PPTP depende muito do seu sistema operacional de máquina cliente e da criptografia que você pode usar. Suas configurações reais devem ser inseridas no menu VPN.
você também pode configurar uma conexão VPN site a site, desde que você possa configurar o outro lado do túnel VPN. Consegui fazer uma conexão VPN para uma máquina de firewall-1 de ponto de Verificação com um mínimo de trabalho.
apesar de seus bons pontos, m0n0wall tem algumas desvantagens em comparação com produtos comerciais. Mais importentemente, não há suporte 24×7 disponível. Há uma lista de discussão muito ativa com muitas pessoas úteis e um canal de IRC, mas você está sozinho se o seu firewall m0n0 de missão crítica morrer no meio da noite.