M0n0wall este un firewall open source și un router wireless dezvoltat de Manuel Kasper, construit pe un sistem de operare FreeBSD dezbrăcat. M0n0wall oferă multe dintre aceleași caracteristici găsite în produsele firewall-uri comerciale, cum ar fi Check Point Firewall-1 și Cisco Pix, inclusiv filtrarea pachetelor stateful. Cu acesta puteți crea o rețea privată virtuală securizată (VPN) între două site-uri sau puteți utiliza m0n0wall ca gateway VPN, astfel încât să puteți accesa LAN secure de pe Internet. Puteți utiliza RADIUS pentru autentificarea clientului pentru a ridica securitatea și mai mare.
M0n0wall are o interfață Web frumoasă pentru configurarea setărilor firewall-ului. Cea mai mare parte a configurației se poate face prin interfața Web și toate valorile sunt stocate într-un singur fișier XML. Configurația poate fi salvată pe o dischetă, pe un hard disk sau pe un card de stocare extern. Acest lucru facilitează implementarea mai multor firewall-uri cu o configurație hardware similară.
firewall-ul este stabil și arată ca un firewall comercial; singura diferență este lipsa unui preț comercial. Am folosit paravanul de protecție m0n0 pe multe configurații diferite de PC pentru mai mult de un an fără probleme. Ca și în cazul tuturor software-urilor open source, puteți descărca o versiune completă, non-crippled a m0n0wall pentru evaluare și testare.
instalarea m0n0wall
pentru a încerca m0n0wall, descărcați un fișier imagine. Puteți alege între imagini pentru un PC normal sau pentru un dispozitiv hardware încorporat special. Fiecare abordare are avantaje și dezavantaje. Calculatoare de rezervă vechi (un 100MHz 486 cu 64MB RAM sau mai bine va face) sunt peste tot; cu toate acestea, ei fac o mulțime de zgomot și de a folosi o mulțime de putere. Sistemele încorporate fac puțin sau deloc zgomot și folosesc o putere minimă, dar probabil că nu aveți un sistem soekris de rezervă în subsolul dvs., așa că ar trebui să cumpărați echipamentul, care începe de la aproximativ 200 USD. Pentru configurații bazate pe hardware, cum ar fi Soekris, puteți efectua o actualizare de firmware pe m0n0wall ori de câte ori sunt disponibile actualizări din proiectul m0n0.
am testat m0n0wall pe un vechi 450MHz Compaq ProLiant cu 128MB de RAM. Am descărcat imaginea corectă și am ars-o pe un CD-ROM bootabil. Sugestie: nu uitați să utilizați opțiunea Imagine în software-ul CD burner; doar copierea fișierului nu va produce o imagine bootabilă. Puneți CD-ul în viitorul firewall; deconectați toate cablurile de rețea și porniți alimentarea.
dacă totul este corect, ar trebui să vedeți următorul ecran :
*** acest lucru este m0n0wall, versiunea 1.2B3
construit pe Sun decembrie 5 11:22:47 CET 2004 pentru generic-pc-cdrom
Copyright (C) 2002-2004 de Manuel Kasper. Toate drepturile rezervate.
vizitați http://m0n0.ch/wall pentru actualizări.
LAN adresa IP: 192.168.1.1
configurare Port:
LAN -> SIS0
WAN – > sis1
m0n0instalarea consolei de perete
**********************
1) interfețe: atribuiți porturi de rețea
2) configurați adresa IP LAN
3) resetați parola webGUI
4) resetați la valorile implicite din fabrică
5) Reporniți sistemul
6) Ping host
alegeți mai întâi opțiunea 1 pentru a atribui interfețele LAN și WAN și un DMZ semi-de încredere dacă alegeți să aveți unul.
dacă trebuie să schimbați adresa IP LAN la ceva diferit de IP-ul implicit (192.168.1.1), alegeți opțiunea 2. Aici puteți atribui, de asemenea, un server DHCP dacă doriți să utilizați DHCP pe LAN.
următoarele patru opțiuni sunt pentru depanare; nu ar trebui să aveți nevoie de ele în acest moment.
accesarea GUI Web
acum conectați un cablu crossover la interfața LAN a firewall-ului dvs. și utilizați un alt computer din rețea cu un browser pentru a face restul configurației. Îndreptați browserul spre http://192.168.1.1(sau adresa IP pe care ați setat-o cu opțiunea 2 în consolă). Utilizați numele de utilizator admin și parola m0n0.
sub ecranul de configurare generală, puteți — și ar trebui — să modificați numele de utilizator/parola implicită. De asemenea, puteți schimba numele gazdei firewall-ului și puteți specifica dacă utilizați DNS. De asemenea, puteți specifica faptul că doriți să utilizați Network Time Protocol (NTP) pentru a sincroniza ora sistemului cu un server NTP pentru a vă asigura că orele jurnalului de sistem sunt corecte.
puteți seta mai multe configurații diferite pentru interfața WAN, inclusiv PPPoE, PPTP, cablu BigPond, și altele.
următorul pas este să configurați câteva reguli de firewall. Începeți cu câteva reguli simple, cum ar fi „totul de la LAN la WAN este permis.”În m0n0 * înseamnă „orice”, astfel încât regula de mai jos permite orice, de la LAN la Internet.
| Proto | sursă | Port | destinație | Port | descriere |
| * | LAN net | * | * | * | Lan implicit – > orice |
este foarte ușor de a schimba regulile. Dacă doriți să permiteți numai traficul HTTP la Internet din LAN, modificați regula de mai sus la următoarele:
| Proto | sursă | Port | destinație | Port | descriere |
| TCP | rețea LAN |
80 HTTP |
* | * | numai HTTP de la LAN – > orice |
puteți configura traducerea adreselor de rețea (NAT) și puteți activa modelarea traficului. Sub fila serviciu, puteți activa serverul DHCP, dar dacă faceți acest lucru, asigurați-vă că niciun alt server DHCP nu este activ pe LAN.
după ce ați introdus configurarea curentă, salvați-o. Apoi puteți conecta paravanul de protecție la WAN. Dacă ați făcut totul corect, utilizatorii LAN ar trebui să se poată bucura acum de navigarea pe Internet.
caracteristici mai avansate
dacă doriți să obțineți acces la rețeaua LAN de pe Internet, puteți configura un tunel PPTP de la un client extern pentru a accesa în siguranță rețeaua LAN sau puteți utiliza un server RADIUS pentru autentificarea clienților externi. Configurarea PPTP depinde foarte mult de sistemul operativ al mașinii dvs. client și de criptarea pe care o puteți utiliza. Setările dvs. reale trebuie introduse în meniul VPN.
de asemenea, puteți configura o conexiune VPN site-to-site, atâta timp cât puteți configura cealaltă parte a tunelului VPN. Am reușit să fac o conexiune VPN la o mașină Check Point Firewall-1 cu un minim de lucru.
în ciuda punctelor sale bune, m0n0wall are unele dezavantaje în comparație cu produsele comerciale. Cel mai important, nu există nici un suport 24 7 de la 7. Există o listă de corespondență foarte activă, cu mulți oameni de ajutor și un canal IRC, dar sunteți pe cont propriu dacă firewall-ul m0n0 critic pentru misiune moare în mijlocul nopții.