m0n0wall中文手册--688IT编程网

m0n0wall中⽂⼿册

第⼀章介紹

1.1. 什麼是m0n0wall

m0n0wall 是⼀個完整的、嵌⼊式的防⽕牆套裝軟件，該套裝軟件可以安裝于嵌⼊式PC裡，提供所有商業防⽕牆的重要特性（包括易⽤性），⽽且價格只有商業防⽕牆幾分之⼀（⾃由軟體）。m0n0wall 是基于bare-bones version of FreeBSD，包括⼀個WEB伺服器，PHP和另⼀些⼯具軟體。整個系統的配置保存在⼀個XML⽂件當中。m0n0wall可能是第⼀個啟動時透過PHP配置的UNIX系統，這種架構勝于使⽤shell腳本。並且整個系統的配置⽤XML格式保存。

1.2.m0n0wall的局限

m0n0wall是防⽕牆，並且防⽕牆的⽬的是提供安全。功能被增加的越多，這些額外的功能的脆弱將損害防⽕牆安全的機會越⼤。因此m0n0wall編寫者認為m0n0wall不包含在第3層和第4層防⽕牆的基礎服務外的任何功能。因為m0n0wall是嵌⼊式的防⽕牆⾯向嵌⼊設備有限的CPU資源和記憶體資源。並為適應低端設備的CPU和記憶體的局限，以及Flash記憶體等原素的限制。最後，為了限制image⽂件的⼤⼩取消了這些額外的功能。

●我們認為以下的這些服務應該在另⼀台伺服器上運轉，所以m0n0wall不包含這些部分︰

●⼊侵察覺/ 預防系統php手册官方中文版

●代理服務

●除了第3層和第4層以外其他任何層的包檢查

●WEB服務

●FTP服務

●網路時間服務

●⽇誌⽂件分析

不⽀持Telnet或SSH程式。

1.3.歷史

Manuel Kasper, m0n0wall的作者，說︰

從我開始在嵌⼊式PC上擺弄包過濾器，我就想有⼀個漂亮的基于web圖形界⾯的控制單元來控制所有的防⽕牆功能，⽽不是透過鍵⼊單個的命令。在互聯網上有很多漂亮的帶有WEB界⾯的防⽕牆包（⼤部分是基于Linux的），但是沒有⼀個符合我要求的（⾃由，快速，簡單，乾淨以及我需要的所有特性）。所以，我終于開始寫屬于⾃⼰的WEB圖形界⾯。但是，我決不是想建⽴⼀個webmin 的翻版----我想建⽴⼀個完整的、新的嵌⼊式防⽕牆套裝軟件。它的所有將被發展為⼀個接上電源的盒⼦，可以透過串⼝設置LAN IP位址，登錄進WEB界⾯設置它。然後我決定我不能像平常的啟動系統那樣透過SHELL腳本配置系統（由於它幾乎不可能⽤SHELL腳本完成，所以我已經寫了⼀個C程式產⽣過濾器規則），並且⾃從我使⽤了基于PHP的WEB 界⾯，不⾧時間我就發現還是使⽤PHP來配置系統的好。這種⽅法，配置數據將不再必須被存儲在那些被SHELL腳本解析的⽂本⽂件裡⾯----它現下被存儲在⼀個XML⽂件裡。所以我⼜完全重寫了整個系統，除了相當多的“引擎罩底下的東西”外，看上去感覺沒有什麼改變。

m0n0wall的第⼀個beta版在2003年2⽉15⽇發布。第1.0 版本在⼀年以後的2004年2⽉15⽇發布。在那兩個之間發布了26個beta版，平均每兩周發布⼀個。在m0n0wall 網站可以查閱每個版本的變化。

www.doczj/doc/442c4af2f90f76c661371afe.html

1.4.特徵

●m0n0wall提供的⼤多數商業防⽕牆的特徵，和在商業防⽕牆內不具備的特徵，包括︰

●WEB圖形界⾯控制單元(⽀持SSL)

●⽤于恢復系統的串⼝界⾯

●設定LAN IP位址

●重置密碼

●恢復初始默認設置

●重啟系統

●無線⽀持（access point with PRISM-II/2.5/3 cards, BSS/IBSS with other cards including Cisco）基于狀態的包過濾

●block/pass 規則

●⽇誌

●NAT/PAT (包括1:1)

●在WAN⼝上⽀持DHCP 客⼾、PPPoE、PPTP 和Telstra BigPond Cable

●IPsec VPN 隧道（IKE; ⽀持硬體加密卡，移動客⼾和證書）

●PPTP VPN （⽀持RADIUS 伺服器）

●靜態路由

●DHCP伺服器與中繼

●緩存DNS 轉向器

●動態DNS客⼾端與RFC 2136 DNS更新器

●SNMP代理

●流量整形（帶寬限制）

●基于SVG的流量圖

●可以透過WEB界⾯進⾏固件升級

●喚醒LAN客⼾

●配置⽂件備份/恢復

主機/網路別名

1.4.1.組成部分

●m0n0wall包含下列內容︰

●所有FreeBSD要求的組件（內核、應⽤程式）

●ipfilter

●PHP (CGI 版本)

●mini_httpd

●MPD

●ISC DHCP 伺服器

●ez-ipupdate (for DynDNS updates)

●Dnsmasq (for the caching DNS forwarder)

●racoon (for IPsec IKE)

●UCD-SNMP

●choparp

BPALogin

1.4.

2.說明

當前的m0n0wall系統可以存放在不⼩于6M 的CF卡（或者CD-ROM）上。

在net4501平台上，當運⾏默認配置的時候，包含NAT在內，m0n0wall提供⼤約17 Mbps的WAN <-> LAN TCP 吞吐量。在更快的平台上（類似于net4801或者WRAP），吞吐量可能超過50Mbp（在更新的標準PC上> 100 Mbps）。

在net4501平台上, m0n0wall從上電啟動到完全可以⼯作的時間⼩于40 秒，這其中包含POST (適當的BIOS配置）

1.5.軟體版權和許可

Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met:

1. Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer.

2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution.

THIS SOFTWARE IS PROVIDED "AS IS'' AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE AUTHO

R BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS

OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.

1.5.1.其他套裝軟件

m0n0wall是在各種免費套裝軟件的基礎上開發的，在下⾯列舉。m0n0wall的作者想因他們的努⼒⽽感謝這些套裝軟件的作者。

mini_httpd (www.doczj/doc/442c4af2f90f76c661371afe.html /software/mini_httpd) Copyright ? 1999, 2000 by Jef Poskanzer

ISC DHCP server (www.doczj/doc/442c4af2f90f76c661371afe.html /products/DHCP) Copyright ? 1996-2003 Internet Software

ipfilter (www.ipfi www.doczj/doc/442c4af2f90f76c661371afe.html ) Copyright ? 1993-2002 by Darren Reed. MPD - Multi-link PPP daemon for FreeBSD (www.doczj/doc/442c4af2f90f76c661371afe.html /mpd) Copyright ? 1995-1999 Whistle Communications, Inc. All rights reserved.

Circular log support for FreeBSD syslogd (www.doczj/doc/442c4af2f90f76c661371afe.html /syslogd) Copyright ? 2001 Jeff

Wheelhouse (jdw@www.doczj/doc/442c4af2f90f76c661371afe.html )

Dnsmasq - a DNS forwarder for NAT firewalls (www.doczj/doc/442c4af2f90f76c661371afe.html ) Copyright ?

2000-2003 Simon Kelley

(www.wirelessleiden.nl). See LICENSE for more licensing information.

UCD-SNMP (www.doczj/doc/442c4af2f90f76c661371afe.html /ucd-snmp) Copyright ? 1989, 1991, 1992 by Carnegie Mellon University. Copyright ? 1996, 1998-2000 The Regents of the University of California. All rights reserved.

choparp (www.doczj/doc/442c4af2f90f76c661371afe.html ) Copyright ? 1997 Takamichi Tateoka

(tree@mma.club.uec.ac.jp) Copyright ? 2002 Thomas Quinot (thomas@cuiv

www.doczj/doc/442c4af2f90f76c661371afe.html )

1.6.協助⼈員

1.6.1.代碼

Manuel Kasper編寫m0n0wall。

下列⼈員為編寫m0n0wall做出貢獻︰

Bob Zoller (bob at kludgebox dot com): Diagnostics: Ping function; WLAN channel auto-select; DNS forwarder

Michael Mee (m0n0wall at mikemee dot com): Timezone and NTP client support

Magne Andreassen (magne dot andreassen at bluezone dot no): Remote syslog'ing; some code bits for DHCP server on optional interfaces

Rob Whyte (rob at g-labs dot com): Idea/code bits for encrypted webGUI passwords; minimalized SNMP agent

Petr Verner (verner at ipps dot cz): Advanced outbound NAT: destination selection

Bruce A. Mah (bmah at acm dot org): Filtering bridge patches

Jim McBeath (monowall at j dot jimmc dot org): Filter rule patches (ordering, block/pass, disabled); better status page; webGUI assign network ports page

Chris Olive (chris at technologEase dot com): enhanced "execute command" page

Pauline Middelink (middelink at polyware dot nl): DHCP client: send hostname patch

Bj?rn P?lsson (bjorn at networksab dot com): DHCP lease list page

Peter Allgeyer (allgeyer at web dot de): "reject" type filter rules

Thierry Lechat (dev at lechat dot org): SVG-based traffic grapher

Steven Honson (steven at honson dot org): per-user IP address assignments for PPTP VPN

Kurt Inge Sm?dal (kurt at emsp dot no): NAT on opti onal interfaces

Dinesh Nair (dinesh at alphaque dot com): captive portal: pass-through MAC/IP addresses, RADIUS

authentication HTTP server concurrency limit

Justin Ellison (justin at techadvise dot com): traffic shaper TOS matching; magic shaper; DHCP deny

unknown clients; IPsec user FQDNs

Fred Wright (fw at well dot com): ipfilter window scaling fix; ipnat ICMP checksum adjustment fix

1.6.

2.⽂檔編製

Manuel Kasper編寫m0n0wall。

下列⼈員為m0n0wall技術資料做出貢獻︰

Chris Buechler (m0n0wall at www.doczj/doc/442c4af2f90f76c661371afe.html ): Editor, numerous contributions throughout.

Jim McBeath (monowall at j dot jimmc dot org): Users Guide outline, editing

Rudi van Drunen (r.van.drunen at xs4all dot nl) with thanks to Manuel Kasper, Edwin Kremer, PicoBSD, Matt Simerson and John Voight: m0n0wall Hackers Guide, used as the basis for the Development chapter.

Francisco Artes (falcor at www.doczj/doc/442c4af2f90f76c661371afe.html ): IPsec and PPTP chapters.

Fred Wright (fw at well dot com): Suggestions and review.

Axel Eble (axel+m0n0-0001 at balrog dot de): Help with the wiki, ddclient howto contribution.

Brian Zushi (brian at ricerage dot org): Linux CD burning instructions, documentation review and

suggestions.

Dino Bijedic (dino.bijedic at eracom-tech dot com): Sonicwall example VPN contribution.

第⼆章硬件兼容性

2.1.⽀援硬體架構

m0n0wall 只⽀持x86架構。⽀持x86標準PC和基于x86多種嵌⼊的設備。

m0n0wall不⽀持non-x86設備，（MIPS-based Linksys設備, ARM-based D-Link設備等等）。具體可以參閱FreeBSD 4.XX的硬體⽀持列表。因此m0n0wall 唯⼀⽀持的平台是x86。

2.2.⽀持標準基于PC 的硬體

m0n0wall ⽀持⾄少兩個網路界⾯的任何標準x86 PC機上營運。

2.2.1.最⼩要求

486CPU－任何486或更⾼的CPU可以滿⾜m0n0wall。更⾼的CPU將會提升你的網際網路連接帶寬和更多的連接數量。對⼤多數部署來說，486或者奔騰處理器是⾜夠的。

64 M內存－64 M內存是最低配置。m0n0wall的光盤版可以使⽤32 MB內存⼯作。使⽤CompactFlash 或HD m0n0wall的版本必須使⽤64 MB內存，這是因為m0n0wall要完全在內存中營運。

2.2.2.推薦系統BIOS設置

m0n0wall的⼀些BIOS正確設置

Plug and Play OS

BIOS中的“ Plug and Play OS”或相似的設置。調整到“ON”或者“En”。

關閉多餘的設備

m0n0wall只需要基本的設備，為了減少衝突和穩定，建議你關閉多餘的設備。（如聲卡、並⾏端⼝等）

2.2.

3.存儲體

m0n0wall 營運在CF卡、硬碟或CD＋軟驅（存儲配置⽂件）。

688IT编程网

m0n0wall中文手册

发表评论

推荐文章

随机森林算法介绍及R语言实现

基于随机森林优化的神经网络算法在冬小麦产量预测中的应用研究_百度文 ...

基于正则化贪心森林算法的情感分析方法研究

随机森林算法和grandientboosting算法

基于随机森林的图像分类算法研究

热门文章

随机森林算法的改进方法

基于随机森林算法的风险预警模型研究

Python中的随机森林算法详解

随机森林发展历史

如何使用随机森林进行时间序列数据模式识别(八)

随机森林回归模型原理

如何使用随机森林进行时间序列数据模式识别(六)

如何使用随机森林进行时间序列数据预测(四)

如何使用随机森林进行异常检测(六)

随机森林算法和grandientboosting算法 -回复

随机森林方法总结全面

随机森林算法原理和步骤

随机森林的原理

随机森林重要性

随机森林算法

机器学习中随机森林的原理

随机森林算法原理

使用计算机视觉技术进行动物识别的技巧

基于crf命名实体识别实验总结

transformer预测模型训练方法

最新文章

随机森林算法介绍及R语言实现

基于随机森林优化的神经网络算法在冬小麦产量预测中的应用研究_百度文 ...

基于正则化贪心森林算法的情感分析方法研究

随机森林算法和grandientboosting算法

基于随机森林的图像分类算法研究

随机森林结合直接正交信号校正的模型传递方法

标签列表

688IT编程网

m0n0wall中文手册

发表评论

推荐文章

随机森林算法介绍及R语言实现

基于随机森林优化的神经网络算法在冬小麦产量预测中的应用研究_百度文 ...

基于正则化贪心森林算法的情感分析方法研究

随机森林算法和grandientboosting算法

基于随机森林的图像分类算法研究

热门文章

随机森林算法的改进方法

基于随机森林算法的风险预警模型研究

Python中的随机森林算法详解

随机森林发展历史

如何使用随机森林进行时间序列数据模式识别(八)

随机森林回归模型原理

如何使用随机森林进行时间序列数据模式识别(六)

如何使用随机森林进行时间序列数据预测(四)

如何使用随机森林进行异常检测(六)

随机森林算法和grandientboosting算法 -回复

随机森林方法总结全面

随机森林算法原理和步骤

随机森林的原理

随机森林 重要性

随机森林算法

机器学习中随机森林的原理

随机森林算法原理

使用计算机视觉技术进行动物识别的技巧

基于crf命名实体识别实验总结

transformer预测模型训练方法

最新文章

随机森林算法介绍及R语言实现

基于随机森林优化的神经网络算法在冬小麦产量预测中的应用研究_百度文 ...

基于正则化贪心森林算法的情感分析方法研究

随机森林算法和grandientboosting算法

基于随机森林的图像分类算法研究

随机森林结合直接正交信号校正的模型传递方法

标签列表

随机森林重要性