孤军大作战！疯狂DIY 1U硬件防火墙实录（二）

發布時間：2025/6/15 49 豆豆

生活随笔收集整理的這篇文章主要介紹了孤军大作战！疯狂DIY 1U硬件防火墙实录（二）小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

軟件設置

前面，我們將防火墻的硬件部分基本安裝完畢，要嵌入防火墻核心了，市面上的大部分硬件防火墻都裝了UNIX系統+軟件防火墻模塊，看來這套基于UNIX系統的軟件防火墻模塊幾乎可以稱作是硬件防火墻靈魂，有了它，這臺PC機就變成一臺“號稱支持100M帶寬、并發12000個連接”的硬件防火墻了，可以拿到市場上叫出20萬的高價了。

　　那么我們怎么才能獲得這樣一套軟件呢？當然，各家防火墻廠商對自己的軟件都是深藏不露，絕對不會拿出來給大家自由使用的，那么還有其他辦法嗎？

　　當然有，那就是使用開源的防火墻軟件，現在國內外有很多軟件開發機構，矢志開發基于FREEBSD、LINUX等開源操作系統的防火墻軟件，并且將軟件放在網絡上供大家自由下載、測試，共同完善，其中有很多軟件的性能已經達到了相當高的水平，性能不亞于一些名牌防火墻產品，其中m0n0wall是筆者最欣賞的一個，我認為m0n0wall運行穩定、功能強大、技術比較成熟，完全可以與一些國內的名牌專業防火墻產品媲美。

　　m0n0wall對于國內的軟件路由器愛好者來說早已不是什么新鮮事物，不過大家多數使用它來diy軟件路由器，而忽略了它強大的防火墻功能，和其他常常被用來作為軟件路由器核心的軟件相比，m0n0的防火墻性能明顯勝出一籌，對于來自外界的攻擊和入侵，默認一律拒絕，可以很好地保護內網的安全，你看人家的名字就是wall啊，wall是什么？就是防火墻啊，可見軟件作者的初衷并不是僅僅將它作為一款路由器軟件，而是側重在防火墻上。

　　m0n0wall的安裝和設置都非常簡單快捷，特別適合初學者使用，軟件安裝好無需設置繁瑣的防火墻規則，默認設置下即可為內網筑起一道強大的防火墻，一般的黑客和木馬根本無法穿透這道防火墻，我的許多朋友長期使用m0n0做局域網防火墻，迄今為止還沒有誰發現有人能破解它，當然，我不是說m0n0wall是堅不可摧的，我的意思是說，m0n0wall作為一般中小型局域網的防護屏障是很好的選擇，畢竟水平超群的黑客不會費勁去攻擊這些小目標。理論上講，就和世界上沒有一把絕對安全的鎖一樣，世界上也沒有一臺絕對安全的防火墻，在超級黑客眼里，一切都是可以穿透的，希望大家懂得這個道理，想成為一名優秀的網絡安全維護人員，除了技術過硬之外，更重要的一點就是務必注意少得罪人。

　　m0n0wall固然好，但是因為是舶來品，國人使用起來往往還有點不適應，國內的一些發燒友和軟件機構，根據國情對于m0n0wall做了不少優化工作，這些優化版本，減少了原版的bug，加強了穩定性和功能，操作上更加適合國人的習慣和口味，這其中由千際公司的工程師魯承明先生優化的版本一直受到網友的歡迎，優化后的版本依舊是免費軟件，供大家免費下載使用，現在最新的版本是1000g-1.0-060202版，在這里[url]http://www.1000gwall.com/1000gwall.rar[/url]可以下載，該版本支持安裝到普通硬盤、電子盤、CF卡上使用。

　　我先下載了防火墻軟件模塊，但是如何將這個模塊安裝進電子盤呢，m0n0wall不是windows下開發的軟件，而是基于一種陌生的操作系統freebsd，這個系統比linux更加讓人感到陌生，但是freebsd具有神秘的穩定性，許多高端的服務器都采用這種操作系統，常常一開機就是一年不重啟一次，很少有病毒可以侵襲它，一般的黑客對它也是束手無策。

　既然是基于陌生的操作系統，m0n0的安裝自然也就有點與眾不同，沒有什么安裝文件可以讓我們雙擊，我們需要下載專門的“燒錄”工具來將防火墻模塊“燒”進硬件里。這個工具就是physdiskwrite.exe，剛才下載的那個包含防火墻模塊的壓縮包里有兩個文件1000g-1.0-060202.img?和physdiskwrite.exe?其中physdiskwrite.exe就是燒錄工具，另一個1000g-1.0-060202.img就是防火墻模塊軟件?，好了，萬事齊備，我們正式開始安裝。?
　　先把電子盤插入一臺安裝有windows操作系統的PC電腦的主板IDE接口上，點擊開始菜單——運行。?

輸入"CMD"命令,調出DOS命令窗口，記住一定要這樣調出窗口，切記千萬不能通過“點擊開始菜單——程序——附件——C：\命令提示符”這種方式來調出窗口，否則將不能正?！盁洝薄?/font>?

將剛才下載的防火墻軟件模塊1000g-1.0-060202.img和physdiskwrite.exe燒錄工具拷貝到同一個目錄下，然后執行如下命令：physdiskwrite?1000g-1.0-060202.img?，如果不是往電子盤燒錄，而是往IDE硬盤燒錄，當你的IDE硬盤容量超過800MB，請添加參數?-u，也就是這樣：physdiskwrite?-u?1000g-1.0-060202.img?

注意:在燒錄到大于800MB的硬盤時，-u參數一定要加在鏡像文件名的前面,否則會出現問題

回車后，屏幕顯示如下，顯示出兩個硬盤的參數，注意Model后面的名稱，st3160021A是指的IDE硬盤，而PQI?IDE?DiskOnModule則是指的電子盤，別忘了今天咱們用的電子盤是PQI牌的，所以一看帶有PQI字樣，就知道這是電子盤。屏幕下面出現一行字，讓選擇哪個硬盤是要寫入防火墻模塊的，自然是選擇PQI所在的1號，此處填寫1，回車。?

屏幕提示，確認是否正確，是否真的寫入，當然選Y。

幾秒鐘，防火墻模塊即被寫入電子盤，也就是被“燒錄”、“嵌入”進硬件里。?

將電子盤重新插入咱們組裝的1U防火墻那臺機器里，啟動系統，看到屏幕上飛速滑過一串串神秘的字母和數字，和windows的啟動截然不同。?

最終，屏幕停在這里，顯示6個選項。

先選擇1，是為了指定防火墻的wan口和lan口到兩個網卡上。屏幕提示詢問是否設置VLANs，選擇N?

現在輸入兩個網卡名稱，先給lAN口指定網卡rl0，再給WAN口指定網卡xl0，注意網卡的名稱請看屏幕左上角都有顯示。?

網卡綁定好后，輸入N，回車。?

屏幕顯示LAN和WAN口的綁定網卡名稱，并提示防火墻將保存這些設置并重啟，是否繼續？當然要選Y?

重啟之后，選擇選項2，為了給LAN口綁定的網卡指定新的IP地址。?

m0n0wall默認的LAN網卡的IP地址是192.168.1.1，端口是80，但是我們單位的局域網使用的網段是192.168.123.x，所以要把防火墻的LAN口IP地址改成這個網段的，我輸入的是：192.168.123.21?

子網掩碼輸入24，這個代表的是掩碼：255.255.255.0，回車。?

幕提示是否開啟DHCP服務，當然要開啟，選擇Y，這樣防火墻可以給內網的客戶機自動分配IP地址。

下面輸入自動分配IP地址的起始IP地址，我輸入192.168.123.22?
再輸入自動分配IP地址的終結IP地址，我輸入?192.168.123.122?
再回車。

回到主菜單。

輸入選項6，測試網絡是否通。此時我已經把網線插入防火墻的LAN口，輸入局域網網關的IP，ping一下，哦，通了！有時候可能會弄不清到底哪個網卡是LAN，這時可以來回將網線分別插入兩個網卡測試，那個通那個就是，另一個網卡就是連接外網的WAN口。?

現在專業的防火墻都可以通過IE瀏覽器的WEB界面來遠程管理，咱們的防火墻自然也不例外。在局域網里任何一臺客戶機的瀏覽器的地址欄里輸入防火墻的IP地址：[url]http://192.168.123.21?[/url]不用輸入端口，防火墻默認是80端口，立即彈出防火墻的登陸界面，要求輸入用戶名和密碼，我輸入防火墻默認用戶名admin?和密碼?1000g?點擊確定，進入防火墻管理界面。?

看看，界面夠酷吧，和一般硬件防火墻的管理界面沒什么區別。?

點擊左邊菜單的system——general?setup，在這里可以更改hostname，你可以改成任意自己喜歡的名字和符號，我改成1000gwall，domain改成1000gwall.com，下面的DNS?server填入當地常用的dns服務器的IP地址?！谙蛳碌倪x項usename和password可以更改防火墻的默認登陸用戶名和密碼。webgui?port這個選項可以更改防火墻的web登陸端口號，默認是80，我給改成8080，這樣就可以通過諸如：[url]http://192.168.123.21:8080[/url]來訪問防火墻的管理界面了，這樣可以防止黑客利用默認端口攻擊防火墻。?

修改完畢，點擊頁面下面的save，保存修改。屏幕顯示改變已經保存生效。?

現在的硬件防火墻很多都帶有共享上網的路由功能，咱們這個也不例外，我將用這臺防火墻為整個單位的局域網提供共享上網功能，替換原有的那個老路由器，大家都知道現在用來共享上網的寬帶路由器都帶有pppoe撥號功能，能夠自動通過一條ADSL寬帶撥號上網，然后讓局域網里的全部電腦都共享上網，咱們的這臺防火墻也有這個能力，下面選擇菜單里wan選項進行設置。?在TYPE（類型）中有Static（固定）、DHCP（動態）、PPPoE、PPTP、BigPond等五種類型，這里我們介紹固定IP和ADSL的設置，另外的設置方式類似。?
a.?固定IP方式設置?
　　如果您使用的固定IP請選擇選擇Static，在這里我選擇了Static，Static?IP?configuration(靜態IP地址配置)?IP?Address（IP地址）輸入外網IP地址219.159.82.XXX/30，Gateway（網關）輸入外網網關地址219.159.82.xxx。?
　　提示：這臺防火墻子網掩碼采用的是CIDR標記法，如255.255.255.0用/24表示,255.255.0.0用/16表示，255.0.0.0用/8表示等，實際上x中的就是子網掩碼二進制表示的數位1的個數，如255.255.255.252,用CIDR標記為/30。?
b.?ADSL寬帶設置?
　　如果你使用的是ADSL，請在type中選擇PPPoE在PPPoE?Configuration下的username（用戶名）處輸入用戶名，Password處輸入密碼，Service?name（服務商名稱）可以隨意輸入或留空，最后點擊Save保存配置。
　　提示：只需設置一種上網方式。?

設置好ADSL帳號的用戶名和密碼之后，選擇保存設置，修改的選項立刻生效，將防火墻的wan接口接入adsl貓，lan口接入交換機或者集線器的任意一個接口（記住是任意一個lan接口而不是集線器級聯用的uplink接口），其他客戶機電腦接入集線器或者交換機的其他lan口，重啟防火墻之后，防火墻即可自動撥號上網，并給各個客戶機自動分配IP地址，局域網用戶即可共享上網，當然這時大家已經處于防火墻的保護之下了。?

現在許多防火墻還具有動態主機功能，就是內置了一些動態主機軟件，例如花生殼客戶端、每步動態域名客戶端，讓其他互聯網用戶可以通過動態域名訪問到防火墻所在的局域網內的服務器，這個功能咱們的防火墻也有，點擊dynamic?dns選項進行設置，首先將Enable選項勾選上，啟動動態域名服務。?

在咱們的防火墻里默認內置了許多國際上常見的動態域名的客戶端，我喜歡使用其中的hn.org，去hn.org網站注冊一個用戶名，在防火墻下拉菜單里選擇使用hn.org的客戶端，然后輸入剛剛注冊的用戶名和密碼就可以使用了，互聯網上的網民只要輸入你的動態域名，例如?1000g.hn.org即可訪問到防火墻所在的公網IP地址，再通過在防火墻上設置端口映射，即可讓外界的網民訪問到內網的服務器，端口映射的方法我下面接著說。?
發布Web和ftp服務器?
　　

我們單位局域網里安裝有對外開放的web和ftp服務器，配置防火墻可以讓外界網民訪問web和ftp服務器。?
　　

步驟一：點擊Firewall——NAT，點擊Inbound的+號增加配置信息。?
　　
步驟二：配置Web端口映射。其中Interface設置為ＷＡＮ，Protocol設置為tcp，External?port?range設置為http,?NAT?IP設置為192.168.123.88，Local?port設置為http，Description（描述信息）設置為web?Server，最后Auto-add?a?firewall?rule?to?permit?traffic?through?this?NAT?rule一定要選定，否則必須手動在Firewall中rules?加規則，所有設置如圖15所示，點擊save鍵。?
　　
步驟三：配置FTP端口映射。其中Interface設置為ＷＡＮ，Protocol設置為tcp，External?port?range設置為FTP,?NAT?IP設置為192.168.123.88，Local?port設置為FTP，Description（描述信息）設置為FTP?Server，最后Auto-add?a?firewall?rule?to?permit?traffic?through?this?NAT?rule一定要選定，否則必須手動在Firewall中rules?加規則，點擊save鍵，再點擊“apply?Changes”（修改確認），系統提示應用生效，通過查看Firewall?rules，發現系統已經有二條新加入的規則。在外網輸入動態域名就可以訪問發布的web服務器了。?
　　
依此類推，可以設置好遠程桌面3389、smtp、pop3等常用的端口映射，如下圖顯示。?

如果您并不想用這臺防火墻給局域網做防護，而是想用于一臺服務器的防護，可以選擇firewall:NAT里面的1：1模式，這樣，所有訪問都將經過防火墻過濾后轉發到同一個IP地址上。?

硬件防火墻都可以監控流量和資源占用率，咱們的防火墻當然也可以了，選擇status——system?出現System?information界面，點擊上面的CPU?usage——view?graph選項，這時出現CPU占用率的曲線圖，但是現在顯示不正常，原來必須安裝一個小小的插件，點擊這里[url]http://www.1000gwall.com/1000gwallview.rar[/url]即可下載這個插件。?

在客戶端電腦下載插件安裝之后，登陸防火墻管理界面后即可顯示現在的CPU占用率，現在的占用率很低。?

結尾：
　　一切順利，最后要把藏在機箱內的兩個網卡的接口引出來到前面板上，自己動手做了兩條網線，把網線一頭插入網卡。?

網線另一頭插入1U防火墻機箱前面板的前置網絡接口上，這樣就把百兆網卡的接口引出到機箱的前面板上了。?

一切搞好，擰上機箱蓋子，好了！萬事大吉，來欣賞一下我們的硬件防火墻吧！?

怎么樣，看外觀上誰敢說它不專業？呵呵，不僅外觀專業，使用起來更專業呢，來吧，我們快來使用一下。

對了，這個1U防火墻機箱的前面板是可以更換的，現在電信和網通寬帶存在速度瓶頸，所以很多網吧都買了昂貴的雙WAN口路由器，來同時接入電信和網通線路，保證玩家們無論玩哪個線路上的游戲都通暢。假如你要組裝一臺雙WAN口的大型網吧路由器，那么就需要3個網卡口，這是你可以換上下面這個帶有三個網口的前面板。?

我用自己組裝的防火墻替換下公司的老舊寬帶路由器，將局域網內的客戶機的默認網關都改成防火墻的IP地址，防火墻一開機，很快局域網里面的電腦就都可以上網了，QQ、MSN、FTP、Email等等?都不用特殊設置，和直接上網沒有區別，局域網里79臺電腦，上網速度都很快，感覺防火墻的撥號連接速度和上網速度，都明顯比原來的老路由器速度快，而且咱們防火墻默認即可斷線重撥，重撥能力特強，幾乎感覺不到斷線，不像一般的家用寬帶路由器，經常要重啟才能恢復上線。
　　

有天晚上我把防火墻拔下來拿到一家200臺電腦的網吧進行測試，發現上網速度和打游戲的速度依然很快，性能比網吧原來用的名牌硬件路由器還好，網吧老板特高興，讓我也給他裝一臺。對于防火墻的防范攻擊性能，我沒有做過多的測試，只是利用一些測試網站做了粗略檢測，感覺不錯，用在我們這樣的普通單位，這樣的防護效果已經足夠了，畢竟沒有什么高級黑客會費勁闖入這樣無關緊要的地方來過癮，大家看看檢測結果。?

怎么樣不賴吧，還不趕緊動手！裝一臺玩玩吧。希望大家能拿出更加詳細更加合理的組裝方案和設置方法、測試報告來分享。

Quote: freeBSd?發表于：2006-04-21?14:20:59
呵呵，文章不錯，m0n0新版功能較強，也非常穩定，對主機性能要求不高，我用一臺k6-266+32M內存+雜牌主板帶100臺網吧機連續兩個月沒停機，但對網卡要求高，推薦用intel或3com的網卡。?
因為長時間運作，穩定至關重要，推薦用低功耗套裝，比如VIA-C3等，硬盤只要10M就行，硬盤得設成閑置時間到一定值停止運作（m0n0只啟動時用到硬盤)

Quote: yftg?發表于：2006-04-22?09:56:59??0??0?
???我用Ros?不用這個，這個還是不太穩定，機器到800臺以上經常掉線路，起初以為是機器的原因，在硬件上下功夫，后來同樣的硬件用Ros，2900多臺機器同時走4條千兆光纜，cpu占用率只有40%多一點。不過小網吧用這個也不錯，方便不少！呵呵,用1U的機器對環境有一定要求，灰塵大的地方還是用4U的算了，不然用不了多久就歇菜~?

Quote: dds?發表于：2006-04-19?21:28:18??0??0?
??順便指出一點WAN接口和LAN接口是有順序的！LAN:?Net?0?(next?to?the?console?port)是sis0，???WAN:?Net?1口是sis1。 ??

Quote: dds?發表于：2006-04-19?18:06:14??0??0?
???非常感謝唐兄的文章！我直接去MONO的網站看了有最新1.22版本的下載，日期是Release?date:?04/02/2006，你文章里面的好象是老版本的對把，大家可以下最新的用下，也許有更多新發現！不要忘記到時候告訴我們哦！附上最新版本地址[url]http://m0n0.ch/wall/downloads.php??????physdiskwrite[/url]也有最新版本的下載，可以解決一些DOM盤在一些主板上無法使用的問題。希望大家有把使用的感想多發上來，大家分享下！?

Quote: APPLE?發表于：2006-04-18?19:25:08??0??0?
??呵呵,漏了一個地方要告訴大家?
估計要搞的人一般都不會去買一個電子盤?
都是用手上的舊硬盤來做?
老唐也忙了告訴大家?
由于寫進去的是鏡像文件?
所以這個硬盤上所有的分區都要刪掉..?
大家可以用fdisk來刪,或者其他軟件.?
我是直接把硬盤掛到另一臺機上,?
直接在XP下用磁盤管理服務將所有分區都刪掉..?
呵..?
寫5M多的文件用了一個20G的硬盤?
真有點浪費..?
不過沒辦法,?
公司里最小的硬盤就是20G的啦?

Quote: APPLE?發表于：2006-04-18?19:22:23??0??0?
??我今日按照老唐的方法?
搞了一臺..?
老唐搞錯了兩個地方?
??
超過800M??
physdiskwrite?1000g-1.0-060202.img?-u??
這樣寫入不行的??
參數應該加左可執行文件名之后??
我剛剛試來試去都不行??
后來改成??
physdiskwrite?-u?1000g-1.0-060202.img??
就行了?

還有一個就是第15頁那里.?
當兩塊網卡綁定好后.?

引用原文:“網卡綁定好后，輸入N，回車?！?
這里是不用輸入N。?
輸了就會彈同一個提示，?
圖上文字：?
Enter?the?Optional?1?interface?name?or?'a'?for?auto-detection?(or?nothing?if?finished)?

直接回車就會出現問你是不是要保存的提示了，?
這時再選Y，?
防火墻就會重啟，?
之后的步驟都是正確的啦！

本文轉自starger51CTO博客，原文鏈接：http://blog.51cto.com/starger/18571?，如需轉載請自行聯系原作者

總結

以上是生活随笔為你收集整理的孤军大作战！疯狂DIY 1U硬件防火墙实录（二）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。