2024年1月24日发(作者:业丽泽)
m0n0wall和pfsense在教育网的运用
九岭学校:张光明
内容提要:m0n0wall和pfsense的安装及符合教育网的设置(关闭NAT的方法)
我校接入绵阳教育城域网所配的设备是华为MT800,由于其性能太差(在路由模式下),掉线是常事,一般一百多块钱的路由器都是基于NAT在工作,没有办法关闭其地址转换,所以也不许用,在这种情况下,软路由就能派上用场了,只要我们找到关闭NAT的方法,就符合信息中心的要求了,它既有企业级路由器的部分功能,又是免费的,洽好我校还有一台谁也不愿用的赛扬二计算机闲在仓库里,正好发挥下余热。
以前用的是飞鱼星路由器的破解版,它里面有明确关闭NAT的地方,由于这个破解版有些小问题,就不推荐给大家了(真正的飞鱼星路由器还是相当不错的)。
而m0n0wall和pfsense里面却不象飞鱼星有明确“禁用网络地址转换”的功能。不过经过一周的摸索,还是发现了它们是可以关闭NAT的,现介绍给大家作考参。
m0n0wall介绍
一、准备
一台旧电脑(至少两块网卡),软件和m0n0wall的IMG文件
二、m0n0wall的安装
m0n0wall是FreeBSD系统的软件,不过还是要说一句:m0n0wall是防火墙。管它是软路由还是防火墙,可以用就行。也不要管什么FreeBSD操作系统(我也不懂),我们安装m0n0wall是在XP下用直接将m0n0wall的IMG镜象写入硬盘或CF卡里。操作如下:
把作软路由的硬盘挂到一台装XP的计算机(纯DOS下无法运行),在命令提示符下:
就是(这个名字也太长了吧,我把名字改短了),就是m0n0wall软件的镜象。按回车后提示如下:
这里列出了你计算机上的磁盘,用0,1等编号的,这里就要输入0或1,选择要写到哪块硬盘里,弄不清楚你作软路由的硬盘是哪块,就在我的电脑上点右键,选“管理”,再选“磁盘管理”,看看是写到磁盘0还是磁盘1,不要选错了好,执行后硬盘原数据全部丢失。
再按“y”确认下,几秒钟就写完了。
把硬盘装回软路由的机子,还是要暂用下键盘和显示器在软路由控制台上指定下LAN和WAN的网卡(其它都在WEB上设置,以后软路由上的键盘显示器也用不上了),如下图
选1,指定哪块网卡用于LAN,哪块网卡用于WAN,出现下图:
再按选一下“y”保存后它会自动重启。(控制台已用不上了,其它配置都在WEB中进行,m0n0wall LAN的默认IP是192.168.1.1)
找台计算机,设置成同网段,在浏览器中登进m0n0wall,默认用户名是admin,默认密码是mono。
三、关闭NAT的方法
基本配置就不说了,非常简单,这里主要说下关闭NAT的方法,点击NAT,如下图:
再点击“转出”,如下图
出现下图,选中“启用高级转出NAT”,但不要在下面添加手工NAT规则
启用高级转出NAT后就不会使用默认的NAT规则,而是使用下面手工添加的NAT规则,但我们不添加规则,就相当于没有NAT规则可用,这样内网IP在monowall处就不会被NAT,而只是路由跳转。(搞笑吧,关闭NAT的方法如此简单,我可是想了一周啊)。
四、特别提醒
1、m0n0wall在WAN口上对上的MAC欺骗功能无效,如下图
如果信息中心不给改MAC的话就只能找网卡的配置程序把网卡的MAC修改了(8139是PG8139程序)
2、要想外边(城域网内)也能ping通你内网的计算机,还得在防火墙的WAN上添加以下规则,如图:
至少要在WAN口上放行ICMP协议的类型“回响”,其它任意,如下图
如果你内网还有其它服务器,也要在这里添加相应的规则,不然外边是无法连接到你的服务器的。
3、原来的MT800猫就得把它复位成纯桥接模式,可能会问,还是MT800,不怕掉线?放心吧,再差的猫在纯桥接模式下都是工作得很好的。还得注意下,我的MT800在复位后MAC并没有变,这个MAC我们现在是要用到m0n0wall的WAN口上,猫和WAN口是同一个MAC,是上不了网的(我的是这样),所以,还得把MT800的MAC改下,MT800是vikingII芯片的,在网上找个vikingII芯片的刷新升级程序就能把猫的MAC改掉,要是觉得麻烦,就另换一只吧(比如“长虹”的猫)
4、m0n0wall流量管理中的“流控精灵”功能还是很实有的,它会给我们生成一套限速规则,如下图:
5、m0n0wall对内网的认证只有个“入网门户”功能可用,没有我希望的内网PPPOE功能,PPPOE可是防ARP病毒的终极方法(不过就是麻烦了点)。真希望以后的版本中能加入。现在要防ARP,就只能做双绑了(m0n0wall绑客户机,客户机绑m0n0wall),下图是m0n0wall绑客户机的地方
6、由于软路由是不接键盘鼠标显示器的,我们还得在BIOS中作如下设置,不然,软路由机子启动时会停在检测键盘处。将CMOS里的Standard cmos Features项里的Halt on设置成No Errors。
接下来我给大家介绍下m0n0wall的姊妹软件,pfsense防火墙。
Pfsense防火墙介绍
软件下载:/?showtopic=44193
Pfsense做为m0n0wall的姊妹软件,它是以m0n0wall为基础开发的,功能比m0n0wall多,块头比m0n0wall大,对硬件的要求比m0n0wall高,启动速度比m0n0wall慢,但工作速度并不比m0n0wall慢。很多设置照着m0n0wall做都可以。但Pfsense的安装和我上一篇介绍m0n0wall的安装有很大的不同。
一、安装
将下载的pfsense软件的ISO文件刻成光盘从光盘起动,计算机会运行这张光盘上的pfsense,但我们需要将它安装到硬盘。登入控制台(用户名admin,密码pfsense)后出现下图,选99进行安装
下边全部选蓝色的项
格完后继续
选上图红线选项后开始复制文件,注意:在41%处较慢,并没有死机
复制完后reboot重启,这时就不需要光盘了
二、汉化
登入pfsense的WEB,选下图的选项
在新出现的页面上找到下图,上传汉化所需文件installok和
由于作者汉化的WEB页面是pfsense皮肤,所以还得把pfsense的web皮肤改下,
在pfsense的控制台上,选“8”进入命令行
依次执行以下三行命令,如下图
解压汉化文件后reboot重启,再登入pfsense的web,已经是中文了。
三、关闭NAT的方法
方法一:和m0n0wall一样,启用高级NAT就可关闭
和m0n0wall不同,pfsense启用高级转出NAT后自动为我们生成了一条NAT规则,我们是关闭NAT,所以必须把上图下部分的那条规则删除,不留任何规则。m0n0wall启用高级转出NAT后立即生效,而pfsense要重启后才会生效。
方法二:关闭防火墙功能(在高级设置里面),如下图
此项功能保存后立即生效。
Pfsense的功能太多了,主要是找到我期望的内网pppoe功能。其它的大家就自己看吧。
2024年1月24日发(作者:业丽泽)
m0n0wall和pfsense在教育网的运用
九岭学校:张光明
内容提要:m0n0wall和pfsense的安装及符合教育网的设置(关闭NAT的方法)
我校接入绵阳教育城域网所配的设备是华为MT800,由于其性能太差(在路由模式下),掉线是常事,一般一百多块钱的路由器都是基于NAT在工作,没有办法关闭其地址转换,所以也不许用,在这种情况下,软路由就能派上用场了,只要我们找到关闭NAT的方法,就符合信息中心的要求了,它既有企业级路由器的部分功能,又是免费的,洽好我校还有一台谁也不愿用的赛扬二计算机闲在仓库里,正好发挥下余热。
以前用的是飞鱼星路由器的破解版,它里面有明确关闭NAT的地方,由于这个破解版有些小问题,就不推荐给大家了(真正的飞鱼星路由器还是相当不错的)。
而m0n0wall和pfsense里面却不象飞鱼星有明确“禁用网络地址转换”的功能。不过经过一周的摸索,还是发现了它们是可以关闭NAT的,现介绍给大家作考参。
m0n0wall介绍
一、准备
一台旧电脑(至少两块网卡),软件和m0n0wall的IMG文件
二、m0n0wall的安装
m0n0wall是FreeBSD系统的软件,不过还是要说一句:m0n0wall是防火墙。管它是软路由还是防火墙,可以用就行。也不要管什么FreeBSD操作系统(我也不懂),我们安装m0n0wall是在XP下用直接将m0n0wall的IMG镜象写入硬盘或CF卡里。操作如下:
把作软路由的硬盘挂到一台装XP的计算机(纯DOS下无法运行),在命令提示符下:
就是(这个名字也太长了吧,我把名字改短了),就是m0n0wall软件的镜象。按回车后提示如下:
这里列出了你计算机上的磁盘,用0,1等编号的,这里就要输入0或1,选择要写到哪块硬盘里,弄不清楚你作软路由的硬盘是哪块,就在我的电脑上点右键,选“管理”,再选“磁盘管理”,看看是写到磁盘0还是磁盘1,不要选错了好,执行后硬盘原数据全部丢失。
再按“y”确认下,几秒钟就写完了。
把硬盘装回软路由的机子,还是要暂用下键盘和显示器在软路由控制台上指定下LAN和WAN的网卡(其它都在WEB上设置,以后软路由上的键盘显示器也用不上了),如下图
选1,指定哪块网卡用于LAN,哪块网卡用于WAN,出现下图:
再按选一下“y”保存后它会自动重启。(控制台已用不上了,其它配置都在WEB中进行,m0n0wall LAN的默认IP是192.168.1.1)
找台计算机,设置成同网段,在浏览器中登进m0n0wall,默认用户名是admin,默认密码是mono。
三、关闭NAT的方法
基本配置就不说了,非常简单,这里主要说下关闭NAT的方法,点击NAT,如下图:
再点击“转出”,如下图
出现下图,选中“启用高级转出NAT”,但不要在下面添加手工NAT规则
启用高级转出NAT后就不会使用默认的NAT规则,而是使用下面手工添加的NAT规则,但我们不添加规则,就相当于没有NAT规则可用,这样内网IP在monowall处就不会被NAT,而只是路由跳转。(搞笑吧,关闭NAT的方法如此简单,我可是想了一周啊)。
四、特别提醒
1、m0n0wall在WAN口上对上的MAC欺骗功能无效,如下图
如果信息中心不给改MAC的话就只能找网卡的配置程序把网卡的MAC修改了(8139是PG8139程序)
2、要想外边(城域网内)也能ping通你内网的计算机,还得在防火墙的WAN上添加以下规则,如图:
至少要在WAN口上放行ICMP协议的类型“回响”,其它任意,如下图
如果你内网还有其它服务器,也要在这里添加相应的规则,不然外边是无法连接到你的服务器的。
3、原来的MT800猫就得把它复位成纯桥接模式,可能会问,还是MT800,不怕掉线?放心吧,再差的猫在纯桥接模式下都是工作得很好的。还得注意下,我的MT800在复位后MAC并没有变,这个MAC我们现在是要用到m0n0wall的WAN口上,猫和WAN口是同一个MAC,是上不了网的(我的是这样),所以,还得把MT800的MAC改下,MT800是vikingII芯片的,在网上找个vikingII芯片的刷新升级程序就能把猫的MAC改掉,要是觉得麻烦,就另换一只吧(比如“长虹”的猫)
4、m0n0wall流量管理中的“流控精灵”功能还是很实有的,它会给我们生成一套限速规则,如下图:
5、m0n0wall对内网的认证只有个“入网门户”功能可用,没有我希望的内网PPPOE功能,PPPOE可是防ARP病毒的终极方法(不过就是麻烦了点)。真希望以后的版本中能加入。现在要防ARP,就只能做双绑了(m0n0wall绑客户机,客户机绑m0n0wall),下图是m0n0wall绑客户机的地方
6、由于软路由是不接键盘鼠标显示器的,我们还得在BIOS中作如下设置,不然,软路由机子启动时会停在检测键盘处。将CMOS里的Standard cmos Features项里的Halt on设置成No Errors。
接下来我给大家介绍下m0n0wall的姊妹软件,pfsense防火墙。
Pfsense防火墙介绍
软件下载:/?showtopic=44193
Pfsense做为m0n0wall的姊妹软件,它是以m0n0wall为基础开发的,功能比m0n0wall多,块头比m0n0wall大,对硬件的要求比m0n0wall高,启动速度比m0n0wall慢,但工作速度并不比m0n0wall慢。很多设置照着m0n0wall做都可以。但Pfsense的安装和我上一篇介绍m0n0wall的安装有很大的不同。
一、安装
将下载的pfsense软件的ISO文件刻成光盘从光盘起动,计算机会运行这张光盘上的pfsense,但我们需要将它安装到硬盘。登入控制台(用户名admin,密码pfsense)后出现下图,选99进行安装
下边全部选蓝色的项
格完后继续
选上图红线选项后开始复制文件,注意:在41%处较慢,并没有死机
复制完后reboot重启,这时就不需要光盘了
二、汉化
登入pfsense的WEB,选下图的选项
在新出现的页面上找到下图,上传汉化所需文件installok和
由于作者汉化的WEB页面是pfsense皮肤,所以还得把pfsense的web皮肤改下,
在pfsense的控制台上,选“8”进入命令行
依次执行以下三行命令,如下图
解压汉化文件后reboot重启,再登入pfsense的web,已经是中文了。
三、关闭NAT的方法
方法一:和m0n0wall一样,启用高级NAT就可关闭
和m0n0wall不同,pfsense启用高级转出NAT后自动为我们生成了一条NAT规则,我们是关闭NAT,所以必须把上图下部分的那条规则删除,不留任何规则。m0n0wall启用高级转出NAT后立即生效,而pfsense要重启后才会生效。
方法二:关闭防火墙功能(在高级设置里面),如下图
此项功能保存后立即生效。
Pfsense的功能太多了,主要是找到我期望的内网pppoe功能。其它的大家就自己看吧。