Chinaunix首页 | 论坛 | 博客
  • 博客访问: 7740079
  • 博文数量: 637
  • 博客积分: 10265
  • 博客等级: 上将
  • 技术积分: 6165
  • 用 户 组: 普通用户
  • 注册时间: 2004-12-12 22:00
文章分类

全部博文(637)

文章存档

2011年(1)

2010年(1)

2009年(3)

2008年(12)

2007年(44)

2006年(156)

2005年(419)

2004年(1)

分类: LINUX

2005-07-23 06:53:00

 一、前言:
本来搜索DRL但是看到没有什么关于SW更好的教程,为了方便大家所以作了这个教程。

1、感谢ahui兄的软件简介:
SmoothWall 是欧洲成功的Open Source项目之一,它可以帮助你把一台已经淘汰的386,486机器变成一台功能强大,稳定的防火抢路由器!它已经被超过300,000个用户,21 个国家使用!SmoothWall同时支持ISDN,ASDL/Cable和多网卡等网络设备,最令人不可思议的是所有这些都可以在5分钟之内配置完成! 基于Web的管理和支持SSH,DHCP,完整的防火墙工具在其商业版本中会有提供。


我感觉一般用户没有必要用3.0商业版 本。一般的个人、中小企业、网吧使用这个2.0就足以了。因为SmoothWall 2.0需要自己配置很低,所以你可以把你的报废机子枝头变凤凰了。而且安装十分简单,一看就会。这个软件是继续Red hat9 linux操作系统下的,本身自带Red hat9 linux简版。

声明:SW不是软路由,是防火墙。NAT只是内带的功能而已。但的确很强大。

2、 下面我们来说说基本需要机子的配置情况,实际很随便的。内存32m以上(建议用个64的因为如果抵抗攻击的话还是要用到的);光驱(安装好后可一卸掉不 用);硬盘大于500m就可以了(建议使用2G,因为可能会保存一些日志什么的)不要使用SCIS硬盘因为这个版本不支持;显卡(随便可以显示就可以 了);CPU奔腾以上就可以了;显示器、键盘安装的时候需要,安装好后可以卸掉。就这些可以了,随随便便的机子基本都可以支持的。这个就是这个软件的最大 优势。

3、安装方法可以采用2种,一个是光盘安装,一个是网络安装。一般都会使用光盘安装的。去官方()下载smoothwall的光盘镜像(ISO文件),然后刻成光盘从光驱进行安装。

二、好了,说了这么多开始安装吧。
1、系统安装
这个版本一定要使用ide硬盘的,否则不支持;安装前硬盘清确实是主硬盘,如果是从盘会出现一些数字错误编号。


这个一般都是所有软件都类似的,说明、声明、警告等等信息。最重要的就是警告,他说会从新对你的硬盘分区,进行格式化,因此你的数据将会全部丢失。
回车同意并且继续进行安装


这个是为了安装准备的启动工作,实际也是linux的启动。


这个是安装前的欢迎窗口,也是软件的惯例。它提醒安装者,在安装过程中任何情况下点“cancel”都会使你的计算机从起。


这个是选择安装方式,一是用光盘从光驱进行安装。第二个是网络安装,推荐第一个。我们选择第一个按“OK”继续安装


请将光盘放入,按“OK”继续安装


提示“程序将安装到机器的第一个硬盘上,并会分区”


警告,下面的操作将会删掉硬盘上的所有数据,按“OK”确认继续安装


正在进行分区以及系统文件的安装


分区、系统文件安装完毕,下面进行配置。3个按钮,1、自动搜索 2、手动查找 3、取消,建议使用常用的几种芯片的网卡。因为这样sw比较容易搜索到驱动


SW查找到了我的是AMD的网卡,按“OK”确认 继续安装


按“OK”继续


设置你外网网卡的IP地址以及遮掩码(注意,内网进行web管理SW的时候用的是这个IP地址)


安装文件中...


系 统安装完成,您现在可以将软盘或光盘取出了。安装即将进行的是您网络的配置以及设计SW3个用户的密码。你现在可以使用http://刚刚设置的IP: 81 和 https://刚刚设置的IP:441进行SW的日常管理了。下面即将进行的是高级配置,例如内网网卡、网络共享等等的设置。


这个是说,如果你有以前高级配置的备份,请插入软盘按“YES”进行恢复;否则按“NO”继续下一步进行手动设置。我没有,所以按“NO”继续手动设置。


键盘布局的选择,我们平使用的应该都是“US”现在我们仍然是用这个,使用其它的可能会不习惯,或者是一些字符输入不进去。。按“OK”继续下一步设置


这个是设置名称的,跟安装windows差不多,都要设置计算机名称。怎么说也要给人家在局域网一个名份丫,嘿嘿!


一些ISP可能封掉了SW官方的IP地址,这样就不能升级了。所以这里是用代理的,可以找个代理写上服务器地址以及端口就ok了。


这个是SW对ISDN的设置,我没有ISDN所有选择“关闭ISDN”。


这个是USB ADSL猫的设置,选择型号


这里是选择USB ADSL的型号,我没有,返回。仍然点“关闭ADSL”继续下一步


这个一共是4个选项,我们一个个说。
第一个是选择网络共享方式的,选择进入。


因为我是2块网卡进行共享的,所以选择第三个。在SW里面green是指内网,red指外网。其他的选项是外网加ISDN/ADSL的。


选择第二个进行 内网网卡的驱动安装


提醒你内网网卡没有安装,是否安装驱动(网卡型号)


确实是内网


所有网卡已经设置完成


第三个设置是地址选项


选择设置内网还是外网的地址设置
内网我们设置过了,所以直接选择外网进行设置


这里也是三个选项,1、固定IP选择这个 2、是动态ip 3、是ADSL拨号用户
这个选项给固定IP用户使用的,比如光缆用户,企业级用户一般都是这个。写上你的外网固定IP以及遮掩码


第二个选项是动态ip用户使用的,这个服务器自动给你分配ip的,所以只要填写给你分配IP的dhcp服务器名称就可以了


第三个选项是ADSL拨号用户使用的,一般家庭使用的都是这个的。因为不用填写,所以这个是灰色的。


全部设置完毕了,选择“DONE”完成网卡的设置


设置网关以及DNS


如果是固定iP用户一定要全部都填写,如果不知道这些信息,向当地的ISP咨询DNS以及网关。


如果你是用的是动态iP和ADSL拨号用户,网关可以不填写。


全部设置完毕了,选择“DONE”结束设置


这个是询问你的SW是否对局域网的计算机开启动态IP的分配服务,如果是要这样做请选择。然后填写动态分配IP的IP范围以及DNS等设置


这个是设置admin的密码,这个密码是用来管理SW的WEB的


root的密码设置,进行远程SSH管理的权限用户


SETUP的密码设置,对本机进行设置的用户权限


提示安装完成,点“OK”结束安装 将会从新启动计算机


正在重新启动计算机


SW的启动选择菜单,默认10秒进入SW。按回车继续。


成功启动的画面


输入SETUP用户以及密码进入 管理SW常用配置。刚刚安装时候的配置都可以更改。


此功能是SW的备份以及恢复功能


确认插入了软盘,如果插入了按回车继续操作


这个下面有更改那3个密码的选项

三、WEB管理的介绍

SW的WEB管理 看地址,我们要使用刚刚设置的内网地址 访问的。


随便点一个菜单,提示输入用户名密码。我们使用刚刚设置“Admin”的密码进入。


这里是SW显示的所有正在运行的服务。
Logging server(系统日至服务)
DHCP server(动态ip分配服务,如果局域网需要动态的ip分配可以启用)
DNS proxy server(SW的DNS服务,如果你想屏蔽一些网站也可以用这个功能把你想要屏蔽的网站的ip改掉就可以了。)
Kernel logging server(防火墙日志的服务,这个占用空间很大,所以建议小硬盘用户关闭掉,关闭方法后面讲到)
Web proxy(一般的网页代理服务)
Web server(SW的web服务,你管理页面用的必须是这个服务)
Secure shell server(安全外壳服务,不知道什么东东)
Intrusion Detection System(入侵保护系统,对小型的攻击能起到一些防范作用。)
CRON server(时间服务,你选择地区可以自动校对时间。可是没有亚洲北京,但是有上海,也一样。)
VPN(虚拟专网服务,对于企业用户一般会使用这个。)


这个是详细的机器状态情况。比如硬盘、内存以及机器的详细资料、运行状态。注意,只要内存不完全占满,就属于正常状态。


网络的流量图,点击进入有更详细的流量图。


网页代理服务的设置,缓存大小设置、服务名称、保存最大数据大小、服务端口、服务密码、保存最小数据大小,设置完毕启用服务。


dhcp动态ip服务,设置ip范围,生效时间等等,然后启用


这个是动态ip的域名服务,类似于花生壳的软件,但是这域名可以都收费,所以没有试验过。


入侵监测服务,提供一些常用的ip规则,对一般用户足够用了。


SSH是使用SW的SSH需要启用的,这个默认端口是22。后面那个是允许外网进行SW的管理,推荐不选择,危险。


机器时间设置,可以使用网络时间校对,选择亚洲/上海,然后就自动设置时间了。(没有北京,所以只能选择上海了,但是都一样。)


ip映射功能,这个功能比较常用。第一个是可以选择的ip,一般都会使用“ALL”所有都可以访问;第二个是要映射的端口;第三个是源IP,就是你想允许局域网哪台机子的映射出去;第四个是映射出去的端口是什么;第五下面还要选择类型;最后ADD添加。


设置允许外部的主机管理本机,是全部都可以管理还是指定IP某个可以。


这个功能好像也是把局域网ip都映射出去


家庭的拨号用户使用的都是这个设置,pppoe拨号协议。
首先可以建立一个拨号信息,好像一共可以建立5个,随时切换,但是感觉用处不大吧?。
ADSL拨号首先必须选择pppoe协议才可以;
还可以启用:
1、Persistent connection(断线重拨)
2、Connect on SmoothWall restart(sw启动后自动拨号)
3、Automatic reboot if connection down for 5 minutes(断线超过5分钟后自动重启SW)


这个你可以把经常攻击你的IP从这里封掉。


防火墙高级配置
Block ICMP ping:禁止ping功能
Enable SYN cookies:防止洪水攻击
Block and ignore IGMP packets:屏蔽并且忽略igmp的数据包
Block and ignore multicast traffic:屏蔽并且忽略多点传输。(防止局域网内使用多线下载的功能。)
Enable UPnP (Universal Plug and Play) support: 允许upnp(通用即插即用),可能是自动映射端口的功能。


虚拟网VPN设置,设置保存就可以启用了


vpn连接控制,可以建立到其他的vpn服务器上。


日志察看,比较详细的


选择察看日志的类型,进行过滤察看。


这里显示攻击你的IP,你可以直接把它加到屏蔽IP里面


攻击详细日志察看


这个是察看ip以及域名信息的


ip攻击,可以对你指定的ip做出一些探测。有ping和路由表的功能。


这个是SSH,linux命令行方式来管理SW的。


这个是登陆失败,你没有启用SSH的原因。


启用SSH,在上面打上钩然后保存返回,继续登陆。


继续登陆


登陆成功了,可以打命令进行管理了,还是很方便的。


在sw中设置你的pstn modem和isdn的ta。没用过哦。


升级usb adsl modem的firmware。


修改系统密码


备份/恢复置文件,备份将生成一个img的软盘景象文件。


关机 以及 重起


SW的升级服务,还是很方便的,更新列表就可以更新了。如果看不到列表就是SW的升级服务器被当地ISP封掉了,使用前面我们讲到的那个设置代理服务器的方法可以解决问题。


设置好后选择更新列表出来你需要升级的补丁。然后去官方下补丁上传文件就可以了,很简单。升级好的补丁都会出现在以打补丁的列表里面。


四、 以下讲解一些怎么样关闭掉日志服务(有人问为什么要关掉日志?因为SW的这个日志是记录很详细的及其工作情况占用了很大的硬盘空间,关掉它1、小硬盘用户 不用担心硬盘太小不能使用SW了;2、不用担心这个这个日志一直向硬盘写数据而导致占用了大量系统资源的情况而担心了。而且关掉这个日志又不耽误大家查看 日志,所以建议关掉):
首先下一个可以SSH 传送文件的软件,我感觉WinSCP/SSH Secure File Transfer Client就很不错了。

首先打开WinSCP
如果内网的IP地址,以及root和密码,记得更改端口为:“222”
选择连接进入管理


右边就是SW硬盘上的所有文件了。用这个软件跟管理FTP类似很方便。成功登陆了。


选择“etc”进入下级目录


选择“rc.d”进入下级目录


就是要修改这个“rc.sysinit”文件


选择,点右键选择“edit”或者选择那个文件直接按“F4”也可以,打开编辑此文件


找到这几句话



echo "Starting klogd"
/sbin/klogd
这2行前面加上“#”

#echo "Starting klogd"
#/sbin/klogd
然后点击上方的软盘图标保存,或者是按Ctrl+s进行保存
保存后关闭此窗口,重新启动SW即可生效了。


看到没有?现在的服务状态,“Kernel logging server”是停止状态,说明已经被成功停止了。小硬盘用户再也不用担心了。。。


五、下面讲解下可以让SW支持回流的方法(最先提出此方法原创:zhunaoke):
请大家按照我的方法推断你们的具体解决方法,不可照搬只能照推!!
我的举例子的条件:我例如我的外网IP是:192.168.0.66,内网IP是:192.168.0.88,要映射的端口是:“80”目标映射IP地址是:192.168.0.1
建立一个文件,更名为:“ip.sh”,其他名称也可以,但事后缀必须是“.sh”
然后打开这个文件再里面输入:
sh <回车>
iptables -t nat -A PREROUTING -d 192.168.0.66 -p tcp --dport 80 -j DNAT --to 192.168.0.1 <回车>
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 192.168.0.1 -p tcp --dport 80 -j SNAT --to 192.168.0.88 <回车>
注意:以上的<回车>都是操作,不要输入进去!!!!



然后把这个文件传到 “root”根目录下。


然后选择这个文件,点属性。


属性修改成“0755”然后“OK”



进入“/etc/rc.d/”目录下找到一个叫rc.sysinit文件下载下来在文件最后一行增加一行:“/root/ip.sh” 保存,重起就支持了,但是启动速度慢了点。


六、单线双ip使用smoothwall(原创:SW论坛的rumptis)
1、原文:
This has only taken me a Week to figure out. Using this you don't need to do anything with the GUI.

You can add this to the bottom of the "/etc/rc.d/rc.firewall.up" Script

# Add more Real World IP Address to your RED interface This shows 2 being added

ifconfig eth1:1 166.138.52.123 broadcast 165.138.52.255 netmask 255.255.255.0
ifconfig eth1:2 166.138.52.124 broadcast 165.138.52.255 netmask 255.255.255.0


# How to forward Ports into your GREEN Network you can do the same port on Multiple Real World IP Address: Here I'm showing Forwarding port 80 to 2 different IP Address on the GREEN Network

. /var/smoothwall/ethernet/settings

# Computer 1
iptables -I PREROUTING -t nat -p tcp --dport 80 -d 166.138.52.123 -j DNAT --to 192.168.13.10
iptables -I FORWARD -p tcp -d 192.168.13.10 --dport 80 -i $RED_DEV -o $GREEN_DEV -j ACCEPT

# Computer 2
iptables -I PREROUTING -t nat -p tcp --dport 80 -d 166.138.52.124 -j DNAT --to 192.168.13.11
iptables -I FORWARD -p tcp -d 192.168.13.11 --dport 80 -i $RED_DEV -o $GREEN_DEV -j ACCEPT

2、图文:

编辑/etc/rc.d/rc.firewall.up文件


在文件最下面输入
# Add more Real World IP Address to your RED interface This shows 2 being added

ifconfig eth1:1 166.138.52.123 broadcast 165.138.52.255 netmask 255.255.255.0
ifconfig eth1:2 166.138.52.124 broadcast 165.138.52.255 netmask 255.255.255.0

# How to forward Ports into your GREEN Network you can do the same port on Multiple Real World IP Address: Here I'm showing Forwarding port 80 to 2 different IP Address on the GREEN Network
就是我选中的部分。然后保存关闭


编辑“/var/smoothwall/ethernet/settings”文件


添加以下内容到文件最下面
# Computer 1
iptables -I PREROUTING -t nat -p tcp --dport 80 -d 166.138.52.123 -j DNAT --to 192.168.13.10
iptables -I FORWARD -p tcp -d 192.168.13.10 --dport 80 -i $RED_DEV -o $GREEN_DEV -j ACCEPT

# Computer 2
iptables -I PREROUTING -t nat -p tcp --dport 80 -d 166.138.52.124 -j DNAT --to 192.168.13.11
iptables -I FORWARD -p tcp -d 192.168.13.11 --dport 80 -i $RED_DEV -o $GREEN_DEV -j ACCEPT

保存退出,从新启动机器。。


七、SW屏蔽25端口

修改“/etc/rc.d/rc.firewall.up”文件


在文件最后一行加入以下信息
#25
iptables -A FORWARD -p tcp --dport 25 -j DROP

重新启动就可以了。

八、忘记密码(作者:srsman)
先重起smoothwall
等到出现smoothwall的启动画面时按TAB键
计算机会出现以下提示

SmoothWall
boot:

这时你在boot后面输入 smoothwall single 再按回车
这时的smoothwall就进入了single user 模式
等smoothwall启动完后会自动入进#提示模式
用过linux或UNIX的朋友都知道现在可以做什么了:)
现在我们来改root密码
输入
passwd root 回车

跟着输入你要改的密码两次就OK了
如果你要改setup和admin的密码
那你最好先重起一下smoothwall (命令:shutdown -r now))
这次重起就让Smoothwall自已进入正常模式!
你再用你才改的root密码进入smoothwall
我们先来改setup的密码
命令是 passwd setup
同样的输入两次你要改的密码就OK了
admin用户的密码root 还有setup的密码改法有点不一样!
因为admin是网页管理模式的用户要用以下的命令
htpasswd /var/smoothwall/auth/users admin
这下密码就改完了!祝大家好运!


九、总结
我感觉SW简单易学,本教程适用于菜鸟级别。SW2.0对一般家庭企业用户已经足够了,如果你是大企业用户可以购买SW3.0,提供了更人性化的操作,以及更为完善的服务。

SW本身没有自带FTP等服务,如果你感觉SW安装完成后的配置特别麻烦的话,如果你的机子配置比较不错的话可以选用CC。主要看个人的喜好了,我还是着重喜欢CC。

感谢:txwm中发表各种意见的大侠们,感谢珠海心情 胖子 在QQ给予的指导。

谢谢大家,如果您对我的操作感觉有什么不对的地方请指出,只能怪我才书学浅了...请指教请指教…… 谢谢!

阅读(2559) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~