m0n0wall防火墙（10）

实验目的

1、深入理解防火墙的功能和工作原理；

2、熟悉软件防火墙，掌握m0n0防火墙的规则和配置。
预备知识

m0n0wall

M0n0wall是基于FreeBSD内核开发的免费软件防火墙。m0n0wall提供基于web的配置管理、提供VPN功能、支持DHCP Server、DNS转发、动态DNS、IPsec、流量控制、无线网络支持等功能。该系统最新版本是1.34。

M0n0wall对硬件要求很低，486芯片、32M内存（一般建议64M），8G硬盘（是个能用的硬盘就可以）加上两块网卡（支持DMZ的话三块）即可正常工作，并有相当不错的数据承受能力。

实验环境

本实验的实验环境为：在实验机上安装VirtualBox虚拟机软件，并用VirtualBox创建了两台虚拟机并设置了相关网络，形成了实验网络环境。网络拓扑见下图：

 说明：

1）网络有两个设备组成，一台防火墙、一台服务器；

2）防火墙是一台安装m0n0防火墙软件的主机，它有两块网卡，一块接内网（LAN），一块接外网（WAN），具体配置见图示；

3）服务器是一台win2003的主机，安装了web服务器；

4）防火墙内部接口的IP和服务器的IP都已经配好。

实验步骤一

 登录到实验机上。在实验机的桌面上有VirtualBox图标，双击图标，将出现VirtualBox管理界面并可看到两个虚拟机：win2003内网和防火墙。确认两个虚拟是否已经启动，如没有则将两个虚拟机都启动起来。

 实验步骤二

任务描述：通过对防火墙进行基本配置，实现内网主机可以访问外网。

1、登录到防火墙。

在Virtual管理界面下，登录到Win2003虚拟机，用户名：administrator，密码：123456，登录后配置2003虚拟机IP地址为192.168.1.10，网关192.168.1.1：


打开IE浏览器，在浏览器里面输入防火墙LAN端口的IP地址：http://192.168.1.1，出现登录验证界面后，输入用户名：admin，密码：mono，即进入防火墙的web配置界面：


2、配置防火墙的主机名、域名和DNS服务器。见图示：


3、给防火墙WAN端口配置静态IP地址。IP地址配置：10.1.1.10，掩码：24，见图示：


4、为LAN网络提供DHCP服务（以便在内网添加主机时无需手动配置IP址址）。

实验步骤三
任务描述：将内网中Server主机发布了web服务发布到外网，从而使外网也可以访问。（因无法访问互联网，这里的外网指实验机到虚拟机）

本任务采用防火墙的端口映射技术来实现，前置条件：在内网中Server主机发布了web服务，内网可以访问，见图示：


1、在防火墙上设置端口转发，实现外网访问Server的web服务。

用IE登录到防火墙，选择“Firewall-NAT”，点击“add rule”。网络接口选WAN，外部IP地址选接口所用IP，协议选择TCP，外部端口选 80，NAT本地IP地址输入内网web服务器地址，如192.168.1.10，本地端口范围选择web配置的端口，这里是80，描述可以随便填，记得一定要钩选“Auto-add a firewall rule to permit traffic through this NAT rule”选项（在防火墙中自动添加一条允许NAT规则通过的过滤规则），点击“save”保存！见图示：

2、查看并调整防火墙过滤规则

转到Firewall-Rules-WAN看看，这里多了一条规则！就是允许外部访问192.168.1.10的80端口。见下图所示：


同时，我们看到在前面还有一条规则，阻止所有对内网的访问，需删除这条规则。操作如下：

上图中点击规则右边“e”图标，将出现对该规则的编辑界面，在界面最下面有“Block private networks”的选项，将勾选去掉，并保存。见下图：



至此完成了m0n0wall上的端口映射，实现外网可以访问内网指定IP上的web服务器。

3、测试

在实验主机（安装VirtualBox软件的主机）上打开浏览器，输入防火墙WAN端口的IP地址。可以访问到内网的web服务器。见图示：



上图所示说明防火墙的端口转发已经成功。