变废为宝：将旧电脑改造成强大的防火墙和路由器

Linux 为互联网而生。如果你想DIY一个互联网设备，Linux将是最好的选择。最流行的互联网设备是路由器。现在，许多家庭还拥有路由器，它将 DSL 或有线互联网连接转换为以太网或无线网络，供家庭计算机使用。如果你有多台电脑，通过路由器共享互联网几乎已经成为无可争议的事实标准。 【www.sychzs.cn精彩翻译】Linux为互联网而生。如果你想DIY一个互联网设备，Linux将是最好的选择。最流行的互联网设备是路由器。现在很多家庭也有路由器。它们将 DSL 或有线互联网连接转换为家用计算机的以太网或无线网络。如果您有多台计算机，通过路由器共享互联网几乎是事实上的标准。 如果你有一台很旧的电脑，也许你把它扔在储藏室的一个角落里，现在它已经覆盖了一层厚厚的灰尘。也许你曾经把它放在二手物品交易网站上。但没有人关心它。也许你觉得这样的电脑应该当废品卖几块钱，但今天我要告诉你，废品也可以重生。如果您不相信，请继续阅读。 您可以将其配置为互联网网关/路由器，但您可能会立即问：“为什么不使用现成的调制解调器/路由器，为什么要为此烦恼呢？”是的，家用路由器现在很便宜，任何人都可以买得起，但我想说的是，通过DIY一个路由器，你可以获得更多的控制权，学到更多的知识。就像一个是白盒子，另一个是黑盒子。 为了实现这个目标，我们有两种选择，一种是使用专用的Linux发行版，它内置了所有需要的软件包，可以直接安装，另一种是完全从头开始构建整个路由器的操作系统。一般来说，使用最小的Linux安装，加上一些必需的软件包。 选择一个发行版 有许多发行版可用于构建您自己的路由器和防火墙。除了Linux之外，还有FreeBSD可供选择。这些可以分为两种类型，一种专门提供防火墙/路由器功能，另一种提供更复杂的互联网网关功能，包括打印、邮件、文件和 Web 服务器。这次我们选择的是IPCop 1.4.21的稳定版本。如果你喜欢冒险，喜欢尝试新事物，可以尝试最新的1.9版本。 图1 IPCop与其他现成的路由器一样，通过Web界面进行配置和管理 对于老电脑来说，只要达到i586的配置，你可能会感到惊讶。 586时代的电脑还有用吗？事实上，具有这种配置的旧计算机可以充当中型网络的 Internet 网关。IPCop 没有桌面。安装完成后，所有操作都是通过Web管理界面完成的，因此它的计算机内存要求很低。仅在安装过程中需要键盘和显示器。安装完成后您可以移动它。走。 对计算机的唯一要求是需要配备至少两张网卡：一张用于本地网络连接（绿色网络），另一张用于连接互联网（红色网络）。当然，它也可以是PCI DSL Modem卡。如果您使用 3G 网络，只需要一个 USB 端口即可。 如果您想设置非军事区 (DMZ)，则需要另一块以太网卡。如果想将其用作Wi-Fi接入点，还需要无线网卡。将交换机连接到本地网络以太网卡后，网络中的其他计算机就可以通过交换机访问Internet。 请注意，从 IPCop CD 安装时没有图形界面。它是所有基于文本的界面。对于习惯 OpenSUSE、Ubuntu 和 Mandriva 图形安装程序的人来说，这可能有点困难。其实整个安装过程只用到了几个按键：使用光标键移动焦点、空格键选择、回车键确认。另外，IPCop安装程序会提醒您它将擦除整个硬盘上的数据。它不支持与 Windows 的双重启动。安装过程中没有分区步骤，因此无需提前准备分区。在恢复屏幕上选择“跳过”，然后选择用于本地网络连接的以太网卡。虽然您可以手动选择，但我通常接受安装程序自动选择。由于路由器在网络中一般充当DHCP服务器，因此还需要指定DHCP客户端的IP地址范围。如果你不知道填写什么，请看下图内容。 图2 安装时设置绿色网络的DHCP服务器 安装时最重要的选择是网络配置类型，绿色代表以太网，红色代表调制解调器，如果要创建DMZ或无线网络，要选择橙色或蓝色，当然这些可以稍后修改。 #p# 图3 安装后通过Web管理界面重新配置绿网DHCP服务器 地址配置如果您的调制解调器可以自动从 ISP 的 DHCP 服务器获取 DNS 和网关服务器地址，那么您在设置时可以将它们留空，但一般来说，您应该为绿色和蓝色网络指定 DHCP 自动分配 IP 地址的范围。我们一般喜欢从192.168.1.100开始分配，100以下的用于静态分配。不管怎样，这里需要启用DHCP服务器。 DNS服务器地址可以使用IPCop本机的地址，这样IPCop就充当了DNS缓存的作用。 最后，您需要为这三个用户设置密码。一般不会使用root用户，除非你想直接登录路由器。 admin用户是Web界面的操作用户。我们一般用它来管理和配置IPCop和备份用户。它用于备份。设置密码后，取出IPCop安装盘并重新启动计算机即可。 图4 设置用户密码 启动 电脑重启后，在绿色网络任意一台电脑上打开浏览器，输入https://192.168.1.1:445，将192.168.1.1替换为安装时设置的IP地址。您还可以使用 IPCop 计算机。访问主机名时，默认为 ipcop (https://ipcop:445)。浏览器可能会报告这是一个不受信任的网站，因为 IPCop 使用自行生成的证书。您只需单击“接受”即可。 您还记得安装时为管理员用户设置的密码吗？如果不输入密码，则只能查看IPCop主页。单击任何按钮或链接都会弹出登录对话框。 首先，您应该选择的第一个链接是“系统”*“更新”，因为主页上会有可用的更新。单击“下载”按钮，按钮下方将显示更新的说明。下载完成后，点击“立即申请”。 如果您看到“这不是授权更新”错误消息，则您的硬件时钟可能有问题，这种情况通常发生在计算机多年未使用或 BIOS 已重置之后。点击“服务”*“时间服务器”，手动校准时间，然后勾选“使用网络时间服务器”，点击“保存”。第一次可能还是要手动设置时间，因为如果时间跳跃过大，NTP 系统时间将不会自动修改。 此时，您可以放心地将这款 DIY 路由器放在角落里。只要保证其冷却效果，您就可以通过Web界面远程控制其他一切。现在这款路由器提供了 DHCP 和 DNS 服务，并提供了 Internet 访问共享服务，让我们开始探索它的选项。 #p#在第一站，我们选择“系统”*“备份”。您可以在此处创建包含所有设置的 DAT 文件，以便您可以在必要时回滚。在开始尝试某些操作之前，您应该执行备份。如果需要，您还可以单击“导出”按钮将文件备份到移动硬盘或U盘。 功能探索 IPCop 提供了许多默认情况下未启用的服务。其中一些值得研究和启用，例如“服务”菜单中的Web代理、时间服务器、动态DNS服务、集成的Snort入侵检测和流量整形。最有用的是由于带宽限制，您再也不用担心有人下载最新的 Ubuntu ISO 镜像，从而影响您访问 Fedora 论坛的速度。您可以将端口 25、110 和 143 的优先级设置为“高”，将端口 80 和 443 的优先级设置为“中”，将 FTP 端口（21）和 BitTorrent 端口（6881-6999）的优先级设置为“低” ”，这样就保证了电子邮件可以随时顺利发送和接收，而下载则受到限制甚至被阻止。 图5 限制上传/下载速度并配置流量整形 安装后你可以添加另一个网络，但是你会发现Web界面中没有与之相关的选项。只能通过命令行解决。如果直接在IPCop服务器上添加，则必须连接键盘和显示器。如果是远程，可以选择 SSH，但需要先在“系统”菜单下启用 SSH，使用 ssh -p 222 root@ipcop 命令进行连接，然后运行 ​​setup 以获得类似于安装程序的 GUI，可以修改 对于安装过程中的某些配置，输入“网络”*“修改网络类型”，选择“绿色+橙色+红色”添加DMZ，或选择“蓝色”无线。无论哪种方式，都必须在计算机上安装适当的软件。网卡。 进入“驱动程序和网卡分配”，为新网络选择网卡，然后使用“地址设置”为新网络接口分配IP地址，但必须是不同的子网，如果您使用192.168.1.1如果是绿色网络，那么橙色网络最好使用192.168.2.1。设置后，出于安全原因关闭 SSH 连接。 #p# 设置DMZ 现在您已经创建了 DMZ，接下来进行设置。橙色网络上没有 DHCP 服务器。必须为任何新计算机分配静态地址。如果您提供外部访问，这是一件好事，因为您需要将流量转发到特定地址。 为了访问 IP 192.168.2.2 的 Web 服务器，第一步是设置端口转发。该方法与标准调制解调器/路由器上的方法相同，只是这里的转发目标是位于 DMZ 区域的服务器。图6 IPCop网络架构，橙色为DMZ 进入“防火墙”*“端口转发”页面。 “源IP”通常留空，即所有外部地址均可访问。如果要限制访问源，可以设置特定的IP地址，也可以设置地址范围。 将源端口和目标端口设置为 80 (HTTP)，并将目标 IP 设置为 192.168.2.2。单击“添加”查看下面列表中显示的规则，然后单击“重置”并对端口 443 重复相同的设置。 此时，您的Web服务器将可以从Internet访问，当然也可以直接从您的LAN访问（绿色命令），但它将无法反向访问您的绿色网络，因此即使服务器或PHP代码运行就其存在的漏洞仅影响其自身，不会影响绿色网络上的计算机。 针孔通道 有时，您的 Web 服务器需要与绿色网络上的计算机进行通信，例如发送 MySQL 表的备份。 IPCop有一个称为DMZ Pinhole的功能，它为橙色网络中的计算机提供对绿色网络中计算机端口的受限访问。进入“防火墙”*“DMZ针孔”进行设置，但最终还是只在必要时设置这个“针孔通道”是个好主意，因为它破坏了DMZ提供的安全性。 IPCop的功能还有很多，远远多于我所提到的这些。俗话说，师父领门，个人修行。建议您仔细研究IPCop Web管理界面的每个页面。如果不明白，可以去IPCop网站或者阅读相关资料。文档。 这个怎么样？读完本文后，您是否有冲动将您退役的旧计算机变成一台灵活、功能丰富、功能强大的防火墙/路由器？不要犹豫，开始吧！ 原始来源：http://www.sychzs.cn/news/networking/how-to-build-your-own-router-915419 原标题：将旧电脑变成强大的防火墙和路由器 作者：尼尔·博思威克 【www.sychzs.cn独家翻译，未经授权不得转载！合作媒体转载时请注明原文出处和出处！ 】 【编辑精选】 Web应用层防火墙真的像宣传的那样有用吗？ 园区网发展给高端防火墙带来三大挑战 下一代防火墙已经到来。你准备好了吗？ 从路由器开始提高网络安全性