图解如何将旧电脑改造成防火墙和路由器(下)

日期: 2011-02-16 作者:Neil Bothwick翻译:黄永兵 来源:TechTarget中国 英文

  地址配置

  如果你的Modem能从你ISP的DHCP服务器自动获得DNS和网关服务器地址,那么在设置时就可以留空,但一般情况下,你应该为绿色和蓝色网络指定DHCP自动分配IP地址的范围,我们一般喜欢从192.168.1.100开始分配,低于100的则用于静态分配,不管如何,这里都需要启用DHCP服务器。DNS服务器地址可以使用IPCop本机的地址,这样IPCop就充当了DNS缓存的角色。

  最后,你需要为三个用户设置密码,root用户一般是不会使用的,除非你想直接登录到路由器上,admin用户是Web界面的操作用户,我们一般就使用它管理和配置IPCop,backup用户则用于备份。设置好密码后就可以取出IPCop安装盘,重启电脑了。

图 4 设置用户密码

  启动

  等电脑重启好后,在绿色网络中任一电脑上打开浏览器,输入https://192.168.1.1:445,用你安装时设置的IP地址代替这里的192.168.1.1,此外还可以使用IPCop电脑的主机名访问,默认是ipcop(https://ipcop:445),浏览器可能会报告这是一个非受信任的网站,因为IPCop使用的是自己产生的证书,你只管点接受便可以了。

  还记得安装时为admin用户设置的密码吗?如果没有输入密码,你只能查看IPCop的主页,点击任何按钮和链接都会蹦一个登录对话框出来。

  首先你应该选择的第一个链接是“系统”*“更新”,因为主页上会显示有更新可用,点击“下载”按钮,关于更新的描述信息会显示在按钮下方,下载完毕后,点击“现在应用”。

  如果你看到一个“这不是一个授权的更新”的错误消息,你的硬件时钟可能出了问题,多年未使用的电脑,或BIOS被重置后就经常出现这种情况。点击“服务”*“时间服务器”,手动校准时间,然后勾选“使用网络时间服务器”,点击“保存”,第一次你可能还是必须要手动设置时间,因为如果时间跳跃太大,NTP是不会自动修改系统时间的。

  至此,你可以放心地将这台DIY的路由器放在某个角落,只要保证它的散热效果,其它一切你都可以远程通过Web界面实施控制,现在这台路由器提供了DHCP和DNS服务,并提供了互联网访问共享服务,下面我们开始研究它的选项。

  第一站我们选择“系统”*“备份”,在这里你可以创建一个包含所有设置的DAT文件,以便需要时可以进行回滚,在开始尝试一些操作前就应该执行一次备份,如果你愿意,还可以点击“导出”按钮将文件备份到移动硬盘或U盘中。

  功能探索

  IPCop提供许多默认没有启用的服务,其中有些服务是值得研究和开启的,如位于“服务”菜单中的Web代理,时间服务器,动态DNS服务,集成Snort的入侵检测和流量整形,最有用的还是对带宽的限制,你不用再担心有人下载最新的Ubuntu ISO镜像,影响到你访问Fedora论坛的速度。可以将端口25、110、143优先级设置为“高”,80和443端口优先级设置为“中”,FTP端口(21)和BitTorrent端口(6881-6999)优先级设为“低”,这样可以确保电子邮件无论在何时都能顺利收发,而下载则被限制甚至被阻止。

图 5 限制上传/下载速度,配置流量整形

  你可以在安装后再添加一个网络,但在Web界面中你会发现没有与之相关的选项,只能在命令行下解决,如果直接在IPCop服务器上添加,你还得接上键盘和显示器,如果通过远程,可以选择SSH,但需要先在“系统”菜单下启用SSH,使用ssh -p 222 root@ipcop命令进行连接,然后运行setup,获得一个类似于安装程序的GUI,你可以通过它修改安装时做的一些配置,进入“网络”*“修改网络类型”,选择“绿色+橙色+红色”添加一个DMZ,或为无线选择“蓝色”,不管哪种方式,电脑上必须安装了合适了网卡。

  进入“驱动和网卡分配”,为新网络选择一个网卡,然后使用“地址设置”为新网络接口分配一个IP地址,但必须是不同的子网,如果你为绿色网络使用192.168.1.1,那最好为橙色网络使用192.168.2.1。设置完毕后,为安全起见,关闭SSH连接。

  设置DMZ

  现在你已经创建了DMZ,下面开始设置它,在橙色网络上没有DHCP服务器,任何新增计算机都必须指定静态地址,如果你要提供外部访问,这是一件好事,因为你需要将通信转发到一个特定的地址。

  为了访问IP为192.168.2.2的Web服务器,第一步是设置端口转发,其做法和标准Modem/路由器上的方法一样,只是这里我们要转发的目标是位于DMZ区里的服务器。

图 6 IPCop网络架构,橙色(Orange)是DMZ

  转到“防火墙”*“端口转发”页面,“源IP”通常留空,即所有外部地址均可访问,如果你想限制访问来源,你可以设置一个特定的IP地址,也可以设定一个地址范围。

  设置源和目标端口为80(HTTP),目标IP为192.168.2.2,点击“增加”可在下方的列表中看到显示的规则,接着点击“重置”,重复为443端口做同样的设置。

  至此,你的Web服务器就能从互联网访问了,当然也可以直接从你的LAN(绿色为了)访问,但它不能反向访问你的绿色网络,因此,即使服务器或它上面运行的PHP代码存在漏洞,受影响的也只有它本身,不会影响到绿色网络的计算机。

  针孔通道

  有时,你的Web服务器需要和位于绿色网络的机器通信,如发送MySQL表的一个备份。IPCop有一个功能叫做DMZ Pinhole(针孔),它为橙色网络中的某台计算机提供了对绿色网络中某计算机端口有限制的访问,转到“防火墙”*“DMZ Pinhole”进行设置,但最好在需要时才设置这个“针孔通道”,因为它对DMZ提供的安全性产生了一定的破坏。

  IPCop的功能还有很多,远不止我谈到的这些,正所谓师父领进门修行在个人,建议你把IPCop Web管理界面的每个页面都研究透,不懂的地方多去IPCop网站或查阅相关文档。

  怎么样?看完本文后,你是否有种冲动,想把淘汰下来的旧电脑装扮成一台灵活,功能丰富,性能强劲的防火墙/路由器呢?不要犹豫,动手吧!

上篇阅读:图解如何将旧电脑改造成防火墙和路由器(上)

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐