Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

m0n0wall - oprogramowanie dla routerów i firewalli w zastosowaniach domowych i nie tylko.

Projekty takie jak Vyatta czy m0n0wall powstały aby ułatwić życie administratorom sieci komputerowych i oszczędzić ich czas a także dla osób, które nie są specjalnie obeznane w systemach bazujących na jądrze Linux bądź systemach BSD. Portal dobreprogramy.pl promuje od dawna Vyattę, o którym była też ciekawa sesja na tegorocznym HotZlocie, Ci co nie byli osobiście mogą obejrzeć wideorelację. Polecam również zapoznać się z demonstracjami na temat Vyatty na portalu TechIT. Ja postanowiłem pokazać natomiast czym jest projekt m0n0wall, ponieważ uważam iż jest to ciekawe rozwiązanie dla tzw. zwykłych użytkowników, chcących stworzyć router bądź firewall dla swojej sieci w domu. Oczywiście nie tylko na tym kończą się możliwości tego systemu. Według prowadzących sesję, Vyattę można stosować nie tylko w serwerowniach ale również w warunkach domowych i faktycznie można ale mimo wszystko osobiście uważam, że ten system może okazać się jeszcze zbyt skomplikowany dla osób, które nie czują się zbyt dobrze w CLI (Command Line Interface), czyli w trybie tekstowym. Vyatta od niedawna oferuje również interfejs przeglądarkowy, czyli dostęp do panelu przez przeglądarkę stron www tak jak ma to miejsce w domowych routerach sprzętowych oferowanych przez rozmaitych producentów tego typu sprzętu, jednak według mnie, przynajmniej na dzień dzisiejszy, interfejs ten może okazać się dla użytkownika domowego zbyt skomplikowany i mało intuicyjny. Mam nadzieję, że w przyszłości się to zmieni. Oczywiście jest to tylko i wyłącznie moje, subiektywne odczucie, z którym nie wszyscy muszą się zgodzić.

Czym jest projekt m0n0wall?

Jest to system oparty na FreeBSD, którego przeznaczeniem jest stworzenie systemu dla urządzeń pełniących rolę zapory sieciowej, który może pełnić również funkcję routera. Praktycznie cała konfiguracja systemu odbywa się z poziomu przeglądarki stron www. Interfejs jest dość przejrzysty i każdy, nawet początkujący użytkownik routera, powinien sobie poradzić z jego konfiguracją - tutaj jedynym ograniczeniem jest wiedza na temat sieci komputerowych :) System jest w pełni darmowy.

Skoro za niewielkie pieniądze można kupić router sprzętowy przeznaczony dla małych sieci domowych to kto chciałby tego używać?

Praktycznie każdy kto ma na to ochotę. System ten tworzony jest pod procesor z architekturą x86, więc można go stosować na zwykłym komputerze klasy PC jak i routerach sprzętowych, działających na procesorach tej architektury czy serwerach, więc jeśli ktoś dysponuje starym komputerem, który kurzy się w piwnicy lub na szafie to można z niego zrobić użytek, tworząc router dla domowej sieci lub jeśli w domu posiada się tylko jeden komputer jest to idealne rozwiązanie aby zbudować zaporę sieciową, która dodatkowo chroniłaby ten jeden komputer. Oprócz tego m0n0wall może też stanowić alternatywę dla oprogramowania stosowanego w routerach sprzętowych. Niestety routery z serii Linksys WRT54G nie są wspierane ze względu na architekturę procesora w nich stosowanych ale tutaj znowuż swoją rolę spełnia dobrze takie oprogramowanie jak Tomato, DD-WRT czy HyperWRT. Oczywiście możliwości m0n0wall się na tym nie kończą i można go również stosować w rozbudowanych sieciach komputerowych, stanowiąc tym samym alternatywę dla drogich rozwiązań sprzętowych podobnie jak Vyatta.

Co oferuje m0n0wall?

System na dzień dzisiejszy ma do zaoferowania to co większość innych routerów programowych bądź sprzętowych a między innymi:

- interfejs przeglądarkowy (przykładowy zrzut ekranu);
- możliwość zmiany nazwy użytkownika i hasła do panelu routera oraz tworzenia nowych użytkowników i grup;
- możliwość zmiany protokołu (http lub https) i/lub zmiany portu dostępu do panelu przeglądarkowego na dowolny inny, wtedy można się łączyć z panelem na przykład w taki sposób http://192.168.1.1:5000;
- możliwość aktualizacji oprogramowania z poziomu przeglądarki stron internetowych;
- możliwość stworzenia kopii zapasowej konfiguracji routera i jej późniejsze przywracanie z utworzonej kopii;
- wsparcie dla protokołu IPv6;
- zapora sieciowa, która chroni przed atakami sieciowymi. Domyślnie ruch przychodzący jest blokowany, ruch wychodzący jest dopuszczony i dopuszczane są pakiety z powiązań już nawiązanych, oprócz tego można tworzyć również własne reguły;
- serwer NAT;
- serwer DHCP;
- podział pasma i limitowanie łącza;
- Dynamic DNS, czyli usługę DynDNS/No-IP w przypadku łącz ze zmiennym IP z puli adresów publicznych, wspierające kilka serwisów tego typu;
- Wake On LAN, czyli możliwość wybudzania/uruchamiania danego komputera w sieci lokalnej;
- bramka VPN (IPsec, PPTP);
- Strefa zdemilitaryzowana (DMZ);
- możliwość konfiguracji łącz dsl/adsl, łącz ze statycznym bądź dynamicznym IP przydzielanym przez operatora sieci;
- wsparcie dla punktów dostępu do sieci bezprzewodowej (Access Point);
- możliwość tworzenia sieci VLAN;
- wsparcie dla protokołu SNMP;
- możliwość przekierowania portów;
- diagnostyka łącza i systemu wraz z wykresami generowanymi w czasie rzeczywistym;

Instalacja systemu.

Instalacja systemu z płyty CD jest banalna, nie potrzeba tutaj żadnej wiedzy na temat systemu FreeBSD, wszystko zostało tak skonstruowane aby z tego po prostu korzystać i polega na wybraniu odpowiedniej opcji z menu, wybraniu nośnika na którym system ma być zainstalowany - może to być karta pamięci lub inny nośnik pamięci flash czy też zwykły dysk twardy. System działa również jako LiveCD i tak naprawdę nie trzeba go instalować, jednak to rozwiązanie ma pewną wadę - w przypadku restartu routera cała konfiguracja jest tracona bezpowrotnie, ponieważ jest przechowywana w pamięci RAM. Jednak i na to jest sposób - istnieje możliwość zapisu konfiguracji na dyskietce bądź innym nośniku pamięci i w razie potrzeby ponownego uruchomienia urządzenia system wczytuje konfigurację z dostarczonej mu dyskietki. Oferowany jest też specjalny obraz dla tzw. urządzeń wbudowanych, czyli np. dla routerów sprzętowych, serwerów opartych o procesory x86, w tym wypadku instalacja polega na wypakowaniu i skopiowaniu obrazu na dyskietkę bądź kartę pamięci (instrukcja dostępna na stronie projektu). Oprócz tego można pobrać sobie obraz dla maszyny wirtualnej i na niej przetestować już działający system. Obraz co prawda tworzony jest dla VMWare ale pod VirtualBoksem też działa, jak pod innymi maszynami to nie wiem, bo nie miałem okazji sprawdzać.

System po uruchomieniu wita nas początkowo w trybie tekstowym, lecz nie należy się tym martwić, ponieważ wszystko jest łatwe w konfiguracji a całą resztę odwalają za nas skrypty pisane w PHP. Jeśli do routera został przypisany adres IP z serwera DHCP to nie trzeba nic więcej robić, już na tym etapie można zalogować się do panelu przez przeglądarkę, wpisując adres IP przypisany dynamicznie do routera i tam wszystko skonfigurować. W przeciwnym wypadku tutaj można przeprowadzić wstępną konfigurację, jak np. ręczne przypisanie adresu IP do routera, możliwość włączenia serwera DHCP i ustalenia zakresu przydzielanych adresów.

Ekran powitalny systemu m0n0wall zawierający podstawowe informacje o systemie, tu odbywa się wstępna konfiguracja routera.

Jak widać menu oferuje:

1. Konfigurację interfejsów (kart) sieciowych i VLAN;
2. Ustalanie adresu routera, w moim przypadku jest to akurat 192.168.1.1;
3. Resetowanie hasła do panelu www, domyślne hasło to mono o czym system poinformuje w przypadku resetowania hasła;
4. Resetowanie do ustawień fabrycznych, czyli do ustawień domyślnych sprzed konfiguracji routera, w tym również to co zostało skonfigurowane za pomocą przeglądarki stron internetowych;
5. Ponowne uruchamianie systemu;
6. Tutaj można sprawdzić czy router został prawidłowo skonfigurowany poprzez pingowanie komputerów zarówno w sieci lokalnej jak i globalnej;
7. Instalacja systemu na dysku twardym, karcie pamięci lub innym nośniku.

Jeśli już ktoś jest zdecydowany na instalację systemu na urządzeniu, które ma pełnić rolę routera bądź zapory sieciowej, powinien wybrać siódmą pozycję z menu, wówczas system postara się wykryć dostępne nośniki, na których możliwa będzie instalacja.

Lista nośników, na których może być zainstalowany system.

W moim przypadku system wykrył jeden dysk oznaczony jako ad0 (dysk wirtualny Virtualboksa), jeśli u kogoś w systemie wyrytych zostanie kilka nośników należy wybrać odpowiedni i podać jego nazwę. Proponuję przedtem zapoznać się z tą stroną, na której wyjaśniono w jaki sposób FreeBSD rozpoznaje dyski i inne urządzenia, aby uniknąć ewentualnej pomyłki.

Przed ostateczną instalacją pojawi się ostrzeżenie, że instalacją wiąże się z utratą wszelkich danych znajdujących się na nośniku, na którym przeprowadzana będzie instalacja. Należy jeszcze tylko zatwierdzić chęć instalacji i chwilę poczekać. System po instalacji automatycznie się zrestartuje.

Instalacja systemu.

Po instalacji systemu można rozpocząć konfigurację routera bądź zapory sieciowej. Niestety ze względu na limit obrazków jaki można zamieścić na blogu odsyłam chętnych na stronę projektu, gdzie można obejrzeć zrzuty ekranu, pobrać system oraz poczytać dokumentację i przewodniki, obejrzeć demonstracje pomocne w instalacji i konfiguracji routera, niestety wszystko w języku angielskim.

Strona projektu - http://m0n0.ch/Zrzuty ekranu - http://m0n0.ch/wall/screenshots.phpPolska strona projektu (niestety od dawna nie aktualizowana) - http://m0n0wall.eu 

oprogramowanie serwery

Komentarze

0 nowych
lubicz   4 #1 01.09.2010 11:22

Osobiście polecam oglądnięcie nowego Endiana. Moim zdaniem Endian w chwili obecnej jest lepszy od M0n0walla, Smoothwalla czy IPCopa.

misiek440v2   7 #2 01.09.2010 12:15

szybkie pytanie bo nie chce mi się przeszukiwać dokumentacji, czy to obsługuje Load Balancig i zaawansowane reguły QOS z poziomu Gui?

eth0   4 #3 01.09.2010 13:26

@lubicz

Ciekawy też jest Ipfire (mam go u jednego ISP), oraz na dwóch bramach(szkoła podstawowa, firma współpracująca), bazuje na Ipcop, z tym że poprawili w nim to co w Ipcop jest skopane, dodali też parę rzeczy. Ogólnie sprawuje mi się dobrze, brakuje mu tylko dual WAN, ale ma pojawić się w wersji 3.0 co było by krokiem milowym, dużą zaletą jest możliwość instalowania dodatków, oraz tworzenie własnych, dzięki czemu system można całkiem fajnie rozbudować.

roobal   15 #4 01.09.2010 15:17

@Lubicz

Zapewne obadam :) Natomiast co do lepszości to uprzedzam przy okazji innych, że ten wpis nie ma na celu pokazania wyższości nad Vyattą lub odwrotnie albo coś w tym stylu.

Pozdrawiam!

roobal   15 #5 01.09.2010 15:17

@misiek440v2

Praktycznie cała konfiguracja odbywa się w WebGUI a jedynie wstępna w CLI. Natomiast to o co pytasz wg dokumentacji na stronie projektu przedstawia się tak: http://doc.m0n0.ch/handbook-single/#id11630157

Pozdrawiam!

roobal   15 #6 01.09.2010 15:18

@misiek440v2

Na zrzutach wygląda to tak:

http://m0n0.ch/wall/images/screens/shaper.png
http://m0n0.ch/wall/images/screens/shaper_pipes.png
http://m0n0.ch/wall/images/screens/shaper_queues.png

Najlepiej pobrać sobie obraz dla maszyny wirtualnej (z tego co pamiętam waży coś koło 8MB) i przetestować "na własnej skórze" :)

Pozdrawiam!

roobal   15 #7 01.09.2010 15:19

Musiałem to rozdzielić na kilka komentarzy, bo widocznie kilka linków w jednym komentarzu jest chyba blokowane.

Pozdrawiam!

misiek440v2   7 #8 01.09.2010 16:24

hmm oprogramowanie wydaje się ciekawe, brak tylko dual wana. Jak znajdę chwile czasu to po testuje ale chyba moje tomato ciekawsze.

roobal   15 #9 01.09.2010 17:46

@misiek440v2

Jeśli Tomato Ci działa to myślę, że nie ma sensu tego zmieniać :)

Pozdrawiam!

xbialyx5   3 #10 01.09.2010 19:29

Nie jestem do końca pewny, więc zapytam, jeśli mam w domu małą sieć. 3 komputery i drukarka sieciowa, mogę m0n0wall'a podłączyć jako sama zapora, a pod niego jeszcze router? Router Pentagram Cerberus P 6341? I rozumiem, że dalej wszystkie komputery pod router? Sorry za zamieszanie ;)

xbialyx5   3 #11 01.09.2010 19:34

A i jeszcze jedno, jak "wpuścić" do niego internet? Mam neostradę, czyli ADSL.

skandyn   9 #12 01.09.2010 20:17

Nie tak dawno testowałem podobny soft na VirtualBox serwer FreeNAS, ale chyba lepiej będzie uruchomić go z płyty.

Pozdrawiam.

roobal   15 #13 01.09.2010 21:12

@xblalyx5

Tak, można tak zrobić i użyć go jako dodatkowa zapora tylko pytanie czy jest sens skoro twój router posiada wbudowaną zaporę :) W tym wypadku musiałbyś podłączyć modem adsl do komputera z m0n0wall i w nim skonfigurować łącze a potem podłączyć router i w nim ustawić dynamiczne lub statyczne IP w ustawieniach sieci WAN. Jednak to rozwiązanie jest dobre dla osób, które nie posiadają routera z wbudowaną zaporą sieciową i/lub mają przypisane publiczne IP.

@skandyn

FreeNAS oparte jest właśnie na m0n0wall ;)

Pozdrawiam!

roobal   15 #14 01.09.2010 21:14

@xblalyx5

Zapomniałem, że router można też przestawić w tryb przełącznika, jeśli to oferuje :)

Pozdrawiam!

xbialyx5   3 #15 01.09.2010 21:34

O, dzięki :) W sumie to ja mam i router i switch 8-portowy, ale jeśli nie ma takiej potrzeby to raczej tylko z ciekawości to zrobię ;)

lubicz   4 #16 01.09.2010 22:24

@roobal
Tak tak załapałem o czym wpis, niczego się nie czepiam. To co napisałem to tylko i wyłącznie mój przypadek. Wiadomo że nie sprawdzaliśmy wszystkich rozwiązań ale póki co Endian dla nas był/jest najlepszy. Chociaż mi do końca i tak nie pasuje hehe :]

roobal   15 #17 01.09.2010 22:45

@lubicz

Ty się akurat nie czepisz ale wolałem uprzedzić, gdyby ktoś się czepiał :)

Z tego co widzę to Endian ma kilka dodatkowych opcji, które też mogą się przydać :)

Pozdrawiam!

  #18 02.09.2010 08:43

Jest jeszcz PfSense "http://www.pfsense.org" oparty na m0n0wall-u, który jest bardziej rozbudowany

roobal   15 #19 02.09.2010 13:09

@ksiegowy

O, fajnie wiedzieć :) Chyba kiedyś gdzieś o tym słyszałem nawet :)

Pozdrawiam!

  #20 03.09.2010 09:19

Pommo ze stronka polska(http://www.m0n0wall.eu) nie jest od dawna aktualizowana to jest polskie forum na ktorym jest bardzo duzo pomocnych informacji.
Tak w skrocie na temat monowalla powiem tyle: Uzywam w sieci produkcyjnie od kilku lat. W siec teraz okolo 750 maszyn. Mono obsluguje symetryka 40/40. Co najciekawsze w ciagu tych kilku lat ANI RAZU nie bylo problemu z zawieszeniem sie tego softu. :-)

  #21 25.10.2010 19:55

Ja używam od roku MoNoWall na 7 serwerach. Razem obsługują 350 osób. Fakt, żeby bardzo dobrze smigało, trzeba jednak samemu napisac regułki i kolejki. Wiadomo, że mogloby być więcej na Gui. Minusem system jest brak obslugi CLI. Nie można się zalogowac do własnego lanu z zewnątrz przez tunel ssh. Wcześniej miałem PfSense, BrazilFW (ma multiwana, ale brak dobrego load balancingu i niestety qos nie jest rewelayjny, na jeden wan dość dobry router), Intrux (multiwan okazał się bardzo dupiaty, zwłaszcza nie działało przekierowanie portów), Planet BM-500 ( zawieszał się i restarował w kółko po przekroczeniu 30 userów)

pawełło   2 #22 24.10.2011 22:04

Ostatnio coraz bardziej interesuje mnie zastosowanie Vyatty ale pewnie jak większość użytkowników "okienek" mam problem z konfiguracją na poziomie terminala i dzisiaj znalazłem dość ciekawą stronę opisującą proces instalacji i konfiguracji poszczególnych usług na Vyatta:
http://twojepc.pl/artykuly.php?id=konfiguracja_systemu_vyatta

pawełło   2 #23 24.10.2011 22:04

Ostatnio coraz bardziej interesuje mnie zastosowanie Vyatty ale pewnie jak większość użytkowników "okienek" mam problem z konfiguracją na poziomie terminala i dzisiaj znalazłem dość ciekawą stronę opisującą proces instalacji i konfiguracji poszczególnych usług na Vyatta:
http://twojepc.pl/artykuly.php?id=konfiguracja_systemu_vyatta

roobal   15 #24 19.11.2011 04:28

@pawełło

Jeśli chodzi o Vyattę, to na TechIT.pl masz kilka ciekawych demonstracji.

Pozdrawiam!