加入收藏 设为首页 联系站长
首页 | 虚拟动态 | Cisco模拟 | Juniper仿真 | 虚拟机 | 网络仿真 | 软件路由 | 技术专题 | 相关软件 | 交流论坛
>首页 -> 软件路由 -> M0N0Wal

TOP

m0n0wall的简单介绍
[ 录入者:admin | 时间:2007-11-05 23:27:52 | 作者: | 来源: | 浏览:1719次 ]
1.1. 什么是m0n0wall

    m0n0wall 是一个完整的、嵌入式的防火墙软件包,该软件包可以安装于嵌入式PC里,提供所有商业防火墙的重要特性(包括易用性),而且价格只有商业防火墙几分之一(自由软件)。m0n0wall是基于bare-bones version of FreeBSD,包括一个WEB服务器,PHP和另一些工具软件。整个系统的配置保存在一个XML文件当中。
    m0n0wall可能是第一个启动时通过PHP配置的UNIX系统,这种结构胜于使用shell脚本。 并且整个系统的配置用XML格式保存。

1.2. m0n0wall的局限

    m0n0wall是防火墙,并且防火墙的目的是提供安全。功能被增加的越多,这些额外的功能的脆弱将损害防火墙安全的机会越大。因此 m0n0wall编写者认为m0n0wall不包含在第3层和第4层防火墙的基础服务外的任何功能。因为m0n0wall是嵌入式的防火墙面向嵌入设备有限的CPU资源和记忆体资源。并为适应低端设备的CPU和记忆体的局限,以及Flash记忆体等因素的限制。最后,为了限制image文件的大小取消了这些额外的功能。

    我们认为以下的这些服务应该在另一台服务器上运转,所以m0n0wall不包含这些部分:
  • 入侵检测/ 预警系统
  • 代理服务
  • 除了第3层和第4层以外其他任何层的包检查
  • WEB服务
  • FTP服务
  • 网络时间服务
  • 日志文件分析
    出于同样的原因,m0n0wall不允许登录: 在控制台没有登录提示符,(它被一个功能菜单代替) ,没有任何的Telnet或SSH守护程序.

1.3. 历史

    Manuel Kasper(人名), m0n0wall的作者说:
    从我开始在嵌入式PC上摆弄包过滤器,我就想有一个漂亮的基于web图形界面的控制器来控制所有的防火墙功能,而不是通过键入单个的命令。在互联网上有很多漂亮的带有WEB接口的防火墙包(大部分是基于Linux的),但是没有一个符合我要求的(自由,快速,简单,干净以及我需要的所有特性)。所以,我终于开始写属于自己的WEB图形界面。但是,我决不是想建立一个webmin的翻版----我想建立一个完整的、新的嵌入式防火墙软件包。它的所有将被发展为一个接上电源的盒子,可以通过串口设置LAN IP地址,登录进WEB界面设置它。然后我决定我不能像平常的启动系统那样通过SHELL脚本配置系统(由于它几乎不可能用SHELL脚本完成,所以我已经写了一个C程序产生过滤器规则),并且自从我使用了基于PHP的WEB接口,不长时间我就发现还是使用PHP来配置系统的好。这种方法,配置数据将不再必须被存储在那些被SHELL脚本解析的文本文件里面----它现在被存储在一个XML文件里。所以我又完全重写了整个系统,除了相当多的“引擎罩底下的东西”外,看上去感觉没有什么改变。

    m0n0wall的第一个beta版在2003年2月15日发布。 第1.0 版本在一年以后的2004年2月15日发布。在那两个之间发布了26个beta版,平均每两周发布一个。在m0n0wall 网站可以查阅每个版本的变化。


1.4. 特性

    m0n0wall提供的大多数商业防火墙的特征,和在商业防火墙内不具备的特征,包括:

  • WEB图形界面控制器(支持SSL)
  • 用于恢复系统的串口界面
    • set LAN IP address (设置Lan IP)
    • reset password (重设密码)
    • restore factory defaults (恢复到默认设置)
    • reboot system (重启系统)
  • 无线支持 (access point with PRISM-II/2.5 cards, BSS/IBSS with other cards including Cisco)
  • 基于状态的包过滤
    • block/pass 规则 (阻止/通过 规则)
    • logging 记录
  • NAT/PAT (包括 1:1)
  • 在WAN口上支持DHCP IP获取、PPPoE、PPTP
  • IPsec VPN 隧道 (IKE; 支持硬件加密卡,移动客户和证书)
  • PPTP VPN (支持 RADIUS 服务器)
  • 静态路由
  • DHCP 服务
  • DNS缓存/中继
  • DynDNS 客户端
  • SNMP 代理
  • 流量限制
  • WEB界面的固件升级
  • 配置信息 备份/恢复
  • 主机/网络 别名



1.4.1. 组成

m0n0wall包含下列内容:
  • FreeBSD components (kernel, user programs)
  • ipfilter
  • PHP (CGI version)
  • thttpd
  • MPD
  • ISC DHCP server
  • ez-ipupdate (for DynDNS updates)
  • Dnsmasq (for the caching DNS forwarder)
  • racoon (for IPsec IKE)


1.4.2. 说明
    目前m0n0wall可以安装在不小于6M 的CF卡(或者CD-ROM)上。

    在net4501平台上,当运行默认配置的时候,包含NAT在内, m0n0wall提供大约17 Mbps的 WAN <-> LAN TCP 吞吐量。 在更快的平台上(类似于net4801或者WRAP),吞吐量可能超过50Mbp(在更新的标准PC上 > 100 Mbps)。
在net4501平台上, m0n0wall从上电启动到完全可以工作的时间小于 40 秒 ,这其中包含POST (适当的BIOS配置)

1.5. 软件版权分配(许可证)

    m0n0wall is Copyright © 2002-2004 by Manuel Kasper. All rights reserved.

    Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met:

  •  Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer.
  •  Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution.


THIS SOFTWARE IS PROVIDED "AS IS'' AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE AUTHOR BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.

在满足下列许可条件的前提下, 允许再分发或以源代码 或 “编译”的经过修改或未修改的形式:

  • 再次分发必须不加修改的保留上述版权告示、 本条件清单和下述弃权书作为该文件的最先若干行。
  • 因此文档没有详细的书面优先准许,所以monowall 文档工程名称及其工程建设者名称都不能用于签注或推销产品.


本文档由版权所有者和贡献者 “按现状条件” 提供, 并在此明示不提供任何明示或暗示的保障, 包括但不限于对商业适销性、对特定目的的适用性的暗示保障。 任何情况下, 版权所有者和贡献者均不对任何直接、 间接、 偶然、 特殊、 惩罚性的, 或必然的损失 (包括但不限于替代商品或服务的采购、 使用、 数据或利益的损失或营业中断) 负责, 无论是如何导致的并以任何有责任逻辑的, 无论是否是在本文档使用以外以任何方式产生的契约、 严格责任或是民事侵权行为(包括疏忽或其它)中的, 即使已被告知发生该损失的可能性.



1.5.1. 其他软件包

m0n0wall是在各种免费软件包的基础上开发的,在下面列举。m0n0wall的作者想因他们的努力而感谢这些软件包的作者。

FreeBSD (http://www.freebsd.org) Copyright © 1994-2003 FreeBSD, Inc. All rights reserved.

This product includes PHP, freely available from http://www.php.net. Copyright © 1999 - 2003 The PHP Group. All rights reserved.

mini_httpd (http://www.acme.com/software/mini_httpd) Copyright © 1999, 2000 by Jef Poskanzer <jef@acme.com>. All rights reserved.

ISC DHCP server (http://www.isc.org/products/DHCP) Copyright © 1996-2003 Internet Software Consortium. All rights reserved.

ipfilter (http://www.ipfilter.org) Copyright © 1993-2002 by Darren Reed.

MPD - Multi-link PPP daemon for FreeBSD (http://www.dellroad.org/mpd) Copyright © 1995-1999 Whistle Communications, Inc. All rights reserved.

ez-ipupdate (http://www.gusnet.cx/proj/ez-ipupdate) Copyright © 1998-2001 Angus Mackay. All rights reserved.

Circular log support for FreeBSD syslogd (http://software.wwwi.com/syslogd) Copyright © 2001 Jeff Wheelhouse (jdw@wwwi.com)

Dnsmasq - a DNS forwarder for NAT firewalls (http://www.thekelleys.org.uk) Copyright © 2000-2003 Simon Kelley

Racoon (http://www.kame.net/racoon) Copyright © 1995-2002 WIDE Project. All rights reserved.

before version pb23: watchdogd (watchdog) Copyright © 2002-2003 Dirk-Willem van Gulik. All rights reserved. This product includes software developed by the Stichting Wireless Leiden (http://www.wirelessleiden.nl). See LICENSE for more licensing information.

msntp (http://www.hpcf.cam.ac.uk/export) Copyright © 1996, 1997, 2000 N.M. Maclaren, University of Cambridge. All rights reserved.

UCD-SNMP (http://www.ece.ucdavis.edu/ucd-snmp) Copyright © 1989, 1991, 1992 by Carnegie Mellon University. Copyright © 1996, 1998-2000 The Regents of the University of California. All rights reserved. Copyright © 2001-2002, Network Associates Technology, Inc. All rights reserved. Portions of this code are copyright © 2001-2002, Cambridge Broadband Ltd. All rights reserved.

choparp (http://choparp.sourceforge.net) Copyright © 1997 Takamichi Tateoka (tree@mma.club.uec.ac.jp) Copyright © 2002 Thomas Quinot (thomas@cuivre.fr.eu.org)



1.6. 贡献者及其荣誉
  1.6.1. 代码部分

    m0n0wal由Manuel Kasper编写.

    下列人员为编写m0n0wall做出贡献:

Bob Zoller (bob at kludgebox dot com): Diagnostics: Ping function; WLAN channel auto-select; DNS forwarder

Michael Mee (m0n0wall at mikemee dot com): Timezone and NTP client support

Magne Andreassen (magne dot andreassen at bluezone dot no): Remote syslog'ing; some code bits for DHCP server on optional interfaces

Rob Whyte (rob at g-labs dot com): Idea/code bits for encrypted webGUI passwords; minimalized SNMP agent

Petr Verner (verner at ipps dot cz): Advanced outbound NAT: destination selection

Bruce A. Mah (bmah at acm dot org): Filtering bridge patches

Jim McBeath (monowall at j dot jimmc dot org): Filter rule patches (ordering, block/pass, disabled); better status page; webGUI assign network ports page

Chris Olive (chris at technologEase dot com): enhanced "execute command" page

Pauline Middelink (middelink at polyware dot nl): DHCP client: send hostname patch

Björn Pålsson (bjorn at networksab dot com): DHCP lease list page

Peter Allgeyer (allgeyer at web dot de): "reject" type filter rules

Thierry Lechat (dev at lechat dot org): SVG-based traffic grapher

Steven Honson (steven at honson dot org): per-user IP address assignments for PPTP VPN

Kurt Inge Smådal (kurt at emsp dot no): NAT on optional interfaces

Dinesh Nair (dinesh at alphaque dot com): captive portal: pass-through MAC/IP addresses, RADIUS authentication HTTP server concurrency limit

Justin Ellison (justin at techadvise dot com): traffic shaper TOS matching; magic shaper; DHCP deny unknown clients; IPsec user FQDNs

Fred Wright (fw at well dot com): ipfilter window scaling fix; ipnat ICMP checksum adjustment fix


1.6.2. 文档部分

m0n0wal由Manuel Kasper编写.

以下人对m0n0wall 文献做出了贡献了:

Chris Buechler (m0n0wall at chrisbuechler.com): Editor, numerous contributions throughout.

Jim McBeath (monowall at j dot jimmc dot org): Users Guide outline, editing

Rudi van Drunen (r.van.drunen at xs4all dot nl) with thanks to Manuel Kasper, Edwin Kremer, PicoBSD, Matt Simerson and John Voight: m0n0wall Hackers Guide, used as the basis for the Development chapter.

Francisco Artes (falcor at netassassin.com): IPsec andPPTP chapters.

Fred Wright (fw at well dot com): Suggestions and review.

Axel Eble (axel+m0n0-0001 at balrog dot de): Help with the wiki, ddclient howto contribution.

Brian Zushi (brian at ricerage dot org): Linux CD burning instructions, documentation review and suggestions.

Dino Bijedic (dino.bijedic at eracom-tech dot com): Sonicwall example VPN contribution.


[ 第一章 完结 ]

[上一篇]m0n0wall 2.5 硬件评估 [下一篇]m0nowall设置案例---14.1 设置一..
※相关文章
 

评论

称  呼:
内  容:

相关栏目

最新文章

热门文章

推荐文章

赞助商链接