实验目的
1、深入理解防火墙的功能和工作原理;
2、熟悉软件防火墙,掌握m0n0防火墙的规则和配置。
预备知识
m0n0wall
M0n0wall是基于FreeBSD内核开发的免费软件防火墙。m0n0wall提供基于web的配置管理、提供VPN功能、支持DHCP Server、DNS转发、动态DNS、IPsec、流量控制、无线网络支持等功能。该系统最新版本是1.34。
M0n0wall对硬件要求很低,486芯片、32M内存(一般建议64M),8G硬盘(是个能用的硬盘就可以)加上两块网卡(支持DMZ的话三块)即可正常工作,并有相当不错的数据承受能力。
实验环境
本实验的实验环境为:在实验机上安装VirtualBox虚拟机软件,并用VirtualBox创建了两台虚拟机并设置了相关网络,形成了实验网络环境。网络拓扑见下图:
说明:
1)网络有两个设备组成,一台防火墙、一台服务器;
2)防火墙是一台安装m0n0防火墙软件的主机,它有两块网卡,一块接内网(LAN),一块接外网(WAN),具体配置见图示;
3)服务器是一台win2003的主机,安装了web服务器;
4)防火墙内部接口的IP和服务器的IP都已经配好。
实验步骤一
登录到实验机上。在实验机的桌面上有VirtualBox图标,双击图标,将出现VirtualBox管理界面并可看到两个虚拟机:win2003内网和防火墙。确认两个虚拟是否已经启动,如没有则将两个虚拟机都启动起来。
实验步骤二
任务描述:通过对防火墙进行基本配置,实现内网主机可以访问外网。
1、登录到防火墙。
在Virtual管理界面下,登录到Win2003虚拟机,用户名:administrator,密码:123456,登录后配置2003虚拟机IP地址为192.168.1.10,网关192.168.1.1:
打开IE浏览器,在浏览器里面输入防火墙LAN端口的IP地址:http://192.168.1.1,出现登录验证界面后,输入用户名:admin,密码:mono,即进入防火墙的web配置界面:
2、配置防火墙的主机名、域名和DNS服务器。见图示:
3、给防火墙WAN端口配置静态IP地址。IP地址配置:10.1.1.10,掩码:24,见图示:
4、为LAN网络提供DHCP服务(以便在内网添加主机时无需手动配置IP址址)。
实验步骤三
任务描述:将内网中Server主机发布了web服务发布到外网,从而使外网也可以访问。(因无法访问互联网,这里的外网指实验机到虚拟机)
本任务采用防火墙的端口映射技术来实现,前置条件:在内网中Server主机发布了web服务,内网可以访问,见图示:
1、在防火墙上设置端口转发,实现外网访问Server的web服务。
用IE登录到防火墙,选择“Firewall-NAT”,点击“add rule”。网络接口选WAN,外部IP地址选接口所用IP,协议选择TCP,外部端口选 80,NAT本地IP地址输入内网web服务器地址,如192.168.1.10,本地端口范围选择web配置的端口,这里是80,描述可以随便填,记得一定要钩选“Auto-add a firewall rule to permit traffic through this NAT rule”选项(在防火墙中自动添加一条允许NAT规则通过的过滤规则),点击“save”保存!见图示:
2、查看并调整防火墙过滤规则
转到Firewall-Rules-WAN看看,这里多了一条规则!就是允许外部访问192.168.1.10的80端口。见下图所示:
同时,我们看到在前面还有一条规则,阻止所有对内网的访问,需删除这条规则。操作如下:
上图中点击规则右边“e”图标,将出现对该规则的编辑界面,在界面最下面有“Block private networks”的选项,将勾选去掉,并保存。见下图:
至此完成了m0n0wall上的端口映射,实现外网可以访问内网指定IP上的web服务器。
3、测试
在实验主机(安装VirtualBox软件的主机)上打开浏览器,输入防火墙WAN端口的IP地址。可以访问到内网的web服务器。见图示:
上图所示说明防火墙的端口转发已经成功。