如何將舊電腦改成防火墻和路由器

     Linux是為網(wǎng)絡而生的，如果你想自己DIY一個互聯(lián)網(wǎng)設備，Linux將是不二之選，最流行的互聯(lián)網(wǎng)設備是路由器，現(xiàn)在很多家庭也擁有一臺路由器，它們將DSL或有線互聯(lián)網(wǎng)連接轉換成以太網(wǎng)或無線網(wǎng)絡，供家庭電腦使用，如果你不止一臺電腦，通過路由器共享上網(wǎng)幾乎成了不爭的事實標準。 如果你有一臺很老很老的舊電腦，也許你將其丟棄在儲物間的某個角落，現(xiàn)在早已覆上了厚厚一層灰塵，也許你曾經(jīng)將其放在二手物品交易網(wǎng)站上，但無人問津，也許你覺得這樣的電腦應該當廢品賣幾個酒錢，但今天我要告訴你的是，廢物也能重新煥發(fā)生機，不信請繼續(xù)往下看。 你可以將它配置成一個互聯(lián)網(wǎng)網(wǎng)關/路由器，但你也許馬上就會反問：“為什么不用現(xiàn)成的Modem/路由器，何苦要這么折騰呢？”，沒錯，現(xiàn)在的家用路由器已經(jīng)很便宜，任何人都能負擔得起，但我想說的是，自己DIY一臺路由器，可以獲得更多的控制權，并且可以藉此學到更多知識，這就好像一個是白盒，一個黑盒。 要實現(xiàn)這個目標，我們有兩種選擇，一種是用專用的Linux發(fā)行版，它內(nèi)置了所有需要的軟件包，直接安裝變成，另一種是完全從零開始構建整個路由器的操作系統(tǒng)，一般是使用最小化Linux安裝，再加上一些需要的軟件包。選擇發(fā)行版有許多發(fā)行版可用于構建自己的路由器和防火墻，除了Linux外，還有FreeBSD可供選擇，它們又可分為兩種類型，一種專門提供了防火墻/路由器功能，另一種提供了更復雜的互聯(lián)網(wǎng)網(wǎng)關功能，包括打印、郵件、文件和Web服務器。我們這次選擇的是IPCop 1.4.21穩(wěn)定版，如果你喜歡冒險和嘗鮮，可以試試最新的1.9版本。

　　圖 1 IPCop和其它成品路由器一樣是通過Web界面進行配置和管理的

　　至于舊電腦，達到i586的配置就可以了，也許你會感到很驚訝，586時代的電腦還有用處？其實這種配置的舊電腦可以充當一個中型網(wǎng)絡的互聯(lián)網(wǎng)網(wǎng)關。 IPCop是沒有桌面的，安裝完成后，所有操作都是通過Web管理界面完成的，因此它對電腦內(nèi)存的要求是很低的，鍵盤和顯示器也只是在安裝期間才需要，安裝完畢后就可以搬走。 對電腦唯一的要求是至少需要配備兩塊網(wǎng)卡：一塊用于本地網(wǎng)絡連接（綠色網(wǎng)絡），另一塊用于連接互聯(lián)網(wǎng)（紅色網(wǎng)絡），當然也可以是PCI DSL Modem卡，如果你使用3G網(wǎng)絡，只需要有USB端口就行了。 如果你想設立一個非軍事區(qū)（DMZ），則需要另一塊以太網(wǎng)卡，如果你想將它作為一個Wi-Fi訪問點，那么一塊無線網(wǎng)卡也是必需的，將交換機接入本地網(wǎng)絡以太網(wǎng)卡后，網(wǎng)絡中的其它電腦就可以通過該交換機訪問互聯(lián)網(wǎng)了。 注意，從IPCop光盤安裝時是沒有圖形界面的，全部是基于文本的界面，對于習慣了OpenSUSE，Ubuntu和Mandriva圖形安裝程序的人來說，也許會有點困難，其實整個安裝過程只會使用幾個鍵：使用光標鍵移動焦點，使用空格鍵選擇，使用回車鍵確認。另外，IPCop安裝程序會提醒你它要擦除整塊硬盤上的數(shù)據(jù)，它是不支持和Windows實現(xiàn)雙重啟動的，安裝過程是沒有分區(qū)那一步的，因此不必事先做好分區(qū)準備。在還原屏幕選擇“跳過”，接下來選擇用于本地網(wǎng)絡連接的以太網(wǎng)卡，雖然你可以手動選擇，但我一般還是接受安裝程序自動做出的選擇。因為路由器一般還會充當網(wǎng)絡中的DHCP服務器，因此還需要指定DHCP客戶端的IP地址范圍，如果你不知道填什么，那就看看下圖中的內(nèi)容吧。

　　圖 2 安裝期間為綠色網(wǎng)絡設置DHCP服務器

　　安裝期間最重要的選擇是網(wǎng)絡配置類型，綠色（GREEN）代表以太網(wǎng)，紅色（RED）代表Modem，如果你想創(chuàng)建DMZ或無線網(wǎng)絡，則要選擇橙色（ORANGE）或藍色（BLUE），當然這些都可以在以后再修改。

　　圖 3 安裝后通過Web管理界面重新配置綠色網(wǎng)絡DHCP服務器

　　地址配置如果你的Modem能從你ISP的DHCP服務器自動獲得DNS和網(wǎng)關服務器地址，那么在設置時就可以留空，但一般情況下，你應該為綠色和藍色網(wǎng)絡指定DHCP自動分配IP地址的范圍，我們一般喜歡從192.168.1.100開始分配，低于100的則用于靜態(tài)分配，不管如何，這里都需要啟用DHCP服務器。DNS服務器地址可以使用IPCop本機的地址，這樣IPCop就充當了DNS緩存的角色。 最后，你需要為三個用戶設置密碼，root用戶一般是不會使用的，除非你想直接登錄到路由器上，admin用戶是Web界面的操作用戶，我們一般就使用它管理和配置IPCop，backup用戶則用于備份。設置好密碼后就可以取出IPCop安裝盤，重啟電腦了。

　　圖 4 設置用戶密碼

　　啟動等電腦重啟好后，在綠色網(wǎng)絡中任一電腦上打開瀏覽器，輸入https://192.168.1.1:445，用你安裝時設置的IP地址代替這里的192.168.1.1，此外還可以使用IPCop電腦的主機名訪問，默認是ipcop（https://ipcop:445），瀏覽器可能會報告這是一個非受信任的網(wǎng)站，因為IPCop使用的是自己產(chǎn)生的證書，你只管點接受便可以了。 還記得安裝時為admin用戶設置的密碼嗎？如果沒有輸入密碼，你只能查看IPCop的主頁，點擊任何按鈕和鏈接都會蹦一個登錄對話框出來。 首先你應該選擇的第一個鏈接是“系統(tǒng)”*“更新”，因為主頁上會顯示有更新可用，點擊“下載”按鈕，關于更新的描述信息會顯示在按鈕下方，下載完畢后，點擊“現(xiàn)在應用”。 如果你看到一個“這不是一個授權的更新”的錯誤消息，你的硬件時鐘可能出了問題，多年未使用的電腦，或BIOS被重置后就經(jīng)常出現(xiàn)這種情況。點擊“服務”*“時間服務器”，手動校準時間，然后勾選“使用網(wǎng)絡時間服務器”，點擊“保存”，第一次你可能還是必須要手動設置時間，因為如果時間跳躍太大，NTP是不會自動修改系統(tǒng)時間的。 至此，你可以放心地將這臺DIY的路由器放在某個角落，只要保證它的散熱效果，其它一切你都可以遠程通過Web界面實施控制，現(xiàn)在這臺路由器提供了DHCP和DNS服務，并提供了互聯(lián)網(wǎng)訪問共享服務，下面我們開始研究它的選項。 第一站我們選擇“系統(tǒng)”*“備份”，在這里你可以創(chuàng)建一個包含所有設置的DAT文件，以便需要時可以進行回滾，在開始嘗試一些操作前就應該執(zhí)行一次備份，如果你愿意，還可以點擊“導出”按鈕將文件備份到移動硬盤或U盤中。功能探索IPCop提供許多默認沒有啟用的服務，其中有些服務是值得研究和開啟的，如位于“服務”菜單中的Web代理，時間服務器，動態(tài)DNS服務，集成Snort的入侵檢測和流量整形，最有用的還是對帶寬的限制，你不用再擔心有人下載最新的Ubuntu ISO鏡像，影響到你訪問Fedora論壇的速度。可以將端口25、110、143優(yōu)先級設置為“高”，80和443端口優(yōu)先級設置為“中”，F(xiàn)TP端口（21）和BitTorrent端口（6881-6999）優(yōu)先級設為“低”，這樣可以確保電子郵件無論在何時都能順利收發(fā)，而下載則被限制甚至被阻止。

　　圖 5 限制上傳/下載速度，配置流量整形

　　你可以在安裝后再添加一個網(wǎng)絡，但在Web界面中你會發(fā)現(xiàn)沒有與之相關的選項，只能在命令行下解決，如果直接在IPCop服務器上添加，你還得接上鍵盤和顯示器，如果通過遠程，可以選擇SSH，但需要先在“系統(tǒng)”菜單下啟用SSH，使用ssh -p 222 root@ipcop命令進行連接，然后運行setup，獲得一個類似于安裝程序的GUI，你可以通過它修改安裝時做的一些配置，進入“網(wǎng)絡”*“修改網(wǎng)絡類型”，選擇“綠色+橙色+紅色”添加一個DMZ，或為無線選擇“藍色”，不管哪種方式，電腦上必須安裝了合適了網(wǎng)卡。 進入“驅(qū)動和網(wǎng)卡分配”，為新網(wǎng)絡選擇一個網(wǎng)卡，然后使用“地址設置”為新網(wǎng)絡接口分配一個IP地址，但必須是不同的子網(wǎng)，如果你為綠色網(wǎng)絡使用192.168.1.1，那最好為橙色網(wǎng)絡使用192.168.2.1。設置完畢后，為安全起見，關閉SSH連接。設置DMZ現(xiàn)在你已經(jīng)創(chuàng)建了DMZ，下面開始設置它，在橙色網(wǎng)絡上沒有DHCP服務器，任何新增計算機都必須指定靜態(tài)地址，如果你要提供外部訪問，這是一件好事，因為你需要將通信轉發(fā)到一個特定的地址。 為了訪問IP為192.168.2.2的Web服務器，第一步是設置端口轉發(fā)，其做法和標準Modem/路由器上的方法一樣，只是這里我們要轉發(fā)的目標是位于DMZ區(qū)里的服務器。

　　圖 6 IPCop網(wǎng)絡架構，橙色（Orange）是DMZ

　　轉到“防火墻”*“端口轉發(fā)”頁面，“源IP”通常留空，即所有外部地址均可訪問，如果你想限制訪問來源，你可以設置一個特定的IP地址，也可以設定一個地址范圍。 設置源和目標端口為80（HTTP），目標IP為192.168.2.2，點擊“增加”可在下方的列表中看到顯示的規(guī)則，接著點擊“重置”，重復為443端口做同樣的設置。 至此，你的Web服務器就能從互聯(lián)網(wǎng)訪問了，當然也可以直接從你的LAN（綠色為了）訪問，但它不能反向訪問你的綠色網(wǎng)絡，因此，即使服務器或它上面運行的PHP代碼存在漏洞，受影響的也只有它本身，不會影響到綠色網(wǎng)絡的計算機。針孔通道有時，你的Web服務器需要和位于綠色網(wǎng)絡的機器通信，如發(fā)送MySQL表的一個備份。IPCop有一個功能叫做DMZ Pinhole（針孔），它為橙色網(wǎng)絡中的某臺計算機提供了對綠色網(wǎng)絡中某計算機端口有限制的訪問，轉到“防火墻”*“DMZ Pinhole”進行設置，但最好在需要時才設置這個“針孔通道”，因為它對DMZ提供的安全性產(chǎn)生了一定的破壞。 IPCop的功能還有很多，遠不止我談到的這些，正所謂師父領進門修行在個人，建議你把IPCop Web管理界面的每個頁面都研究透，不懂的地方多去IPCop網(wǎng)站或查閱相關文檔。 怎么樣？看完本文后，你是否有種沖動，想把淘汰下來的舊電腦裝扮成一臺靈活，功能豐富，性能強勁的防火墻/路由器呢？不要猶豫，動手吧！