当前位置：文档之家› m0n0wall_中文手册[简体中文]

m0n0wall_中文手册[简体中文]

第一章介绍

1.1. 什么是m0n0wall

m0n0wall 是一个完整的、嵌入式的防火墙套装软件，该套装软件可以安装于嵌入式PC里，提供所有商业防火墙的重要特性（包括易用性），而且价格只有商业防火墙几分之一（自由软件）。m0n0wall 是基于bare-bones version of FreeBSD，包括一个WEB服务器，PHP和另一些工具软件。整个系统的配置保存在一个XML文件当中。m0n0wall可能是第一个启动时透过PHP配置的UNIX系统，这种架构胜于使用shell脚本。并且整个系统的配置用XML格式保存。

1.2.m0n0wall的局限

m0n0wall是防火墙，并且防火墙的目的是提供安全。功能被增加的越多，这些额外的功能的脆弱将损害防火墙安全的机会越大。因此 m0n0wall编写者认为m0n0wall不包含在第3层和第4层防火墙的基础服务外的任何功能。因为m0n0wall是嵌入式的防火墙面向嵌入设备有限的CPU 资源和内存资源。并为适应低端设备的CPU和内存的局限，以及Flash内存等原素的限制。最后，为了限制image文件的大小取消了这些额外的功能。

●我们认为以下的这些服务应该在另一台服务器上运转，所以m0n0wall不包含这些部分︰

●入侵察觉/ 预防系统

●代理服务

●除了第3层和第4层以外其它任何层的包检查

●WEB服务

●FTP服务

●网络时间服务

●日志文件分析

不支持Telnet或SSH程序。

1.3.历史

Manuel Kasper, m0n0wall的作者，说︰

从我开始在嵌入式PC上摆弄包过滤器，我就想有一个漂亮的基于web图形界面的控制单元来控制所有的防火墙功能，而不是透过键入单个的命令。在互联网上有很多漂亮的带有WEB界面的防火墙包（大部分是基于Linux的），但是没有一个符合我要求的（自由，快速，简单，干净以及我需要的所有特性）。所以，我终于开始写属于自己的WEB图形界面。但是，我决不是想建立一个webmin的翻版----我想建立一个完整的、新的嵌入式防火墙套装软件。它的所有将被发展为一个接上电源的盒子，可以透过串口设置LAN IP地址，登录进WEB界面设置它。然后我决定我不能像平常的启动系统那样透过SHELL脚本配置系统（由于它几乎不可能用SHELL脚本完成，所以我已经写了一个C程序产生过滤器规则），并且自从我使用了基于PHP的WEB界面，不长时间我就发现还是使用PHP来配置系统的好。这种方法，配置数据将不再必须被存储在那些被SHELL脚本解析的文本文件里面----它现下被存储在一个XML文件里。所以我又完全重写了整个系统，除了相当多的“引擎罩底下的东西”外，看上去感觉没有什么改变。

m0n0wall的第一个beta版在2003年2月15日发布。第1.0 版本在一年以后的2004年2月15日发布。在那两个之间发布了26个beta版，平均每两周发布一个。在m0n0wall 网站可以查阅每个版本的变化。

https://www.doczj.com/doc/e09212887.html,

1.4.特征

●m0n0wall提供的大多数商业防火墙的特征，和在商业防火墙内不具备的特征，包括︰

●WEB图形界面控制单元(支持SSL)

●用于恢复系统的串口界面

●设定LAN IP地址

●重置密码

●恢复初始默认设置

●重启系统

●无线支持（access point with PRISM-II/2.5/3 cards, BSS/IBSS with other cards

including Cisco）基于状态的包过滤

●block/pass 规则

●日志

●NAT/PAT (包括 1:1)

●在WAN口上支持DHCP 客户、PPPoE、PPTP 和Telstra BigPond Cable

●IPsec VPN 隧道（IKE; 支持硬件加密卡，移动客户和证书）

●PPTP VPN （支持RADIUS 服务器）

●静态路由

●DHCP服务器与中继

●缓存DNS 转向器

●动态DNS客户端与 RFC 2136 DNS更新器

●SNMP代理

●流量整形（带宽限制）

●基于SVG的流量图

●可以透过WEB界面进行固件升级

●唤醒LAN客户

●配置文件备份/恢复

主机/网络别名

1.4.1.组成部分

●m0n0wall包含下列内容︰

●所有FreeBSD要求的组件（内核、应用程序）

●ipfilter

●PHP (CGI 版本)

●mini_httpd

●MPD

●ISC DHCP 服务器

●ez-ipupdate (for DynDNS updates)

●Dnsmasq (for the caching DNS forwarder)

●racoon (for IPsec IKE)

●UCD-SNMP

●choparp

BPALogin

1.4.

2.说明

当前的m0n0wall系统可以存放在不小于6M 的CF卡（或者CD-ROM）上。

在net4501平台上，当运行默认配置的时候，包含NAT在内， m0n0wall提供大约17 Mbps的 WAN <-> LAN TCP 吞吐量。在更快的平台上（类似于net4801或者WRAP），吞吐量可能超过50Mbp（在更新的标准PC上 > 100 Mbps）。

在net4501平台上, m0n0wall从上电启动到完全可以工作的时间小于 40 秒，这其中包含POST (适当的BIOS配置）

1.5.软件版权和许可

Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met:

1. Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer.

2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution.

THIS SOFTWARE IS PROVIDED "AS IS'' AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE AUTHOR BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO,

PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.

1.5.1.其它套装软件

m0n0wall是在各种免费套装软件的基础上开发的，在下面列举。m0n0wall的作者想因他们的努力而感谢这些套装软件的作者。

FreeBSD (https://www.doczj.com/doc/e09212887.html,) Copyright ? 1994-2003 FreeBSD, Inc. All rights

reserved.

ipfilter (http://www.ipfilte https://www.doczj.com/doc/e09212887.html,) Copyright ? 1993-2002 by Darren Reed.

ez-ipupdate (http://www.gusnet.cx/proj/ez-ipupdate) Copyright ? 1998-2001 Angus Mackay.

Circular log support for FreeBSD syslogd (https://www.doczj.com/doc/e09212887.html,/syslogd) Copyright ? 2001 Jeff Wheelhouse (jdw@https://www.doczj.com/doc/e09212887.html,)

Dnsmasq - a DNS forwarder for NAT firewalls (https://www.doczj.com/doc/e09212887.html,) Copyright ? 2000-2003 Simon Kelley

before version pb23: watchdogd (watchdog) Copyright ? 2002-2003 Dirk-Willem van Gulik.

UCD-SNMP (https://www.doczj.com/doc/e09212887.html,/ucd-snmp) Copyright ? 1989, 1991, 1992 by Carnegie Mellon University. Copyright ? 1996, 1998-2000 The Regents of the University of

California. All rights reserved. Copyright ? 2001-2002, Network Associates Technology, Inc. All righ ts reserved. Portions of this code are copyright ? 2001-2002, Cambridge Broadband Ltd. All rights reserved.

choparp (https://www.doczj.com/doc/e09212887.html,) Copyright ? 1997 Takamichi Tateoka

(tree@mma.club.uec.ac.jp) Copyright ? 2002 Thomas Quinot (thomas@https://www.doczj.com/doc/e09212887.html,)

1.6.协助人员

1.6.1.代码

Manuel Kasper编写m0n0wall。

下列人员为编写m0n0wall做出贡献︰

Bob Zoller (bob at kludgebox dot com): Diagnostics: Ping function; WLAN channel auto-select; DNS forwarder

Michael Mee (m0n0wall at mikemee dot com): Timezone and NTP client support

Magne Andreassen (magne dot andreassen at bluezone dot no): Remote syslog'ing; some code bits for DHCP server on optional interfaces

Rob Whyte (rob at g-labs dot com): Idea/code bits for encrypted webGUI passwords;

minimalized SNMP agent

Petr Verner (verner at ipps dot cz): Advanced outbound NAT: destination selection

Bruce A. Mah (bmah at acm dot org): Filtering bridge patches

Jim McBeath (monowall at j dot jimmc dot org): Filter rule patches (ordering, block/pass, disabled); better status page; webGUI assign network ports page

Chris Olive (chris at technologEase dot com): enhanced "execute command" page

Pauline Middelink (middelink at polyware dot nl): DHCP client: send hostname patch

Bj?rn P?lsson (bjorn at networksab dot com): DHCP lease list page

Peter Allgeyer (allgeyer at web dot de): "reject" type filter rules

Thierry Lechat (dev at lechat dot org): SVG-based traffic grapher

Steven Honson (steven at honson dot org): per-user IP address assignments for PPTP VPN

Kurt Inge Sm?dal (kurt at emsp dot no): NAT on opti onal interfaces

Dinesh Nair (dinesh at alphaque dot com): captive portal: pass-through MAC/IP addresses, RADIUS authentication HTTP server concurrency limit

Justin Ellison (justin at techadvise dot com): traffic shaper TOS matching; magic shaper;

DHCP deny unknown clients; IPsec user FQDNs

Fred Wright (fw at well dot com): ipfilter window scaling fix; ipnat ICMP checksum adjustment fix

1.6.

2.文档编制

Manuel Kasper编写m0n0wall。

下列人员为m0n0wall技术资料做出贡献︰

Chris Buechler (m0n0wall at https://www.doczj.com/doc/e09212887.html,): Editor, numerous contributions throughout.

Jim McBeath (monowall at j dot jimmc dot org): Users Guide outline, editing

Rudi van Drunen (r.van.drunen at xs4all dot nl) with thanks to Manuel Kasper, Edwin Kremer, PicoBSD, Matt Simerson and John Voight: m0n0wall Hackers Guide, used as the basis for the Development chapter.

Francisco Artes (falcor at https://www.doczj.com/doc/e09212887.html,): IPsec and PPTP chapters.

Fred Wright (fw at well dot com): Suggestions and review.

Axel Eble (axel+m0n0-0001 at balrog dot de): Help with the wiki, ddclient howto

contribution.

Brian Zushi (brian at ricerage dot org): Linux CD burning instructions, documentation review and suggestions.

Dino Bijedic (dino.bijedic at eracom-tech dot com): Sonicwall example VPN contribution.

第二章硬件兼容性

2.1.支持硬件架构

m0n0wall 只支持x86架构。支持x86标准PC和基于x86多种嵌入的设备。

m0n0wall不支持non-x86设备，（MIPS-based Linksys设备, ARM-based D-Link设备等等）。具体可以参阅FreeBSD 4.XX的硬件支持列表。因此m0n0wall 唯一支持的平台是x86。

2.2.支持标准基于PC 的硬件

m0n0wall 支持至少两个网络界面的任何标准x86 PC机上营运。

2.2.1.最小要求

486CPU－任何486或更高的CPU可以满足m0n0wall。更高的CPU将会提升你的因特网连接带宽和更多的连接数量。对大多数部署来说，486或者奔腾处理器是足够的。

64 M内存－64 M内存是最低配置。 m0n0wall的光盘版可以使用32 MB内存工作。使用CompactFlash 或HD m0n0wall的版本必须使用64 MB内存，这是因为m0n0wall要完全在内存中营运。

2.2.2.推荐系统BIOS设置

m0n0wall的一些BIOS正确设置

Plug and Play OS

BIOS中的“ Plug and Play OS”或相似的设置。调整到“ON”或者“En”。

关闭多余的设备

m0n0wall只需要基本的设备，为了减少冲突和稳定，建议你关闭多余的设备。（如声卡、并行端口等）

2.2.

3.存储体

m0n0wall 营运在CF卡、硬盘或CD＋软驱（存储配置文件）。

CF卡︰

至少需要一张8 MB CompactFlash 卡。

硬盘︰

IDE or SCSI硬盘。

CD/软驱︰

IDE or SCSI CD-ROM或DVD、一个1.44 MB软驱和用MS-DOS格式化的空白的软盘。

Zip盘

从1.2b 3开始，m0n0wall硬盘版可以在Zip盘营运。和硬盘使用相同方法。

2.3.嵌入设备支持

m0n0wall可以在如下的嵌入x86机器营运。

2.3.1.Soekris系统

m0n0wal可以兼容全部Soekris 设备。对于net4501和其它45xx 型号，使用net45xx image。对于net4801，使用net48xx image。

●规格

●net4501-30: 133 Mhz CPU, 64 Mbyte SDRAM, 3 Ethernet, 2 Serial, CF socket, 1 Mini-PCI

socket, 3.3V PCI connector.

●net4511-30: 100 Mhz CPU, 64 Mbyte SDRAM, 2 Ethernet, 1 Serial, CF socket, 1 Mini-PCI

socket, Single PC-Card socket, PoE.

●net4521-30: 133 Mhz CPU, 64 Mbyte SDRAM, 2 Ethernet, 1 Serial, CF socket, 1 Mini-PCI

socket, Dual PC-Card socket, PoE.

●net4526-20: 100 Mhz CPU, 32 Mbyte SDRAM, 1 Ethernet, 1 Serial, 16 Mbyte CF Flash,

2 Mini-PCI sockets, PoE.

●net4526-30: 133 Mhz CPU, 64 Mbyte SDRAM, 1 Ethernet, 1 Serial, 64 Mbyte CF Flash,

2 Mini-PCI sockets, PoE.

net4801-50: 266 Mhz CPU, 128 Mbyte SDRAM, 3 Ethernet, 2 serial, USB connector, CF socket, 44 pins IDE connector, 1 Mini-PCI socket, 3.3V PCI connector.

2.3.2. PC Engines WRAP

Wireless Router Application Platform (WRAP)

m0n0wall 兼容PC Engines WRAP 模块。使用下载页的WRAP images。

2.3.3. Nokia IPxxx boxes

m0n0wall兼容Nokia IPxxx boxes。

●IP110，120 和130规格

●Three 10/100 Ethernet interfaces

●National GX1 300 MHz processor

●64 MB RAM on 110, 128 MB on 120, 256 MB on 130

● 5 GB hard drive

●Two serial ports (auxiliary and console)

IP330，440，530，650，740

m0n0wall不支持这些设备HSSI, T-1 CSU/DSU, V.35 and X.21 serial, OC-3 ATM, FDDI,等协议或界面但Ethernet可以很好的工作。

注意

m0n0wall在一些诺基亚硬件，NIC的MAC地址是ff︰ff︰ff︰ff︰ff︰ff︰。详细参见

https://www.doczj.com/doc/e09212887.html,/m0n0wall/nokia/ip110.html。

2.3.4.NexCom NexGate Appliances

m0n0wall兼容所有的NexCom NexGate Appliances 设备。

2.4.虚拟机

m0n0wall可以很好的营运在大多数虚拟机下，象VMware Workstation 、GSX 、ESX 和Microsoft Virtual PC和虚拟服务器。我们不建议在任何类virtualization下安装防火墙。可以使用Chris Buechler 配置的m0n0wall VMware images。

2.5.硬件性能

因为网络环境不同，为部署m0n0wall选择精确的硬件配置是很难的。如下的硬件选择可能为你的部署提供一些指导。选择硬件配置应提升一些可扩展空间。

2.5.1.嵌入设备

如下内容可粗略的用于嵌入平台环境。

2.5.1.1.Soekris 45xx

Soekris 45xx可以提供10 Mbps的因特网连接。如果使用IPsec VPN ，能支持Ipsec 3 Mbps流量。如果利用DMZ或两个网段。45xx 最大可以支持17 Mbps流量。

2.5.1.2.Soekris 48xx

Soekris 48xx可以提供30 Mbps的因特网连接。如果使用IPsec VPN，能满足使用。如果利用DMZ或两个网段。48xx 最大可以支持40 Mbps流量。

2.5.1.

3. WRAP

WRAP可以提供30 Mbps的因特网连接。如果使用IPsec VPN，48xx能满足使用。如果利用DMZ或两个网段。最大可以支持40 Mbps流量。

2.5.2.网卡

注意

这只适用基于PC的装置

网卡（NIC）的选择对于网络是非常重要的性能原素。便宜的网卡将使CPU忙于中断处理，引起CPU性能下降。高品性网卡能增加网络最大的流量多达2 到3 倍。

FreeBSD网卡的名字是以他们的界面命名。例如，如果你有两个Intel Pro/100 网卡(fxp driver) 和一个3Com 3C905 网卡(xl driver)，他们分别是fxp0,fxp1,和xl0。

Intel Pro/100和Pro/1000网卡在m0n0wall上有着非常好的的表现。对低的流量环境，宽带连接是6 Mbps或更少来说，任何网卡都可以满足。但在多个局域网的界面之间(超过30-40 Mbps)，或在DMZ 和局域网之间，需要使用高品性网卡。

2.5.

3.处理器

CPU一般是系统的瓶颈。便宜网卡的网络流量将取决于CPU的性能。因此网卡的质量要比CPU的性能更为重要。

如果使用Intel的网卡，奔腾将提供30-40 Mbps，奔腾III将提供100 Mbps，对于千兆网将需要2.8 + GHz奔腾4。

2.5.4.RAM

m0n0wall images将不会使用超过64 MB内存。即使使用全部模块和重负荷的情况下，也不会耗尽64 MB内存。

2.5.5.存储体

m0n0wall可以工作在任何大于8 MB硬盘或CF卡上。在启动时， m0n0wall被装进内存并在内

存RAM中营运，因此存储体的速度和类型不是系统性能方面的原素。

CF卡引导的时间要比硬盘稍长，但是启动时间不是重要的性能原素。因为与硬盘相比较，CF卡的稳

定和寿命是最可靠的。

2.5.6.高流量环境

在高流量的多界面网络环境中，特别是千兆界面，PCI总线的速度一定要考虑到。当使用多个界面时，PCI总线的带宽能容易成为瓶颈。PCI总线的带宽是133 MBps只能满足一个千兆界面的流量。 PCI-X 总线的带宽是1056 MBps。因此如果需要支持千兆位的流量，必须要有PCI-X插槽和PCI-X NIC的服务器种类主板。

2.6.无线网络

在m0n0wall使用无线网卡时，应先阅读FAQ。

一些无线网卡很难被m0n0wall驱动。

2.6.1.不支持网卡

目前m0n0wall不支持全部的 g, b/g, 和 a/b/g无线网卡。在m0n0wall的更新版本他们将被支持。

2.6.2. 支持网卡

下列设备，就我们所知100%的支持。

●并非全部无线网卡都支持hostap 模式﹗（能起access point的作用）这是硬件自身的限

制，如果此表没有标明“no hostap”，它会支持hostap。

●3COM 3crwe737A AirConnect Wireless LAN PC Card

●Cisco Systems Aironet 340 - no hostap

●Cisco Systems Aironet 350 - no hostap

●Compaq WL100

●Compaq WL110

●D-Link DWL-520 - NOT DWL-520+ as it uses a different, unsupported, chipset.

●D-Link DWL-650 - Revisions A1-J3 ONLY. K1, L1, M, and P revisions not supported.

●Dell TrueMobile 1150 Series - no hostap

●Intel PRO/Wireless 2011 LAN PC Card

●Linksys Instant Wireless WPC11

●Netgear MA311

●Netgear MA401

●SMC 2632W PC Card

●SMC 2602W PCI

●US Robotics Wireless Card 2410

NL-2511CD

●miniPCI

●2511MP

Dell TrueMobile 1150 Series

2.6.

3.不确定网卡

注意

●下来一些不支持hostap。这些网卡可以透过Google或FreeBSD搜寻网卡的驱动，如果它的

驱动是“无线”便可以正常工作。但不一定支持hostap。

●Accton airDirect WN3301

●Addtron AWA100

●Adtec ADLINK340APC

●Aironet 4500/4800 series (PCMCIA, PCI, and ISA adapters are all supported)

●Airway 802.11 Adapter

●Avaya Wireless PC Card

●BayStack 650 and 660

●Blue Concentric Circle CF Wireless LAN Model WL-379F

●BreezeNET PC-DS.11

●Buffalo WLI-CF-S11G

●Cabletron RoamAbout 802.11 DS

●Corega KK Wireless LAN PCC-11, PCCA-11, PCCB-11

●ELECOM Air@Hawk/LD-WL11/PCC

●ELSA AirLancer MC-11

●Farallon Skyline 11Mbps Wireless

●Farallon SkyLINE Wireless

●ICOM SL-1100

●Icom SL-200

●IBM High Rate Wireless LAN PC Card

●IO Data WN-B11/PCM

●Laneed Wireless card

●Lucent Technologies WaveLAN/IEEE 802.11 PCMCIA and ISA standard speed (2Mbps) and

turbo speed (6Mbps) wireless network adapters and workalikes

●Lucent WaveLAN/IEEE 802.11

●Melco Airconnect WLI-PCM-S11, WLI-PCM-L11

●Melco WLI-PCM

●NCR WaveLAN/IEEE 802.11

●NEC Wireless Card CMZ-RT-WP

●NEC Aterm WL11C (PC-WL/11C)

●NEC PK-WL001

●NEL SSMagic

●Netwave AirSurfer Plus and AirSurfer Pro

●PLANEX GeoWave/GW-NS110

●Proxim Harmony, RangeLAN-DS

●Raytheon Raylink PC Card

●Sony PCWA-C100

●TDK LAK-CD011WL

●Toshiba Wireless LAN Card

●Webgear Aviator

●Webgear Aviator Pro

●Xircom Wireless Ethernet adapter (rebadged Aironet)

ZoomAir 4000

2.7.以太网卡

m0n0wall支持大多数网卡。但是一些高品性网卡更可靠速度更快。例如Realtek芯片组使CPU忙于中断处理，降低系统性能。高品性网卡在高流量量环境方面极其重要。

2.7.1.支持

我们推荐使用兼容性目录内的网卡，没有在兼容性目录内的网卡可以试一试。值得注意的例外是一些新的千兆网卡，应使用与FreeBSD兼容的驱动。其它问题可以在FreeBSD4.11支持网卡的目录查询。

2.7.2. ISA网卡

m0n0wall支持大多数的ISA网卡，但ISA网卡非常难于调试。需要注意的是ISA网卡plug and play 问题，主要是IRQ问题。需要改变系统bios里的一些设置和ISA网卡的设置，解决冲突问题。

第三章安装

3.1.系统要求

m0n0wall 是基于x86嵌入式的防火墙软件。支持net45xx/net48xx、Soekris Engineering、WRAP 和PC平台。

m0n0wall可以在标准PC上营运，可以generic-pc image写到IDE硬盘或CF卡中，或使用CD-ROM +软盘版本。因为m0n0wall基于FreeBSD 4，m0n0wall硬件兼容与FreeBSD相同。可以查询FreeBSD/i386 Hardware Notes支持硬件表。

m0n0wall推荐使用内存是64 MB。64 MB内存可以满足全部模块和重负荷营运。

3.2.得到软件

There are ready-made binary images for the

net45xx/net48xx、Soekris Engineering、Wireless Router Application Platform (WRAP)、PC Engines需要专用的ready-made binary images, 标准PC可以使用CF/IDE HD image 或CD-ROM (ISO) image 。.

可以到http://www.m0n0.ch/wall/downloads.php选择下载合适的文件，并写入CD -R或CF/IDE HD。

3.3.安装软件

m0n0wall需要可以引导的CD image或CF卡或IDE硬盘营运。在下载合适的image文件之后，准备CD或CF。

3.3.1.准备bootable CD

使用CD-ROM +软盘营运m0n0wall。m0n0wall 将从CD引导在内存中营运。软盘储存m0n0wall 配置。

下载ISO image。

刻录ISO image到CD -R(或RW)︰

1. FreeBSD (ATAPI recorder)︰

burncd -s max -e data cdrom-xxx.iso fixate

2.Linux (ATAPI w/ SCSI emulation)︰

首先，确定刻录机设备的SCSI ID/LUN︰

linuxbox# cdrecord --scanbus

Linux sg driver version: 3.1.25

Using libscg version 'schily-0.8'.

scsibus0:

0,0,0 100) 'LITE-ON ' 'COMBO LTC-48161H' 'KH0F' Removable CD-ROM

注意︰刻录文件的例子SCSI ID/LUN是0，0，0。（用你的刻录机的速度替换< max speed >)︰

cdrecord --dev=0,0,0 --speed= cdrom-xxx.iso

3.Windows︰

使用刻录软件刻录CD image (2048 bytes/sector, Mode-1)

用MS-DOS系统格式化标准1.44 MB 软盘。

1.FreeBSD︰

fdformat -f 1440 /dev/fd0 && newfs_msdos -L "m0n0wallcfg" -f 1440 /dev/fd0

注意︰软盘已经是低级格式化的。

2.Windows︰

format A:

必须使PC从CD-ROM引导m0n0wall而不从软盘引导。

3.3.2.准备CF卡或IDE硬盘

使用CF卡作为主要磁盘营运m0n0wall，例如Soekris boxes。或使用IDE硬盘的标准PC机。m0n0wall 将从CF卡或磁盘引导在内存中营运。除了改变并且保留配置的时候，m0n0wall不对CF卡或磁盘进行操作。

下载CF/IDE image。

把CF/IDE image写到足够大的CF卡或硬盘（至少5 MB）。额外的空间被空置。

1.FreeBSD︰

gzcat net45xx-xxx.img | dd of=/dev/rad[n] bs=16k

n = CF卡或IDE硬盘设备号。（check dmesg）

忽略关于trailing garbage的警告－是数字化签名警告。

2.Linux︰

gunzip -c net45xx-xxx.img | dd of=/dev/hdX bs=16k

X = CF卡或IDE硬盘（check with hdparm -i /dev/hdX）IDE设备名字，特别是USB设备。 - 一些改编者，特别是USB，SCSI出现/dev/sdX设备名字。

忽略关于trailing garbage的警告－是数字化签名警告。

3.Windows︰

physdiskwrite [-u]net45xx-xxx.img

可以从m0n0wall physdiskwrite 页网站中获得的physdiskwrite v0.3或更高版本的程序。如果硬盘>800M，使用“-u”命令（没有方括号）。然后选择硬盘 !

physdiskwrite v0.5 by Manuel Kasper

Searching for physical drives...

Information for \\.\PhysicalDrive0:

Windows: cyl: 14593

tpc: 255

spt: 63

C/H/S: 16383/16/63

Model: ST3120026A

Serial number: 3JT1V2FS

Firmware rev.: 3.06

注意︰加载CF卡或硬盘，再营运physdiskwrite。选择正确的硬盘，否则将破坏其它硬盘的数据。

3.3.3.安装的其它的方法

欲了解安装m0n0wall的其它的方法，参见其它文檔的安装部分。

3.4.引导m0n0wall

第一次启动m0n0wall系统，必须配置系统。配置完成后，m0n0wall将自动按照配置营运。

●第一次引导m0n0wall系统︰

●插入根据上面的指令准备的m0n0wall CD、CF或硬盘。 CD系统要插入格式化好的空白软盘，

用来保存配置文件。

●从CD、CF或硬盘引导系统。需要进入系统完成配置。

●系统必须连接操纵台。在PC连接键盘和监视器。在Soekris box连接串行操纵台、透过终

端或使用串行电缆连接计算器的终端仿真器。

●在Soekris box或WRAP board上，在BIOS设定连接速度是9600 bps。（set ConSpeed=9600

for Soekris boxes）

●连结系统和网络。

●引导系统和等操纵台菜单出现。透过下列文文件描述指定网络界面参数。

透过下列文檔描述使用webGUI 完成你的m0n0wall系统的配置。并保存配置文件引导m0n0wall 将自动营运。

注意︰

一些Soekris net45xx有一个缺陷，有时一个设置被连续两次操作时，会出现错误。这个缺陷在升级Soekris BIOS得到解决（version 1.15a or later）。

在完成配置后，不需要重新启动m0n0wall即可生效。

第4章配置

m0n0wal系统第一次启动时使用默认配置，定义第一块网卡为LAN。LAN的IP地址是192.168.1.1，默认m0n0wal为192.168.1.X 的DHCP服务器。连接局域网到m0n0wall的LAN口，然后一台局域网机器（IP=192.168.1.X或自动分发）上使用Web浏览器连接https︰//192.168.1.1︰80（Web server 在m0n0wall box）。此后，象下面描述的那样使用webGUI界面做剩下的配置。也可以在m0n0wal系统第一次启动时使用系统操纵台菜单配置LAN口参数，此后使用webGUI界面做剩下的配置。或在

m0n0wal系统第一次使用默认配置启动后使用webGUI配置LAN口参数。

4.1.操纵台菜单

启动时，显示BIOS讯息FreeBSD引导消息后，m0n0wall不显示登陆讯息，在操纵台上显示m0n0wall

简单的配置菜单。

图4－1

使用操纵台菜单，可以分发每个网卡的功能︰LAN、 WAN或DMZ、无线网等功能。在这里只需要分发适合于你的网络LAN口，其余的可以在webGUI里更为方便的配置。

4.2.Web GUI

为了管理m0n0wall配置，m0n0wall包含了标准的80端口Web服务器，透过Web浏览器连接。连接m0n0wall Web服务器时，要求输入一个用户名和密码。用户名是admin，默认密码是mono。为了安全，在General Setup菜单里改变密码。

m0n0wall默认的配置可以满足基本需求。如果需要修改配置，可以透过菜单找到想要改变的选项如下所述进行修改。在改变和保存配置之前或之后，应当透过网络在其它微机中备份你的配置文件。

进入webGUI管理页面时。屏幕左边是系统功能菜单。屏幕右边的设置选项依据系统不同的硬件配置有不同的选项。在以后的章节里介绍如何使用这些选项。

注意

在以后章节的介绍是通用性的，你的设置取决于你的系统特性。

4.3.系统管理页面

4.3.1.基本设置

基本设置页面允许设置防火墙的一些设置参数。

图4－2

表 4.1. 基本设置参数4.3.2.静态路由