【51CTO.COM 精彩翻译】Linux是为网络而生的,如果你想自己DIY一个互联网设备,Linux将是不二之选,最流行的互联网设备是路由器,现在很多家庭也拥有一台路由器,它们将DSL或有线互联网连接转换成以太网或无线网络,供家庭电脑使用,如果你不止一台电脑,通过路由器共享上网几乎成了不争的事实标准。
如果你有一台很老很老的旧电脑,也许你将其丢弃在储物间的某个角落,现在早已覆上了厚厚一层灰尘,也许你曾经将其放在二手物品交易网站上,但无人问津,也许你觉得这样的电脑应该当废品卖几个酒钱,但今天我要告诉你的是,废物也能重新焕发生机,不信请继续往下看。
你可以将它配置成一个互联网网关/路由器,但你也许马上就会反问:“为什么不用现成的Modem/路由器,何苦要这么折腾呢?”,没错,现在的家用路由器已经很便宜,任何人都能负担得起,但我想说的是,自己DIY一台路由器,可以获得更多的控制权,并且可以藉此学到更多知识,这就好像一个是白盒,一个黑盒。
要实现这个目标,我们有两种选择,一种是用专用的Linux发行版,它内置了所有需要的软件包,直接安装变成,另一种是完全从零开始构建整个路由器的操作系统,一般是使用最小化Linux安装,再加上一些需要的软件包。
选择发行版
有许多发行版可用于构建自己的路由器和防火墙,除了Linux外,还有FreeBSD可供选择,它们又可分为两种类型,一种专门提供了防火墙/路由器功能,另一种提供了更复杂的互联网网关功能,包括打印、邮件、文件和Web服务器。我们这次选择的是IPCop 1.4.21稳定版,如果你喜欢冒险和尝鲜,可以试试最新的1.9版本。
图 1 IPCop和其它成品路由器一样是通过Web界面进行配置和管理的
至于旧电脑,达到i586的配置就可以了,也许你会感到很惊讶,586时代的电脑还有用处?其实这种配置的旧电脑可以充当一个中型网络的互联网网关。
IPCop是没有桌面的,安装完成后,所有操作都是通过Web管理界面完成的,因此它对电脑内存的要求是很低的,键盘和显示器也只是在安装期间才需要,安装完毕后就可以搬走。
对电脑唯一的要求是至少需要配备两块网卡:一块用于本地网络连接(绿色网络),另一块用于连接互联网(红色网络),当然也可以是PCI DSL Modem卡,如果你使用3G网络,只需要有USB端口就行了。
如果你想设立一个非军事区(DMZ),则需要另一块以太网卡,如果你想将它作为一个Wi-Fi访问点,那么一块无线网卡也是必需的,将交换机接入本地网络以太网卡后,网络中的其它电脑就可以通过该交换机访问互联网了。
注意,从IPCop光盘安装时是没有图形界面的,全部是基于文本的界面,对于习惯了OpenSUSE,Ubuntu和Mandriva图形安装程序的人来说,也许会有点困难,其实整个安装过程只会使用几个键:使用光标键移动焦点,使用空格键选择,使用回车键确认。另外,IPCop安装程序会提醒你它要擦除整块硬盘上的数据,它是不支持和Windows实现双重启动的,安装过程是没有分区那一步的,因此不必事先做好分区准备。在还原屏幕选择“跳过”,接下来选择用于本地网络连接的以太网卡,虽然你可以手动选择,但我一般还是接受安装程序自动做出的选择。因为路由器一般还会充当网络中的DHCP服务器,因此还需要指定DHCP客户端的IP地址范围,如果你不知道填什么,那就看看下图中的内容吧。
图 2 安装期间为绿色网络设置DHCP服务器
安装期间最重要的选择是网络配置类型,绿色(GREEN)代表以太网,红色(RED)代表Modem,如果你想创建DMZ或无线网络,则要选择橙色(ORANGE)或蓝色(BLUE),当然这些都可以在以后再修改。#p#
图 3 安装后通过Web管理界面重新配置绿色网络DHCP服务器
地址配置
如果你的Modem能从你ISP的DHCP服务器自动获得DNS和网关服务器地址,那么在设置时就可以留空,但一般情况下,你应该为绿色和蓝色网络指定DHCP自动分配IP地址的范围,我们一般喜欢从192.168.1.100开始分配,低于100的则用于静态分配,不管如何,这里都需要启用DHCP服务器。DNS服务器地址可以使用IPCop本机的地址,这样IPCop就充当了DNS缓存的角色。
最后,你需要为三个用户设置密码,root用户一般是不会使用的,除非你想直接登录到路由器上,admin用户是Web界面的操作用户,我们一般就使用它管理和配置IPCop,backup用户则用于备份。设置好密码后就可以取出IPCop安装盘,重启电脑了。
图 4 设置用户密码
启动
等电脑重启好后,在绿色网络中任一电脑上打开浏览器,输入https://192.168.1.1:445,用你安装时设置的IP地址代替这里的192.168.1.1,此外还可以使用IPCop电脑的主机名访问,默认是ipcop(https://ipcop:445),浏览器可能会报告这是一个非受信任的网站,因为IPCop使用的是自己产生的证书,你只管点接受便可以了。
还记得安装时为admin用户设置的密码吗?如果没有输入密码,你只能查看IPCop的主页,点击任何按钮和链接都会蹦一个登录对话框出来。
首先你应该选择的第一个链接是“系统”*“更新”,因为主页上会显示有更新可用,点击“下载”按钮,关于更新的描述信息会显示在按钮下方,下载完毕后,点击“现在应用”。
如果你看到一个“这不是一个授权的更新”的错误消息,你的硬件时钟可能出了问题,多年未使用的电脑,或BIOS被重置后就经常出现这种情况。点击“服务”*“时间服务器”,手动校准时间,然后勾选“使用网络时间服务器”,点击“保存”,第一次你可能还是必须要手动设置时间,因为如果时间跳跃太大,NTP是不会自动修改系统时间的。
至此,你可以放心地将这台DIY的路由器放在某个角落,只要保证它的散热效果,其它一切你都可以远程通过Web界面实施控制,现在这台路由器提供了DHCP和DNS服务,并提供了互联网访问共享服务,下面我们开始研究它的选项。#p#
第一站我们选择“系统”*“备份”,在这里你可以创建一个包含所有设置的DAT文件,以便需要时可以进行回滚,在开始尝试一些操作前就应该执行一次备份,如果你愿意,还可以点击“导出”按钮将文件备份到移动硬盘或U盘中。
功能探索
IPCop提供许多默认没有启用的服务,其中有些服务是值得研究和开启的,如位于“服务”菜单中的Web代理,时间服务器,动态DNS服务,集成Snort的入侵检测和流量整形,最有用的还是对带宽的限制,你不用再担心有人下载最新的Ubuntu ISO镜像,影响到你访问Fedora论坛的速度。可以将端口25、110、143优先级设置为“高”,80和443端口优先级设置为“中”,FTP端口(21)和BitTorrent端口(6881-6999)优先级设为“低”,这样可以确保电子邮件无论在何时都能顺利收发,而下载则被限制甚至被阻止。
图 5 限制上传/下载速度,配置流量整形
你可以在安装后再添加一个网络,但在Web界面中你会发现没有与之相关的选项,只能在命令行下解决,如果直接在IPCop服务器上添加,你还得接上键盘和显示器,如果通过远程,可以选择SSH,但需要先在“系统”菜单下启用SSH,使用ssh -p 222 root@ipcop命令进行连接,然后运行setup,获得一个类似于安装程序的GUI,你可以通过它修改安装时做的一些配置,进入“网络”*“修改网络类型”,选择“绿色+橙色+红色”添加一个DMZ,或为无线选择“蓝色”,不管哪种方式,电脑上必须安装了合适了网卡。
进入“驱动和网卡分配”,为新网络选择一个网卡,然后使用“地址设置”为新网络接口分配一个IP地址,但必须是不同的子网,如果你为绿色网络使用192.168.1.1,那最好为橙色网络使用192.168.2.1。设置完毕后,为安全起见,关闭SSH连接。 #p#
设置DMZ
现在你已经创建了DMZ,下面开始设置它,在橙色网络上没有DHCP服务器,任何新增计算机都必须指定静态地址,如果你要提供外部访问,这是一件好事,因为你需要将通信转发到一个特定的地址。
为了访问IP为192.168.2.2的Web服务器,第一步是设置端口转发,其做法和标准Modem/路由器上的方法一样,只是这里我们要转发的目标是位于DMZ区里的服务器。
图 6 IPCop网络架构,橙色(Orange)是DMZ
转到“防火墙”*“端口转发”页面,“源IP”通常留空,即所有外部地址均可访问,如果你想限制访问来源,你可以设置一个特定的IP地址,也可以设定一个地址范围。
设置源和目标端口为80(HTTP),目标IP为192.168.2.2,点击“增加”可在下方的列表中看到显示的规则,接着点击“重置”,重复为443端口做同样的设置。
至此,你的Web服务器就能从互联网访问了,当然也可以直接从你的LAN(绿色为了)访问,但它不能反向访问你的绿色网络,因此,即使服务器或它上面运行的PHP代码存在漏洞,受影响的也只有它本身,不会影响到绿色网络的计算机。
针孔通道
有时,你的Web服务器需要和位于绿色网络的机器通信,如发送MySQL表的一个备份。IPCop有一个功能叫做DMZ Pinhole(针孔),它为橙色网络中的某台计算机提供了对绿色网络中某计算机端口有限制的访问,转到“防火墙”*“DMZ Pinhole”进行设置,但最好在需要时才设置这个“针孔通道”,因为它对DMZ提供的安全性产生了一定的破坏。
IPCop的功能还有很多,远不止我谈到的这些,正所谓师父领进门修行在个人,建议你把IPCop Web管理界面的每个页面都研究透,不懂的地方多去IPCop网站或查阅相关文档。
怎么样?看完本文后,你是否有种冲动,想把淘汰下来的旧电脑装扮成一台灵活,功能丰富,性能强劲的防火墙/路由器呢?不要犹豫,动手吧!
原文出处:http://www.techradar.com/news/networking/how-to-build-your-own-router-915419
原文名:Turn an old computer into a powerful firewall and router
作者:Neil Bothwick
【51CTO.com独家译稿,非经授权谢绝转载!合作媒体转载请注明原文出处及出处!】
【编辑推荐】
