Jul
22
monowall Firewall 的系統需求其實不是很高,可是他有很彈性的運用方式
我用一個客戶的實例說明如何運用 monowall 防火牆的
流量簡單管理篇
在設定之前有幾個觀念必需要先說明
1.Pipes(管道,通道):可使用的頻寬
2.Queues(隊列,佇列):管道的權重分配
3.rule(規則),那些IP ,port,服務需要指定到管道
以實例說明,客戶的環境為ADSL 4M/1M,需求如下
1.有VOIP網路節費電話使用需求
2.網站
3.內部人員上網
1.建立不同需求的通道
a.VOIP: 256K
b.內部下載:3686K
c.內部上傳:832K
(設定時上傳下載總和可以超出線路頻寬,原因在於部份使用的頻寬不會真的滿載)
2.建立規則 ( 請看圖說故事)
第1,2條為 VOIP保留頻寬使用
第3,4條為內部網路使用
3.權重分配(還是看圖說故事
由於VOIP在網路使用上必需有比較高的使用權,故權重分配為50%
我用一個客戶的實例說明如何運用 monowall 防火牆的
流量簡單管理篇
在設定之前有幾個觀念必需要先說明
1.Pipes(管道,通道):可使用的頻寬
2.Queues(隊列,佇列):管道的權重分配
3.rule(規則),那些IP ,port,服務需要指定到管道
以實例說明,客戶的環境為ADSL 4M/1M,需求如下
1.有VOIP網路節費電話使用需求
2.網站
3.內部人員上網
1.建立不同需求的通道
a.VOIP: 256K
b.內部下載:3686K
c.內部上傳:832K
(設定時上傳下載總和可以超出線路頻寬,原因在於部份使用的頻寬不會真的滿載)
2.建立規則 ( 請看圖說故事)
第1,2條為 VOIP保留頻寬使用
第3,4條為內部網路使用
3.權重分配(還是看圖說故事
由於VOIP在網路使用上必需有比較高的使用權,故權重分配為50%
Dec
17
使用的WL-520GU的版本為 3.0.0.8
在WAN端未連線時通訊埠轉遞正常會導向WL-520GU設定的頁面
在WAN正常連線後,這些埠轉向會被清空..
可是我遇到兩次沒有改寫的狀況
下面的記錄是 80port 被佔用..不得已改用81port
Destination Proto. Port Range Redirect to
all TCP 81 192.168.1.149 <<-不得已改用
all TCP 5900 192.168.1.10
all TCP 4265 192.168.1.10
all TCP 80 192.168.1.10 <<--被佔用
all TCP 2237 192.168.1.10
all UDP 2237 192.168.1.10
all TCP 8080 192.168.1.254 <<-遠端連入
155.227.93.22 TCP 80 192.168.1.10
155.227.93.22 TCP 80 192.168.1.10
155.227.93.22 TCP 80 192.168.1.10
155.227.93.22 TCP 80 192.168.1.10
155.227.93.22 TCP 80 192.168.1.10
系統還原到預設值後...還是一樣....
再把PC的XP "網際網路閘道"功能移除
怪怪..還是一樣.....
這是韌體的問題還是???因為有遇到兩台有相同的問題了(在不同的地點)
另一台則是 53 & 80 Port 改到 WL-520GU的IP
真是不解
在WAN端未連線時通訊埠轉遞正常會導向WL-520GU設定的頁面
在WAN正常連線後,這些埠轉向會被清空..
可是我遇到兩次沒有改寫的狀況
下面的記錄是 80port 被佔用..不得已改用81port
Destination Proto. Port Range Redirect to
all TCP 81 192.168.1.149 <<-不得已改用
all TCP 5900 192.168.1.10
all TCP 4265 192.168.1.10
all TCP 80 192.168.1.10 <<--被佔用
all TCP 2237 192.168.1.10
all UDP 2237 192.168.1.10
all TCP 8080 192.168.1.254 <<-遠端連入
155.227.93.22 TCP 80 192.168.1.10
155.227.93.22 TCP 80 192.168.1.10
155.227.93.22 TCP 80 192.168.1.10
155.227.93.22 TCP 80 192.168.1.10
155.227.93.22 TCP 80 192.168.1.10
系統還原到預設值後...還是一樣....
再把PC的XP "網際網路閘道"功能移除
怪怪..還是一樣.....
這是韌體的問題還是???因為有遇到兩台有相同的問題了(在不同的地點)
另一台則是 53 & 80 Port 改到 WL-520GU的IP
真是不解
Sep
12
有人留言問到 TECOM AR4031B QoS怎麼設定的,請看圖
設定的步驟如下:
1.先設定名稱 Traffic Class Name
2.設定處理的優先等級 Assign Priority and/or IP Precedence and/or Type Of Service for the class
3.Specify Traffic Conditions for the class : 設定要處理的項目
設定的步驟如下:
1.先設定名稱 Traffic Class Name
取自己看的懂的名稱,但不要用中文
2.設定處理的優先等級 Assign Priority and/or IP Precedence and/or Type Of Service for the class
3.Specify Traffic Conditions for the class : 設定要處理的項目
Sep
7
需求如下:
沒有授權的使用者可以允許瀏覽特定的網站或網頁,有授權的使用者可以不受限制的上網。
可用的資源如下:
1.IPCOP : PROXY / TP / URL Filter
2.Monowall : 連線認證
實驗的LAB如下:
1. IPCOP : 透過 Proxy + URL Filter 白名單 + User Auth
User不走 Proxy 就破功了,只有白名單能上其他網站上不了
2.IPCOP : 開 TP + URL Filter 白名單
用了TP 使用者認證就無法開啟了
3.MonoWall + IPCOP +Windows AD群組原則: Monowall 開啟 captive portal , IPCOP PROXY + URL Filter白名單
這是一個可行的方案之一...還是很不方便
4.IPCOP + IPCOP
可行的方案之二,利用某些Proxy不快取的規則...來做白名單,有個缺點..規則為設到亂掉
5.Monowall : captive portal + IP pass
折衷的辦法..
沒有授權的使用者可以允許瀏覽特定的網站或網頁,有授權的使用者可以不受限制的上網。
可用的資源如下:
1.IPCOP : PROXY / TP / URL Filter
2.Monowall : 連線認證
實驗的LAB如下:
User不走 Proxy 就破功了,只有白名單能上其他網站上不了
用了TP 使用者認證就無法開啟了
3.MonoWall + IPCOP +Windows AD群組原則: Monowall 開啟 captive portal , IPCOP PROXY + URL Filter白名單
這是一個可行的方案之一...還是很不方便
4.IPCOP + IPCOP
可行的方案之二,利用某些Proxy不快取的規則...來做白名單,有個缺點..規則為設到亂掉
5.Monowall : captive portal + IP pass
折衷的辦法..
Jun
11
NEGiES 這個軟體是日本人寫的軟體,目前最後的版本為2.0 b8
下面所提供的版本為1.57正體中文綠色版,可以在Windows XP下正常工作
其他版本沒有試過
之前是使用NetLimiter1.x但是使用的彈性沒有NEGiES來的大
自從頻寬愈來愈大之後,這種軟體的重要性就開始降低了
官方網站
下載檔案 (已下載 1355 次)
下面所提供的版本為1.57正體中文綠色版,可以在Windows XP下正常工作
其他版本沒有試過
之前是使用NetLimiter1.x但是使用的彈性沒有NEGiES來的大
自從頻寬愈來愈大之後,這種軟體的重要性就開始降低了
官方網站
下載檔案 (已下載 1355 次)
May
17
原本我使用D-Link 707P的IP分享器,這樣子我就又要多開一台IP分享器,平時網站流量並不是很多,浪費電做什麼呢。
我原本使用的ADSL數據機是 阿爾卡特 Alcatel T07A,比較大台,我手上還有一台東訊TECOM AR-4031B,體積比較小所以就拿來用了純粹是空間的問題。
接上之後並沒有異狀,有多設了QoS功能,因為老大會開PPstream所以開一下比較保險。
至於怎麼改硬撥,網上搜一下就有了..
使用 IE 連線
網址 http://192.168.1.1/
北區 帳號:cht 密碼:chtnadsl
中區 帳號:cht 密碼:chtcadsl
南區 帳號:cht 密碼:chtsadsl
我原本使用的ADSL數據機是 阿爾卡特 Alcatel T07A,比較大台,我手上還有一台東訊TECOM AR-4031B,體積比較小所以就拿來用了純粹是空間的問題。
接上之後並沒有異狀,有多設了QoS功能,因為老大會開PPstream所以開一下比較保險。
至於怎麼改硬撥,網上搜一下就有了..
使用 IE 連線
網址 http://192.168.1.1/
北區 帳號:cht 密碼:chtnadsl
中區 帳號:cht 密碼:chtcadsl
南區 帳號:cht 密碼:chtsadsl
Apr
20
又多學了一個指令
引用
我該怎麼修正ARP,恢復正常上網的功能?
想要解決ARP攻擊最好的辦法,當然是找出你的區域網路中是哪一台電腦中了ARP病毒成為帶原者,清除它們的病毒。不過,如果你只想獨善其身地解決眼前的問題,倒是可以手動地指定你的電腦以及你的Gateway彼此之間的IP位址以及Mac Address的對照表,自己來手動輸入。讓機器不再動態去搜尋IP位址以及Mac Address的對照表,那麼也就不會有被欺騙的問題發生了。
Step
1.一般家中的AP都是透過瀏覽器進行設定,在設定的項目中,在「區域網路」這個項目通常除都會列出IP位址,同一個頁面應該就可查到Mac位址。
2.而要查詢自己的IP位址,你可以在DOS模式下,先輸入「ipconfig」指令。然後在下面列出的項目中,「IP Address」這項目就是你自己這台電腦的IP位址。
3.如果要查詢自己這台電腦網路的Mac Address,則要在DOS模式下輸入「ipconfig /all」指令,在下面就會列出詳細資料,其中「Physical Address」這項目就是你這台電腦的實體位址,也就是Mac位址。
4.接下來,你可以輸入「ARP –D」指令,這個指令會讓系統解除目前這台電腦的ARP緩衝區,將所有欺騙這台電腦的設定清除。
5.接下來強制設定要指定的ARP,輸入的指令是「ARP –S 該機器的IP位址 該機器的Mac位址」,例如「ARP -192.168.1.5 00-90-cc-e0-e3-5a」。
6.最後設定自己這台電腦,例如我們輸入「ARP -192.168.1.6 00-11-d8-a2-5b-69」。
想要解決ARP攻擊最好的辦法,當然是找出你的區域網路中是哪一台電腦中了ARP病毒成為帶原者,清除它們的病毒。不過,如果你只想獨善其身地解決眼前的問題,倒是可以手動地指定你的電腦以及你的Gateway彼此之間的IP位址以及Mac Address的對照表,自己來手動輸入。讓機器不再動態去搜尋IP位址以及Mac Address的對照表,那麼也就不會有被欺騙的問題發生了。
Step
1.一般家中的AP都是透過瀏覽器進行設定,在設定的項目中,在「區域網路」這個項目通常除都會列出IP位址,同一個頁面應該就可查到Mac位址。
2.而要查詢自己的IP位址,你可以在DOS模式下,先輸入「ipconfig」指令。然後在下面列出的項目中,「IP Address」這項目就是你自己這台電腦的IP位址。
3.如果要查詢自己這台電腦網路的Mac Address,則要在DOS模式下輸入「ipconfig /all」指令,在下面就會列出詳細資料,其中「Physical Address」這項目就是你這台電腦的實體位址,也就是Mac位址。
4.接下來,你可以輸入「ARP –D」指令,這個指令會讓系統解除目前這台電腦的ARP緩衝區,將所有欺騙這台電腦的設定清除。
5.接下來強制設定要指定的ARP,輸入的指令是「ARP –S 該機器的IP位址 該機器的Mac位址」,例如「ARP -192.168.1.5 00-90-cc-e0-e3-5a」。
6.最後設定自己這台電腦,例如我們輸入「ARP -192.168.1.6 00-11-d8-a2-5b-69」。
Jan
14
IPCop http://www.ipcop.org/
SmoothWall http://www.smoothwall.org/跟IPCop 使用相同核心
EFW http://www.endian.com/ 這套是以IPCop為基礎修改來的
m0m0wall http://m0n0.ch/
pfSense http://www.pfsense.com/ 這套是以m0m0wall 修改而來的
BrazilFW http://www.brazilfw.com.br/
Coyote北美土狼 http://www.coyotelinux.com/
hi-spider http://www.hi-spider.com/
SmoothWall http://www.smoothwall.org/跟IPCop 使用相同核心
EFW http://www.endian.com/ 這套是以IPCop為基礎修改來的
m0m0wall http://m0n0.ch/
pfSense http://www.pfsense.com/ 這套是以m0m0wall 修改而來的
BrazilFW http://www.brazilfw.com.br/
Coyote北美土狼 http://www.coyotelinux.com/
hi-spider http://www.hi-spider.com/
