硬件平台及IPCop防火墙软件的安装配置完成后,到此时,我们还只获得了一个比较粗糙的系统,要有一台完全满足自己要求的防火墙设备,还需要对系统作进一步的详细设定。接下来再给大家介绍一下IPCop防火墙软件的各种高级功能。

      相关文章:
    防黑客不愁 DIY自己的防火墙设备
    DIY自己的防火墙设备 系统配置篇
    DIY自己的防火墙设备 详细功能设定

      现在,虽说我们把这台路由器显示器都取了,但在任何一个Web浏览器的地址栏中输入前面你所指定那个URL地址和相应的端口,我们就可从任意一台客户端计算机上连接到这台路由器的管理界面上来。成功连接后,我们可看到IPCop中有大量的功能设置选项可供用户进行详细配置。现在就让我们来开始看看它的具体功能吧。

      1、PPPoE账号设定
      对一个DSL用户来说,当他们访问IPCop的欢迎页面时会看到相应的提示信息(如图1所示),首先要做的事情就是对这些提示信息作相应的处理。随便哪个用户只要在他们的浏览器地址栏中输入这台IPCop路由器的主机名或IP地址(加上相应的端口号)都可看到这些信息。

图1:来自于DSL用户的错误提示信息

      出现这个错误信息的原因是由于我们没有指定相应的DSL账号与密码的缘故,要完成这些信息的指定,我们可进入到“Network”菜单下的“Dialup”选项,不过要使用那个admin或root用户的身份登录进入。图2显示的是是PPPoE连接中所有可用的配置选项内容。

图2:PPPoE账号设置

      2、DHCP服务器
      前面就已经提到,IPCop可以担当一台DHCP服务器的角色,不过首先要做的是先完成图3和图4中所示的内容。由于DHCP服务器设置的web界面窗口比较大,笔者就用两张图片来显示这个窗口中的内容,在这两个图片中分别表示的是左边和右边区域部分的内容。

图3:DHCP服务器选项(左边部分)
图4:DHCP服务器选项(右边部分)

      固定的IP地址(也称为被保留的IP地址)是通过使用每一台客户端计算机网卡的那个唯一的MAC地址来进行分配的。     一旦我们获得了相应客户端计算机的MAC地址后,我们就可以为这台计算机分配一个永久的IP地址了,具体的操作在DHCP配置窗口比较靠近底部的地方。为了更简单化,给大家举个实例说明,笔者使用的是192.168.0.168这个地址(如图5所示)。

图5:分配给某台客户端计算机一个固定的IP地址

      为也有助于你以后更方便地找到这台计算机,在这还可以输入一些附加的信息来描述这台客户端计算机的一些基本情况,具体的内容是填在“Remark”这个输入框中的。我们也可看到,在这个窗口中,还有“Next Address”、“Filename”、“Root Path”这三个输入框可供用户输入,这些选项的内容就不一定需要输入了,仅仅只是在客户端是从网络中引导时才需要这几个参数(即就是无盘工作站)。如果我们添加了一个客户端计算机,则可以在列表中查看到这个客户端。

      3、端口转发和动态DNS
      像IPCop这样的基于NAT(网络地址转换)的路由器,它们都会丢弃所有来自于因特网对内部网络的数据请求,从而保证局域网内计算机的安全,保证其免于受到来自于因特网上不明来源计算机的直接访问。但因此就引发出另外一个问题,当我们想允许一些来自于因特网上的数据请求时IPCop路由器会不分青红皂白一律加以拒绝,比如说我们在局域网中安装有web或FTP服务器时,来自于外网的请求便不能成功连接到这样的服务器上。因此,像那些商用的NAT路由器一样,IPCop也可为那些特定的因特网请求进行转发,把它们指定到局域网中的某些机器上。端口转发的设置是通过被称之为“Port Forwarding”的功能来完成的。

      下面笔者给大家举个例子来说明怎样为一台局域网中的Web服务器添加一条端口转发规则,如下图6所示。在这个新规则的添加窗口中,我们填入web服务器的IP地址192.168.0.168作为目的IP地址,并且指定HTTP源端口为端口80(对来自于因特网那一方的访问而言),目的端口也是设定为这一个数值(即我们本地内网中的客户端计算机192.168.0.168)。在“Remark”这一项中,可输入比较简单的信息来标明这样规则的名称及用途,在我们的这个实例中,是填入的“Webserver”这样一个简单信息,表明这条规则是针对局域网中的web服务器的。

图6:添加一条端口转发规则

      然后再点击“添加”按钮,这样这条规则就被添加到此窗口下部的规则列表中了,并且马上就可开始发挥作用,供用户使用了。

      如果你在外面的网络中,例如像在办公室中,想远程访问位于家庭局域网中的某一台客户端计算机,可能会发现,又有一个难题摆在我们的面前。大多数的ISP分配给用户的IP地址都是动态的,在用户连接时从ISP处所获得的公网合法IP地址可能每次都会不同,这就意味着这台路由器(包括那些使用端口转发服务的内网服务器)只要它每次重新启动后再次连接到ISP时所获得的IP地址都会是不同的,那我们不可能每次都记下这个频繁变化的IP地址吧,况且这样也不现实,要是当你在外面的时候路由器重新启动或者是重新连接到因特网了,我们是很难确定它使用的是哪个IP地址的。幸运的是,动态DNS(dynamic DNS)提供了一种办法来解决这个难题。

      在获得某个动态DNS服务提供商的账号后,把这些信息它们输入到IPCop的动态DNS设置界面中就行了(如图7所示)。如果用户的因特网连接是通过代理服务器的,就要选中Behind a Proxy,而“Enable wildcards”这个选择框是用来处理子域的。

图7:设置动态DNS客户端

      最后,IPCop需要知道到底怎样来确定它的IP地址,一般情况下,对绝大部分网络而言正确的设置是选择第一个选项的内容,即由“红色”接口来确定它的IP地址,如图8所示。第二个选项的内容只有在这样一种情况下才会使用,即当在IPCop路由器和因特网连接之间还有第二台路由器时就可选用这个选项。

图8:确定动态DNS IP地址的方法

      4、代理服务器
      在这有两种不同类型的代理服务器功能。普通的代理服务方式(classic proxy),在一个特殊的端口上侦听对因特网的请求,通常这些端口为8080或3128。而如果用户想使用这样的代理服务器的话,就必须手工配置他们的浏览器相关设置值,否则的话是不能够使用这台代理服务器的。

      第二种类型是透明的代理服务方式(transparent proxy),它可侦听任何的HTTP连接请求,并且不需在客户端计算机上作任何的更改。使用这种方式的话,用户要绕开这台代理服务器是不可能的了,这种代理方式可让管理员来限制用户对某一些站点的访问,更严格地控制用户访问因特网的权限与自由。

      在默认状态下代理服务功能是被关闭的,只要在配置页面中选择“Services”,然后再选择“Proxy”就可打开它的代理服务器功能了。对安装在这台路由器上的每一个网络接口,都可分别单独地开启它们的代理服务功能。因此,对绿色网络接口来说,正确的选项是选中如图9中所示的“Enabled on Green”这个选择框。如果在你的路由器还安装有一块WLAN无线网卡的话,我们也可配置这个接口来使用代理服务功能,只要选中“Enabled on Blue”这个选项就行了。

图9:代理服务器设置

      把“Transparent”这个选项给勾选上,就使我们路由器的代理服务器工作在透明代理方式下。选择了这种方式的话,那代理的端口就不用再作设置了。如果我们没有开启这项功能,那在局域网中每一台客户端计算机中的每一个浏览器中都必须手工输入这台服务器和相应的端口号。代理服务器所使用的缓存空间大小能够在“Cache Management”进行调整,由于这个缓存空间本身就是使用的路由器的硬盘,故极方便我们操作。在我们的这个实例中,选择了缓存空间的大小为40 GB,并且设置了它所缓存的最大目标文件尺寸为不超过32 MB,而最小的文件大小就不需要作设置了。

    注意:在这跟大家提个醒的是,当我们选择了一个比较大的缓存容量,点击下保存按钮后,会出现这样的现象:这个web页面会很长时间没有反应,好像死机了一样,这是因为路由器在试着分配所指定的磁盘空间。不要着急,只要耐心等上一会儿,等这个过程结束后就恢复正常了。

      最后,在这还有另外一个选项,用来限制进行传输的数据总量。这个功能对那些没有使用包月收费制度的用户来说可能还是有点兴趣的,如果用户接入因特网不是按固定价格的话,而是按流量大小来收费,这个功能就可防止你每月的因特网服务费超过标准,否则网络中用户常进行大文件的下载很容易使你的流量超出限额,特别是现在BT下载这么流行。

      5、监控功能
      IPCop也提供了大量有关系统和网络状态的相关信息供用户查询,也还包括有各种不同的系统资源利用率图表来供用户了解当前设备的工作状态。图10到图13显示的是一小段时间内的系统和网络信息。

图10:供用户检测系统状态的服务列表
图11:系统运行时间报告

 

图12:使用Linux的ipconfig命令得到的网络状态

 

图13:绿色接口(局域网)的通信流量

      6、日志功能和Shell
      尽管说来,一个系统中的日志文件的内容看起来让人头疼,远没有那种交互式的状态图表好看,但当问题真正发生的时候,系统的日志记录实际上还是对用户有相当帮助作用的。在IPCop中,可以在“Log”这个标签中来查看系统的日志文件内容,如图14所示。

图14:动态DNS更新失败的日志记录

      有时,使用一个命令行接口界面完成一些功能可能会更方便、更简单,对那些操作熟练的用户来说,根本就不用在图形界面上用鼠标点来点去,直接用一个命令就可。IPCop也提供了一个直接的shell界面来供用户使用(当然,只限于root用户)。有时,当web界面的访问没有响应时,这样的命令行窗口可就派上用场了。图15显示的是当我们使用一个关机命令shutdown now –r来重新启动计算机时屏幕上显示的内容。

图15:使用一个命令来关闭计算机

 

      写在最后
      实际上,IPCop还有一些其他的有用功能,由于篇幅的关系,笔者在这不能为大家一一详细介绍,下面就简要地介绍一下IPCop的其他一些重要的实用功能。

      在IPCop中,有一个Snort入侵检测系统,这个入侵检测系统可设置来监视每一个网络接口,以检测那些可疑活动连接中的已知数据流量标志;它包括有带宽管理(Traffic shaping,重组流量)的功能,让用户更充分地利用网络的上行和下行带宽,分配高、中、低的优先权给特定的web服务(端口),从而满足那些对带宽实时性要求比较高的程序需求,例如像VoIP应用一样。最后,IPCop系统还包括有一个IPsec VPN服务器功能,可处理网络对网络(Net-to-Net)的VPN通道和处理主机对网络(Host-to-Net)的VPN通道,也可处理pre-shared key/password/pass phrase或X.509证书验证方法。

      如果你正准备来自己动手DIY一台路由器的话,可能会有许多的软件系统可供选择。不过IPCop简单容易的安装方式、丰富的功能设置和设计精美的用户界面可能会吸引住你的眼球。