No Money No Honey » BrazilFW

BrazilFW DMZ與 port對應防火牆建置

Roger Lin — Mon, 14 Jun 2010 09:25:13 +0000

BrazilFW 備用防火牆建置：

基本安裝方式請參考：

http://140.127.243.85/modules/tad_book3/index.php?op=list_docs&tbsn=1

1. 安裝三張網卡。Eth0 eth1 eth2 => 第一次安裝只會設定兩張網卡，原則上 eth0 => LAN，eth1 => WAN。

2. 安裝精靈設定好後，請使用WEB連入 http://LAN ip:8180 。新增DMZ網段：

3. 加入對外多IP，重開機才會生效。最多三組IP，功PORT對應用。

4. 新增PORT 轉換。

當外部使用IE連線到10.10.10.200時，對自動對應到 192.168.1.100的WEB服務。

使用BRAZILFW + OpenVPN架設點對點連線方式

Roger Lin — Tue, 02 Feb 2010 08:59:48 +0000

BRAZILFW是一套小而巧的軟體路由器與防火牆，它屬於GPL，故沒有版權費用問題。

雖然它是linux系統，但是已經有文字介面的管理選單以及網頁的管理頁面，做的不錯，2.3.10還有中文喔!!

軟體取得與安裝：

請來這抓：http://www.brazilfw.com.br/forum/viewtopic.php?f=5&t=64693

下面連結是個教學網頁，裡面有影音安裝方式，還有其它一些教學，不錯的網站。

http://b2d.phc.edu.tw/modules/tadbook2/view.php?book_sn=5&bdsn=1036

資料來源 http://b2d.phc.edu.tw/modules/tadbook2/view.php?book_sn=5&bdsn=384

資料譯自：
http://www.cybernet25.com.ar/bfw/openvpnhowto/openvpn.htm
1.從brazilfw網站下載並安裝 libpthread.tgz (http://www.brazilfw.com.br/forum/dload.php?action=file&file_id=76)
2.下載與安裝 openvpn.tgz (http://www.cybernet25.com.ar/bfw/openvpn.tgz)
3.設定 OpenVPN

BFW1(第一台)
Server
Public IP: 200.100.050.025
LAN IP: 192.168.0.1
Mask: 255.255.255.0
LAN: 192.168.0.0
VPN IP: 10.8.0.1 (we need an IP range for VPN)

BFW2(第二台)
Client (example for LAN to LAN)
LAN IP: 192.168.1.1
Mask: 255.255.255.0
LAN: 192.168.1.0
VPN IP: 10.8.0.2 (we need an IP range for VPN)

WXP
Client (example for RoadWarrior)
VPN IP: 10.8.0.3 (we need an IP range for VPN)
在BFW1登入web管理並且選取OpenVPN接著 Add VPN

下一個畫非常簡單

送出VPN 設定
現在在這個範例當中我們增加另一個 VPN server (for RoadWarrior) 像這樣

下面圖寫 Server VPN IP 10.8.0.1 與 Client VPN IP 10.8.0.3 是錯誤的，這邊每新增一個 VPN 連線，就會占掉 4個IP位置，因為 Subnet 為 255.255.255.252，所以 1跟2 已經被 LAN to LAN用掉了，也就是不能再用 10.8.0.0~3 這4個位置(想了解請學習TCPIP網段部份)，下面就列出可用的網段IP，可新增無限多連線，只要維持這個法則即可。

故以這個例子應該要把 Server VPN IP 10.8.0.5 與 Client VPN IP 10.8.0.6 用第二組連線用，讓XP可連入。

[ 1, 2] [ 5, 6] [ 9, 10] [ 13, 14] [ 17, 18]
[ 21, 22] [ 25, 26] [ 29, 30] [ 33, 34] [ 37, 38]
[ 41, 42] [ 45, 46] [ 49, 50] [ 53, 54] [ 57, 58]
[ 61, 62] [ 65, 66] [ 69, 70] [ 73, 74] [ 77, 78]
[ 81, 82] [ 85, 86] [ 89, 90] [ 93, 94] [ 97, 98]
[101,102] [105,106] [109,110] [113,114] [117,118]
[121,122] [125,126] [129,130] [133,134] [137,138]
[141,142] [145,146] [149,150] [153,154] [157,158]
[161,162] [165,166] [169,170] [173,174] [177,178]
[181,182] [185,186] [189,190] [193,194] [197,198]
[201,202] [205,206] [209,210] [213,214] [217,218]
[221,222] [225,226] [229,230] [233,234] [237,238]
[241,242] [245,246] [249,250] [253,254]

我們的server看起就像這樣

現在你必須打開 udp ports 1194 和 1195, 切換到進階防火牆設定增加下以二行如下

加入以下這行到 rc.local 讓 VPN 自動啟動，所以切換到設定檔案並選取第二項

在openvpn和start中間不要有空白
存檔並重新啟動BrazilFW.
BFW2 (client side LAN to LAN VPN)
增加一個VPN (you allready know how) 如下的設定

現在我們必須copy the key file 從server這邊 (/etc/openvpn/openvpn.1194.key)使用 WinSCP, 或其他軟體以BFW2的 /etc/openvpn 目錄下
增加 /etc/openvpn/openvpnstart就像您在 BFW1做的一樣
存檔並重新啟動BrazilFW.
如果萬事皆ok，那你就可以 ping 10.8.0.1 從 BFW2 並薩 ping 10.8.0.2 從 BFW1.
也許您可以增加以下的路由如下:
route add -net 192.168.0.0 netmask 255.255.255.0 gw 10.8.0.1 (on client side)
route add -net 192.168.1.0 netmask 255.255.255.0 gw 10.8.0.2 (on server side)
WXP (Road Warrior client)
下載 OpenVPN windows端的軟體.─http://openvpn.se/files/install_packages/openvpn-2.0.9-gui-1.0.3-install.exe (see http://openvpn.se)
安裝 for windows版的OpenVPN .
接著登入至第一台brazilfw( BFW1) , 選取OpenVPN 選單並且打入以下設定 [Client conf file] 在 VPN server 設定列

copy文字建立一個新的文件檔並貼上 (移除 /etc/openvpn/這一行從secret line <=新版本已經修正這個問題。 ), 把檔名改成ranything.ovpn 並存到 C:\Program Files\OpenVPN\config 目錄.
現在你必須 copy the key file 從 BFW1 (/etc/openvpn/openvpn.1195.key) 到 C:\Program Files\OpenVPN\config 目錄. 你可使用 WinSCP 或其他你喜歡的工具.

現在選按OpenVPN 圖示並選取連接。

OpenVPN – BrazilFW – LAN to LAN:
http://www.brazilfw.com.br/users/juanillo/openvpn/howto/lantolan/openvpn_l2l.html
OpenVPN – BrazilFW – Road Warrior How To:
http://www.brazilfw.com.br/users/juanillo/openvpn/howto/roadwarrior/openvpn_rw.html

BrazilFW 免費防火牆 L7過濾更新

Roger Lin — Mon, 01 Feb 2010 09:42:04 +0000

文章出處：http://www.mobile01.com/topicdetail.php?f=110&t=1176489&last=13869448

在偶然機會接觸了BrazilFW覺得這真是一個好東西
系統資源使用的很小功能又強大,尤其是支援L7的過慮還有L7的QOS外掛
不過2.31已經有點小歷史了..裡面L7定義檔都沒有更新,所以只好手動更新了…
http://sourceforge.net/projects/l7-filter/files/
這是Linux L7定義檔的下載也蠻常更新的…目前最新是2009/05/28
我們以這個為範例更新吧,我自己習慣使用Pitty做SSH,不然也可以在機器上直接超作
1.首先以Pitty連線BrazilFW

2.輸入帳號密碼

3.接下來會出現Menu選單..因該不陌生..

4.到command命令列底下
不過我們不用Menu所以直接Ctrl+C 跳至Command命令下

5.進了Command下免不了先 ls 查看一下目錄
BrazilFW#ls

6.由於這目錄是在虛擬磁碟上所以把/boot掛載上來
直接下達"mt"就可以將/boot掛載到 /mnt底下
BrazilFW#mt
BrazilFW#cd mnt

7.進到開新一個的資料夾名稱叫"l7"
在根目錄下下指令
BrazilFW#mkdir l7

8.下載新的定義檔
以Dir 進到 l7 的資料夾內輸入指令
BrazilFW#wget http://downloads.sourceforge.net/project/l7-filter/Protocol%20definitions/2009-05-28/l7-protocols-2009-05-28.tar.gz

9.解壓縮
將下載地東西解壓縮指令是
brazilfw# tar -zxvf l7-protocols-2009-05-28.tar.gz
他會直接解壓縮在同名目錄下

10.進到protocols
brazilfw#cd l7-protocols-2009-05-28
brazilfw#cd protocols

11.檢查解壓縮的東西
進到protocols資料夾裡面後檢查是否有東西,如果有因該和畫面一樣有很多的pat檔
這就是我們要的定義檔
brazilfw#ls

12.移除舊有的pat
在命令模式輸入已下指令移除舊的定義檔
brazilfw#rm /etc/l7-protocols/*.pat

13.檢查/etc/l7-protocols 資料夾,輸入已下指令後裡面因該是空空的
brazilfw#cd /
brazilfw#cd /etc/l7-protocols/
brazilfw#ls

14.複製新的定義檔到系統內
brazilfw# cp /mnt/l7/l7-protocols-2009-05-28/protocols/*.pat /etc/l7-protocols/

15.檢查系統內的定義檔,裡面因該已經有剛剛複製的定義檔了
brazilfw#cd /etc/l7-protocols
brazilfw#ls

16.備份所有資料
brazilfw#backup

完成備份後從新開機就會在web介面看到新的定義檔了
第一次寫教學檔加上我對Linux也沒有非常熟有錯誤請各位前輩指教囉…