Internet由网络互联而成,而实现网际互联的设备就是网关。任何用户都是通过网关连接到Internet。Internet上的网关多数是专用的路由器和交换机。目前,Linux的通用性越来越强,经过适当地配置之后,它完全可以担当互联网的物理基石——路由器这一重要角色。互联网上的高水平开发者对Linux进行精简和定制后,推出了Linux软件Freesco,它可以仅通过一张软盘来运行,有效降低了对硬件资源的要求,并提高了工作效率。;
Freesco的名字由来是FREE ciSCO的缩写,开发者希望Freesco能代替网络上的专用路由器。Freesco声称可以在386以上的PC机上顺畅运行,而且只需8MB以上的内存。它的用途和设计思路与嵌入式系统非常类似。和另外一个Linux路由器/防火墙软件——LRP相比,它们的工作原理基本一致,不同之处在于LRP的配置方法相对比较原始,每一步都需要命令行或修改配置文件来进行,而Freesco提供了交互式的选单向导配置程序,更易于操作。
目前Freesco的最新版本为0.3.2,基于Linux 2.0.38内核。可从软件主页http://www.freesco.org/自由下载,链接为http://www.freesco.cc/descargas/ingles/Freesco-032.zip。
系统要求
作为路由器的计算机需要具有386以上的CPU、8MB以上的内存、软驱、连接局域网的网卡和连接互联网的网络设备,该设备可以是连接ADSL的网卡,也可以是线缆调制解调器(Cable Modem)或普通的调制解调器。
Freesco对于CPU要求非常低,内存方面推荐使用32MB。Freesco支持的网卡类型很多,可以下载http://www.freesco.cc/descargas/ingles/Modules-03x.zip软件包查看。
软件安装
将下载软件包解压后,执行命令:
#make_fd.bat This batch file will write the floppy image "freesco.032" onto a 1.44mb disk in drive a: Please insert a formatted diskette into drive A: and press -ENTER- :
按照提示加入一张1.44MB的软盘,制作过程自动完成,大约需要50秒钟。
网络连接
将安装Freesco软件的计算机加入局域网,假如是用ADSL/Cable调制解调器方式连接互联网,需要两块网卡,一块接入局域网,一块连接ADSL/Cables设备。笔者网络拓扑见图1。
图1 网络拓扑结构
启动配置
重新启动计算机,在BIOS中设定用软驱启动即可,启动界面见图2。
图2 Freesco Linux启动界面
从图2中可以看到,Freesco工作时使用了RamDisk技术。在Linux中可以将一部分内存当作分区来使用,称之为RamDisk。对于一些经常被访问、并且不会被更改的文件,可以将它们通过RamDisk放在内存中,能够明显地提高系统性能。RamDisk工作于虚拟文件系统(VFS)层,不能格式化,但可以创建多个RamDisk。按“Enter”键进入基础配置,需要说明的是,缺省root账户口令为“root”。
进入Linux后,首先键入“Setup”命令进行基础配置。Freesco提供了交互式的选单向导配置程序,使用更加简单。选择“1”进行路由器基础配置。
1.路由器的基本设置。设置局域网内的IP地址,其它选项根据局域网的实际情况填写即可。对于专门用以连接局域网内部的计算机,系统会根据网卡的型号和网卡中断值等参数来生成程序,所以在配置网卡参数时务求准确,如图3。
图3 配置网卡信息
2.内置服务设置。顾名思义就是为局域网内的计算机提供服务,主要是DNS服务(域名解析服务)、DHCP服务(寻址服务)、FTP服务、Telnet服务、UTC服务等。假如选择了DNS,需要给出DNS服务器的IP地址;选择了DHCP,需要给出供系统分配的IP地址范围,该范围主要根据局域网内的计算机数量而定。
3.确定连接互联网所使用的协议类型。假如是安装了ADSL或线缆调制解调器,可供选择的协议有PPPoE、PPP和DHCP,不同的网络服务商所使用的协议可能会有所不同;假如是使用DDN专线,则要选择固定IP地址;假如是普通调制解调器拨号上网,则要使用PPP协议;假如是VPN连接,需要使用PPTP协议。
另外,还要填写ISP提供商的信息,如接入电话号码、DNS主/辅地址及用户验证方式等,见图4。验证方式包括口令验证协议(PAP)和挑战-握手验证协议(CHAP)。
图4 连接互联网的配置
PAP是一种简单的明文验证方式。NAS(网络接入服务器,Network Access Server)要求用户提供用户名和口令,PAP以明文方式返回用户信息。很明显,这种验证方式的安全性较差,第三方可以很轻易地获取被传送的用户名和口令,并利用这些信息与NAS建立连接,获取NAS提供的所有资源。所以,一旦用户密码被第三方窃取,PAP无法提供避免受到第三方攻击的保障措施。
CHAP是一种加密的验证方式,能够避免建立连接时传送用户的真实密码。NAS向远程用户发送一个挑战口令(Challenge),其中包括会话ID和一个任意生成的挑战字串(Arbitrary Challengestring)。远程客户必须使用MD5单向哈希算法(one-way Hashing Algorithm)返回用户名和加密的挑战口令、会话ID及用户口令,其中用户名以非哈希方式发送。
经过以上配置,Linux路由器就基本完成了。在主控界面下选择“t”,系统会在“router”目录下生成一个report.txt文件。选择“v”,系统会列出刚才所设定的各种设置清单,假如发现清单中的参数需要更改,还可以退回去再行设定。最后选择“s”保存配置后,重新启动计算机。
高级应用
经过以上配置的Linux路由系统可以完成DNS服务、DHCP服务、FTP服务、Telnet服务、打印服务等功能。下面看看它的一些高级应用。在主控选单选择“a”,进入“Advanced settings”选单,如图5。
图5 Freesco的Advanced settings选单
Freesco提供一个模块化治理的选单,分成“System settings”、“Security/Limitations”、“Users/PassWords”、“Services”、“Hardware”、“Networks”、“Modems”、“Dial-up router”、“Permanent router”九个部分,分别提供38个功能选项。主要包括:
1.网络地址转换(NAT)
NAT可以连接Internet,但不答应网络内的所有计算机都拥有一个真正的Internet IP地址。通过NAT功能,可以将申请的合法Internet IP地址统一治理,当内部的计算机需要上Internet时,动态或静态地将假的IP转换为合法的IP地址。另外,可以使外部网络用户不知道网络的内部结构。
2.PPPoE和PPTP连接互联网
可通过以太网卡接口的ADSL调制解调器连接到网络服务供给商,支持PAP/CHAP的PPP安全认证。
3.固定IP地址连接互联网
可设置对外网络的固定IP地址、子网掩码、默认网关和DNS服务器,适合专线用户。
4.PPP连接互联网
使用普通电话线和56K调制解调器,以PPP方式连接上网。
5.内建DHCP服务器
使网内电脑能够从路由器自动获得网络参数配置,如IP地址、网关和域名服务器地址等,避免对电脑的反复设置,同时可以绑定IP地址和网卡MAC地址。
6.内置DNS服务器
为网内电脑提供域名服务代理,加快主机名对应IP地址的查找,从而提高访问网页的速度,并可自设主机名称和IP地址的解析,支持动态DNS。
7.内置Network Time服务器
Linux网络建议至少建立一台时间服务器来同步本地时间,这样可以使在不同系统上处理收集日志和治理更加轻易。Freesco还提供了一个供Windows使用的客户端软件—FreeTimeClient。
8.端口转发
改变目的IP地址称为目的网络地址转换(Destination NAT),用来实现Internet对内部网络的访问,通常的应用形式为端口转发(Port Forwarding)。目的网络地址转换能够使内部网络中的服务器接受来自Internet的访问,同时受到防火墙的监控。
9.用户治理
通过用户权限的设定,斩断危害网络的“黑手”。
10.主机访问限制
可根据主机的IP地址、网段或网卡MAC地址,限制网内主机在特定时间段访问网外其它电脑,或者使用某些通信协议和服务端口。
11.Banner修改
FTP、Telnet服务程序通常会显示自己的“Banner”,许多系统入侵工具都具备自动获得“Banner”的功能,通过修改“Banner”可以将Linux伪装成Windows主机,减少被入侵的风险。
12.打印服务
支持LPR和RAW协议的打印服务,网内外电脑可以共享连接在路由器并行口或USB的打印机。
13.设置“Read only floppy”
使用软盘介质,将软盘写保护后,系统的启动介质成为只读,而整个系统在内存文件系统上运行,即使系统遭到入侵破坏,也很轻易恢复。
14.远程治理Freesco
Freesco配置好之后,通过一个Web服务器、网络上任何一个计算机的浏览器都可以治理它。在浏览器的IP地址中输入它的地址和治理端口号82,即可见到如图6所示治理界面。对于这样一台Linux系统,在安装完成后完全可以省去显示器、硬盘、键盘、鼠标等,从而大大降低硬件成本。
图6 远程治理Freesco界面
为了使软盘Linux路由系统具备更多的功能,必然要求在软盘空间上容纳更多的内容。然而软盘空间有限,读写速度比较慢,也轻易被损坏。现在比较新的计算机都支持USB闪盘进行启动,所以可以将软盘中的文件拷贝到USB闪盘中,来提高系统工作的性能。
TCP/IP协议是在Unix上发展起来的,并在Linux系统中得到了很好地继续,这使TCP/IP成为Linux系统不可分割的组成部分。因为Linux系统中TCP/IP栈的实现尤为成熟,Linux更是号称拥有业界最强的路由功能,加之其灵活、轻易定制的优点,所以深受资深网管和高水平用户的青睐。
Freesco仅需要使用一台配置较低的电脑就可以实现路由器的功能,使局域网的计算机可以共享一条宽带线路访问互联网,并同时可在互联网和局域网间建立起一道安全的防火墙。该方案适用于家庭、宿舍、小型办公单位网络等使用Linux系统作为路由器的网络环境。(T111)
图1 网络拓扑结构
启动配置
重新启动计算机,在BIOS中设定用软驱启动即可,启动界面见图2。
图2 Freesco Linux启动界面
从图2中可以看到,Freesco工作时使用了RamDisk技术。在Linux中可以将一部分内存当作分区来使用,称之为RamDisk。对于一些经常被访问、并且不会被更改的文件,可以将它们通过RamDisk放在内存中,能够明显地提高系统性能。RamDisk工作于虚拟文件系统(VFS)层,不能格式化,但可以创建多个RamDisk。按“Enter”键进入基础配置,需要说明的是,缺省root账户口令为“root”。
进入Linux后,首先键入“Setup”命令进行基础配置。Freesco提供了交互式的选单向导配置程序,使用更加简单。选择“1”进行路由器基础配置。
1.路由器的基本设置。设置局域网内的IP地址,其它选项根据局域网的实际情况填写即可。对于专门用以连接局域网内部的计算机,系统会根据网卡的型号和网卡中断值等参数来生成程序,所以在配置网卡参数时务求准确,如图3。
图3 配置网卡信息
2.内置服务设置。顾名思义就是为局域网内的计算机提供服务,主要是DNS服务(域名解析服务)、DHCP服务(寻址服务)、FTP服务、Telnet服务、UTC服务等。假如选择了DNS,需要给出DNS服务器的IP地址;选择了DHCP,需要给出供系统分配的IP地址范围,该范围主要根据局域网内的计算机数量而定。
3.确定连接互联网所使用的协议类型。假如是安装了ADSL或线缆调制解调器,可供选择的协议有PPPoE、PPP和DHCP,不同的网络服务商所使用的协议可能会有所不同;假如是使用DDN专线,则要选择固定IP地址;假如是普通调制解调器拨号上网,则要使用PPP协议;假如是VPN连接,需要使用PPTP协议。
另外,还要填写ISP提供商的信息,如接入电话号码、DNS主/辅地址及用户验证方式等,见图4。验证方式包括口令验证协议(PAP)和挑战-握手验证协议(CHAP)。
图4 连接互联网的配置
PAP是一种简单的明文验证方式。NAS(网络接入服务器,Network Access Server)要求用户提供用户名和口令,PAP以明文方式返回用户信息。很明显,这种验证方式的安全性较差,第三方可以很轻易地获取被传送的用户名和口令,并利用这些信息与NAS建立连接,获取NAS提供的所有资源。所以,一旦用户密码被第三方窃取,PAP无法提供避免受到第三方攻击的保障措施。
CHAP是一种加密的验证方式,能够避免建立连接时传送用户的真实密码。NAS向远程用户发送一个挑战口令(Challenge),其中包括会话ID和一个任意生成的挑战字串(Arbitrary Challengestring)。远程客户必须使用MD5单向哈希算法(one-way Hashing Algorithm)返回用户名和加密的挑战口令、会话ID及用户口令,其中用户名以非哈希方式发送。
经过以上配置,Linux路由器就基本完成了。在主控界面下选择“t”,系统会在“router”目录下生成一个report.txt文件。选择“v”,系统会列出刚才所设定的各种设置清单,假如发现清单中的参数需要更改,还可以退回去再行设定。最后选择“s”保存配置后,重新启动计算机。
高级应用
经过以上配置的Linux路由系统可以完成DNS服务、DHCP服务、FTP服务、Telnet服务、打印服务等功能。下面看看它的一些高级应用。在主控选单选择“a”,进入“Advanced settings”选单,如图5。
图5 Freesco的Advanced settings选单
Freesco提供一个模块化治理的选单,分成“System settings”、“Security/Limitations”、“Users/Passwords”、“Services”、“Hardware”、“Networks”、“Modems”、“Dial-up router”、“Permanent router”九个部分,分别提供38个功能选项。主要包括:
1.网络地址转换(NAT)
NAT可以连接Internet,但不答应网络内的所有计算机都拥有一个真正的Internet IP地址。通过NAT功能,可以将申请的合法Internet IP地址统一治理,当内部的计算机需要上Internet时,动态或静态地将假的IP转换为合法的IP地址。另外,可以使外部网络用户不知道网络的内部结构。
2.PPPoE和PPTP连接互联网
可通过以太网卡接口的ADSL调制解调器连接到网络服务供给商,支持PAP/CHAP的PPP安全认证。
3.固定IP地址连接互联网
可设置对外网络的固定IP地址、子网掩码、默认网关和DNS服务器,适合专线用户。
4.PPP连接互联网
使用普通电话线和56K调制解调器,以PPP方式连接上网。
5.内建DHCP服务器
使网内电脑能够从路由器自动获得网络参数配置,如IP地址、网关和域名服务器地址等,避免对电脑的反复设置,同时可以绑定IP地址和网卡MAC地址。
6.内置DNS服务器
为网内电脑提供域名服务代理,加快主机名对应IP地址的查找,从而提高访问网页的速度,并可自设主机名称和IP地址的解析,支持动态DNS。
7.内置Network Time服务器
Linux网络建议至少建立一台时间服务器来同步本地时间,这样可以使在不同系统上处理收集日志和治理更加轻易。Freesco还提供了一个供Windows使用的客户端软件—FreeTimeClient。
8.端口转发
改变目的IP地址称为目的网络地址转换(Destination NAT),用来实现Internet对内部网络的访问,通常的应用形式为端口转发(Port Forwarding)。目的网络地址转换能够使内部网络中的服务器接受来自Internet的访问,同时受到防火墙的监控。
9.用户治理
通过用户权限的设定,斩断危害网络的“黑手”。
10.主机访问限制
可根据主机的IP地址、网段或网卡MAC地址,限制网内主机在特定时间段访问网外其它电脑,或者使用某些通信协议和服务端口。
11.Banner修改
FTP、Telnet服务程序通常会显示自己的“Banner”,许多系统入侵工具都具备自动获得“Banner”的功能,通过修改“Banner”可以将Linux伪装成Windows主机,减少被入侵的风险。
12.打印服务
支持LPR和RAW协议的打印服务,网内外电脑可以共享连接在路由器并行口或USB的打印机。
13.设置“Read only floppy”
使用软盘介质,将软盘写保护后,系统的启动介质成为只读,而整个系统在内存文件系统上运行,即使系统遭到入侵破坏,也很轻易恢复。
14.远程治理Freesco
Freesco配置好之后,通过一个Web服务器、网络上任何一个计算机的浏览器都可以治理它。在浏览器的IP地址中输入它的地址和治理端口号82,即可见到如图6所示治理界面。对于这样一台Linux系统,在安装完成后完全可以省去显示器、硬盘、键盘、鼠标等,从而大大降低硬件成本。
图6 远程治理Freesco界面
为了使软盘Linux路由系统具备更多的功能,必然要求在软盘空间上容纳更多的内容。然而软盘空间有限,读写速度比较慢,也轻易被损坏。现在比较新的计算机都支持USB闪盘进行启动,所以可以将软盘中的文件拷贝到USB闪盘中,来提高系统工作的性能。
TCP/IP协议是在Unix上发展起来的,并在Linux系统中得到了很好地继续,这使TCP/IP成为Linux系统不可分割的组成部分。因为Linux系统中TCP/IP栈的实现尤为成熟,Linux更是号称拥有业界最强的路由功能,加之其灵活、轻易定制的优点,所以深受资深网管和高水平用户的青睐。
Freesco仅需要使用一台配置较低的电脑就可以实现路由器的功能,使局域网的计算机可以共享一条宽带线路访问互联网,并同时可在互联网和局域网间建立起一道安全的防火墙。该方案适用于家庭、宿舍、小型办公单位网络等使用Linux系统作为路由器的网络环境。(T111)
图1 网络拓扑结构
启动配置
重新启动计算机,在BIOS中设定用软驱启动即可,启动界面见图2。
图2 Freesco Linux启动界面
从图2中可以看到,Freesco工作时使用了RamDisk技术。在Linux中可以将一部分内存当作分区来使用,称之为RamDisk。对于一些经常被访问、并且不会被更改的文件,可以将它们通过RamDisk放在内存中,能够明显地提高系统性能。RamDisk工作于虚拟文件系统(VFS)层,不能格式化,但可以创建多个RamDisk。按“Enter”键进入基础配置,需要说明的是,缺省root账户口令为“root”。
进入Linux后,首先键入“Setup”命令进行基础配置。Freesco提供了交互式的选单向导配置程序,使用更加简单。选择“1”进行路由器基础配置。
1.路由器的基本设置。设置局域网内的IP地址,其它选项根据局域网的实际情况填写即可。对于专门用以连接局域网内部的计算机,系统会根据网卡的型号和网卡中断值等参数来生成程序,所以在配置网卡参数时务求准确,如图3。
图3 配置网卡信息
2.内置服务设置。顾名思义就是为局域网内的计算机提供服务,主要是DNS服务(域名解析服务)、DHCP服务(寻址服务)、FTP服务、Telnet服务、UTC服务等。假如选择了DNS,需要给出DNS服务器的IP地址;选择了DHCP,需要给出供系统分配的IP地址范围,该范围主要根据局域网内的计算机数量而定。
3.确定连接互联网所使用的协议类型。假如是安装了ADSL或线缆调制解调器,可供选择的协议有PPPoE、PPP和DHCP,不同的网络服务商所使用的协议可能会有所不同;假如是使用DDN专线,则要选择固定IP地址;假如是普通调制解调器拨号上网,则要使用PPP协议;假如是VPN连接,需要使用PPTP协议。
另外,还要填写ISP提供商的信息,如接入电话号码、DNS主/辅地址及用户验证方式等,见图4。验证方式包括口令验证协议(PAP)和挑战-握手验证协议(CHAP)。
图4 连接互联网的配置
PAP是一种简单的明文验证方式。NAS(网络接入服务器,Network Access Server)要求用户提供用户名和口令,PAP以明文方式返回用户信息。很明显,这种验证方式的安全性较差,第三方可以很轻易地获取被传送的用户名和口令,并利用这些信息与NAS建立连接,获取NAS提供的所有资源。所以,一旦用户密码被第三方窃取,PAP无法提供避免受到第三方攻击的保障措施。
CHAP是一种加密的验证方式,能够避免建立连接时传送用户的真实密码。NAS向远程用户发送一个挑战口令(Challenge),其中包括会话ID和一个任意生成的挑战字串(Arbitrary Challengestring)。远程客户必须使用MD5单向哈希算法(one-way Hashing Algorithm)返回用户名和加密的挑战口令、会话ID及用户口令,其中用户名以非哈希方式发送。
经过以上配置,Linux路由器就基本完成了。在主控界面下选择“t”,系统会在“router”目录下生成一个report.txt文件。选择“v”,系统会列出刚才所设定的各种设置清单,假如发现清单中的参数需要更改,还可以退回去再行设定。最后选择“s”保存配置后,重新启动计算机。
高级应用
经过以上配置的Linux路由系统可以完成DNS服务、DHCP服务、FTP服务、Telnet服务、打印服务等功能。下面看看它的一些高级应用。在主控选单选择“a”,进入“Advanced settings”选单,如图5。
图5 Freesco的Advanced settings选单
Freesco提供一个模块化治理的选单,分成“System settings”、“Security/Limitations”、“Users/Passwords”、“Services”、“Hardware”、“Networks”、“Modems”、“Dial-up router”、“Permanent router”九个部分,分别提供38个功能选项。主要包括:
1.网络地址转换(NAT)
NAT可以连接Internet,但不答应网络内的所有计算机都拥有一个真正的Internet IP地址。通过NAT功能,可以将申请的合法Internet IP地址统一治理,当内部的计算机需要上Internet时,动态或静态地将假的IP转换为合法的IP地址。另外,可以使外部网络用户不知道网络的内部结构。
2.PPPoE和PPTP连接互联网
可通过以太网卡接口的ADSL调制解调器连接到网络服务供给商,支持PAP/CHAP的PPP安全认证。
3.固定IP地址连接互联网
可设置对外网络的固定IP地址、子网掩码、默认网关和DNS服务器,适合专线用户。
4.PPP连接互联网
使用普通电话线和56K调制解调器,以PPP方式连接上网。
5.内建DHCP服务器
使网内电脑能够从路由器自动获得网络参数配置,如IP地址、网关和域名服务器地址等,避免对电脑的反复设置,同时可以绑定IP地址和网卡MAC地址。
6.内置DNS服务器
为网内电脑提供域名服务代理,加快主机名对应IP地址的查找,从而提高访问网页的速度,并可自设主机名称和IP地址的解析,支持动态DNS。
7.内置Network Time服务器
Linux网络建议至少建立一台时间服务器来同步本地时间,这样可以使在不同系统上处理收集日志和治理更加轻易。Freesco还提供了一个供Windows使用的客户端软件—FreeTimeClient。
8.端口转发
改变目的IP地址称为目的网络地址转换(Destination NAT),用来实现Internet对内部网络的访问,通常的应用形式为端口转发(Port Forwarding)。目的网络地址转换能够使内部网络中的服务器接受来自Internet的访问,同时受到防火墙的监控。
9.用户治理
通过用户权限的设定,斩断危害网络的“黑手”。
10.主机访问限制
可根据主机的IP地址、网段或网卡MAC地址,限制网内主机在特定时间段访问网外其它电脑,或者使用某些通信协议和服务端口。
11.Banner修改
FTP、Telnet服务程序通常会显示自己的“Banner”,许多系统入侵工具都具备自动获得“Banner”的功能,通过修改“Banner”可以将Linux伪装成Windows主机,减少被入侵的风险。
12.打印服务
支持LPR和RAW协议的打印服务,网内外电脑可以共享连接在路由器并行口或USB的打印机。
13.设置“Read only floppy”
使用软盘介质,将软盘写保护后,系统的启动介质成为只读,而整个系统在内存文件系统上运行,即使系统遭到入侵破坏,也很轻易恢复。
14.远程治理Freesco
Freesco配置好之后,通过一个Web服务器、网络上任何一个计算机的浏览器都可以治理它。在浏览器的IP地址中输入它的地址和治理端口号82,即可见到如图6所示治理界面。对于这样一台Linux系统,在安装完成后完全可以省去显示器、硬盘、键盘、鼠标等,从而大大降低硬件成本。
图6 远程治理Freesco界面
为了使软盘Linux路由系统具备更多的功能,必然要求在软盘空间上容纳更多的内容。然而软盘空间有限,读写速度比较慢,也轻易被损坏。现在比较新的计算机都支持USB闪盘进行启动,所以可以将软盘中的文件拷贝到USB闪盘中,来提高系统工作的性能。
TCP/IP协议是在Unix上发展起来的,并在Linux系统中得到了很好地继续,这使TCP/IP成为Linux系统不可分割的组成部分。因为Linux系统中TCP/IP栈的实现尤为成熟,Linux更是号称拥有业界最强的路由功能,加之其灵活、轻易定制的优点,所以深受资深网管和高水平用户的青睐。
Freesco仅需要使用一台配置较低的电脑就可以实现路由器的功能,使局域网的计算机可以共享一条宽带线路访问互联网,并同时可在互联网和局域网间建立起一道安全的防火墙。该方案适用于家庭、宿舍、小型办公单位网络等使用Linux系统作为路由器的网络环境。(T111)