Toon posts:

Ervaringen met BSD-firewall/router: m0n0wall

Pagina: 1
Acties:

dinsdag 30 maart 2004 14:59

Acties:

Verwijderd

Topicstarter
Mijn Ipcop linux-doos heeft een beetje kuurtjes, na 7 maanden goed gedaaid te hebben. Nu kwam ik op het internet: http://m0n0.ch/wall/ tegen, dit lijkt me wel interresant, echter is er niet veel info over deze firewall/NAT-router te vinden.

Ik zou graag jullie ervaringen willen weten en evt. is het mogelijk om mods/plugins, configuraties, etc hier te kunnen delen.

Laterz,

Raymond

woensdag 31 maart 2004 10:24

Acties:

Verwijderd

Ik heb M0n0wall een aantal malen zakelijk neergezet. Het is een super stabiel firewall distrootje. Wat ik een groot voordeel vind, is dat je ook regels op kan stellen voor uitgaand verkeer. Iets dat ik bij andere firewall distro's niet ben tegen gekomen.

woensdag 31 maart 2004 12:09

Acties:

Verwijderd

Topicstarter
Wat ik niet helemaal begrijp is dat het zonder HDD kan draaien, wordt de floppy als config. opslag gebruikt? Er zit geen web-proxy mogelijkheden op, dat vind ik wel jammer. Is het makkelijk te configureren en evt. op je persoonlijke wensen aan te passen? Ik heb geen BSD kennis en maar net aan Linux begonnen, dus daarom ben ik er een beetje huiverig voor. Er is ook niet een speciaal forum aan m0n0wall toegewijd, dit is er wel voor Ipcop, Smoothwall of Clarkconnect.

Is het de moeite waard om van Ipcop over te stappen naar M0n0wall? Hoe staat het met hardware ondersteuning?

[ Voor 25% gewijzigd door Verwijderd op 31-03-2004 12:14 ]

woensdag 31 maart 2004 12:49

Acties:

Verwijderd

Verwijderd schreef op 31 maart 2004 @ 12:09:
Er is ook niet een speciaal forum aan m0n0wall toegewijd, dit is er wel voor Ipcop, Smoothwall of Clarkconnect.

Is het de moeite waard om van Ipcop over te stappen naar M0n0wall? Hoe staat het met hardware ondersteuning?
Een forum?
http://forum.minddigger.c...viewforum.php?forum=44&17

Maar meer weet ik er ook niet van

woensdag 31 maart 2004 13:30

Acties:

Verwijderd

mijn m0n0wall ervaring:
Twee soekrisen met cryptocard en m0n0wall moetsten VPN gaan doen. Werkte super, maar met debuggen was het vervelend dat er geen commandline beschikbaar was. Uiteindelijk is het toen een grotere CF card geworden met FreeBSD.
m0n0wall is dus super voor een simpele router/gateway/vpn die beheerd wordt door iemand die verslaafd is aan browsers/muis.
Wat wel mooi is is dat m0n0wall met een XML config werkt, die dus makkelijk leesbaar is een makkelijk met cvs/diff

[ Voor 15% gewijzigd door Verwijderd op 31-03-2004 13:31 ]

woensdag 31 maart 2004 14:07

Acties:
  • renekosterman
  • Registratie: Februari 2003
  • Laatst online: 04-03-2019

renekosterman

Ik draai nu ongeveer 3 maanden m0n0wall (sinds versie pb15) en ben er zeer tevreden over, bij mij is deze nog nooit uitgevallen.

Wat ik een groot voordeel vind aan m0n0wall is de traffic shaper daarmee kan je een bandbreedte beperking opstellen voor een bepaald ip en poort. O-)

Echt een aanrader! :Y)

donderdag 1 april 2004 12:25

Acties:

Verwijderd

Topicstarter
Ik heb net m0n0wall geinstaleerd op een testbak. Het is echt makkelijk aan de praat te krijgen, echter dat traffic shaper vind ik wel gecompliceerd met queues, pipes en rules, het NAT gedeelte snap ik ook niet 123.

Downtime, kan jij die traffic shaper uitleggen, of weet je een goede site? Het ziet er wel interresant uit ja. Een voordeel bij Ipcop vind ik die mod om het Kazaa/ Grokster P2P-netwerk dicht te gooien, mis ik hier wel, of kan dat op een andere manier?

[ Voor 32% gewijzigd door Verwijderd op 01-04-2004 12:38 ]

donderdag 1 april 2004 17:38

Acties:
  • pierre-oord
  • Registratie: April 2002
  • Laatst online: 15-01 10:55

pierre-oord

Verwijderd schreef op 01 april 2004 @ 12:25:
Ik heb net m0n0wall geinstaleerd op een testbak. Het is echt makkelijk aan de praat te krijgen, echter dat traffic shaper vind ik wel gecompliceerd met queues, pipes en rules, het NAT gedeelte snap ik ook niet 123.

Downtime, kan jij die traffic shaper uitleggen, of weet je een goede site? Het ziet er wel interresant uit ja. Een voordeel bij Ipcop vind ik die mod om het Kazaa/ Grokster P2P-netwerk dicht te gooien, mis ik hier wel, of kan dat op een andere manier?
Misschien werkt het htb.init script? zoeken op htb.init en check de sourceforge page. maar een paar kb groot :)

Ondernemer in tech (oud LOQED.com, nu UpToMore.com)

vrijdag 2 april 2004 18:09

Acties:

Verwijderd

Topicstarter
Ik heb net M0n0wall als firewall/NAT-router geinstalleerd, opt1 heb ik naar DMZ veranderd, op de DMZ zit een ftp-/ http-/ smtp- server, echter kan ik deze niet bereiken vanuit LAN-subnet en ook niet vanaf WAN. Ik kan ook niet de server-ip in DMZ pingen :(


Ik heb het volgende gedaan;

Proto Ext. port range NAT IP
(ext. IP) Int. port range Description
TCP 25 (SMTP) 192.168.131.130 25 (SMTP) SMTP forwarded to Clarkconnect server
TCP 80 (HTTP) 192.168.131.130 80 (HTTP) HTTP forwarded to Clarkconnect server
TCP/UDP 21 (FTP) 192.168.131.130 21 (FTP) FTP forwarded to Clarkconnect server

Nu wordt automatisch firewall rules aangemaakt door m0n0wall

EDITJE


Ik snap er niet van opeens stopt m0n0wall met routeren, kan niet DMZ gateway meer pingen, kan niet de WAN-interface meer pingen alleen nog maar LAN-gateway. Volgens settings is WAN up;

Heb wat logfiles hier van systems settiings en van de Syslog-client:

Bootlog; Last 50 system log entries

Apr 2 19:10:51 /kernel: vx0: <3COM 3C595 Fast Etherlink III PCI> port 0xe400-0xe41f irq 12 at device 11.0 on pci0
Apr 2 19:10:51 /kernel: [*mii*]: disable 'auto select' with DOS util! address 00:a0:24:9d:96:08
Apr 2 19:10:51 /kernel: vx0: driver is using old-style compatibility shims
Apr 2 19:10:51 /kernel: xl0: <3Com 3c905B-TX Fast Etherlink XL> port 0xe800-0xe87f mem 0xec001000-0xec00107f irq 10 at device 13.0 on pci0
Apr 2 19:10:51 /kernel: xl0: Ethernet address: 00:10:4b:7b:69:05
Apr 2 19:10:51 /kernel: miibus0: <MII bus> on xl0
Apr 2 19:10:51 /kernel: xlphy0: <3Com internal media interface> on miibus0
Apr 2 19:10:51 /kernel: xlphy0: 10baseT, 10baseT-FDX, 100baseTX, 100baseTX-FDX, auto
Apr 2 19:10:51 /kernel: xl1: <3Com 3c900B-TPO Etherlink XL> port 0xec00-0xec7f mem 0xec000000-0xec00007f irq 11 at device 15.0 on pci0
Apr 2 19:10:51 /kernel: xl1: Ethernet address: 00:50:da:d0:e7:09
Apr 2 19:10:51 /kernel: xl1: selecting 10baseT transceiver, half duplex
Apr 2 19:10:51 /kernel: orm0: <Option ROM> at iomem 0xc0000-0xc7fff on isa0
Apr 2 19:10:51 /kernel: pmtimer0 on isa0
Apr 2 19:10:51 /kernel: fdc0: <NEC 72065B or clone> at port 0x3f0-0x3f5,0x3f7 irq 6 drq 2 on isa0
Apr 2 19:10:51 /kernel: fdc0: FIFO enabled, 8 bytes threshold
Apr 2 19:10:51 /kernel: fd0: <1440-KB 3.5" drive> on fdc0 drive 0
Apr 2 19:10:51 /kernel: atkbdc0: <Keyboard controller (i8042)> at port 0x60,0x64 on isa0
Apr 2 19:10:51 /kernel: vga0: <Generic ISA VGA> at port 0x3c0-0x3df iomem 0xa0000-0xbffff on isa0
Apr 2 19:10:51 /kernel: sc0: <System console> at flags 0x100 on isa0
Apr 2 19:10:51 /kernel: sc0: VGA <16 virtual consoles, flags=0x300>
Apr 2 19:10:51 /kernel: sio0 at port 0x3f8-0x3ff irq 4 flags 0x10 on isa0
Apr 2 19:10:51 /kernel: sio0: type 16550A
Apr 2 19:10:51 /kernel: sio1: configured irq 3 not in bitmap of probed irqs 0
Apr 2 19:10:51 /kernel: BRIDGE 020214 loaded
Apr 2 19:10:51 /kernel: IPsec: Initialized Security Association Processing.
Apr 2 19:10:51 /kernel: IP Filter: v3.4.31 initialized. Default = block all, Logging = enabled
Apr 2 19:10:51 /kernel: acd0: CDROM <TOSHIBA CD-ROM XM-6002B> at ata1-master PIO3
Apr 2 19:10:51 /kernel: Mounting root from ufs:/dev/md0c
Apr 2 19:10:51 /kernel: vx0: warning: strange connector type in EEPROM.
Apr 2 19:10:51 /kernel: vx0: selected utp. (forced)
Apr 2 19:10:52 dnsmasq[74]: started, version 1.18 cachesize 150
Apr 2 19:10:52 dnsmasq[74]: read /etc/hosts - 4 addresses
Apr 2 19:10:52 dhcpd: Internet Software Consortium DHCP Server V3.0.1rc11
Apr 2 19:10:52 dnsmasq[74]: reading /etc/resolv.conf
Apr 2 19:10:52 dhcpd: Copyright 1995-2003 Internet Software Consortium.
Apr 2 19:10:52 dnsmasq[74]: using nameserver 212.142.9.50#53
Apr 2 19:10:52 dhcpd: All rights reserved.
Apr 2 19:10:52 dnsmasq[74]: using nameserver 212.142.28.66#53
Apr 2 19:10:52 dhcpd: For info, please visit http://www.isc.org/products/DHCP
Apr 2 19:10:54 dhclient: DHCPDISCOVER on xl1 to 255.255.255.255 port 67 interval 8
Apr 2 19:10:54 dhclient: DHCPOFFER from 10.98.128.1
Apr 2 19:10:54 dhclient: DHCPREQUEST on xl1 to 255.255.255.255 port 67
Apr 2 19:10:54 dhclient: DHCPACK from 10.98.128.1
Apr 2 19:10:54 dhclient: New Network Number: 80.57.56.0
Apr 2 19:10:54 dhclient: New Broadcast Address: 255.255.255.255
Apr 2 19:10:54 dhclient: New IP Address (xl1): 80.57.56.3
Apr 2 19:10:54 dhclient: New Subnet Mask (xl1): 255.255.254.0
Apr 2 19:10:54 dhclient: New Broadcast Address (xl1): 255.255.255.255
Apr 2 19:10:54 dhclient: New Routers: 80.57.56.1
Apr 2 19:10:56 dhclient: bound to 80.57.56.3 -- renewal in 212563 seconds.

Syslog;
04-02-2004 19:03:03 Local0.Warning 192.168.130.129 Apr 2 19:02:50 ipmon[61]: 19:02:50.318506 xl0 @0:18 b 192.168.130.137,1041 -> 212.142.28.66,53 PR udp len 20 66 IN
04-02-2004 19:02:59 Local0.Warning 192.168.130.129 Apr 2 19:02:46 ipmon[61]: 19:02:46.317504 xl0 @0:18 b 192.168.130.137,1041 -> 212.142.28.66,53 PR udp len 20 66 IN
04-02-2004 19:02:57 Local0.Warning 192.168.130.129 Apr 2 19:02:44 ipmon[61]: 19:02:44.316992 xl0 @0:18 b 192.168.130.137,1041 -> 212.142.28.66,53 PR udp len 20 66 IN
04-02-2004 19:02:56 Local0.Warning 192.168.130.129 Apr 2 19:02:43 ipmon[61]: 19:02:43.316752 xl0 @0:18 b 192.168.130.137,1041 -> 212.142.28.66,53 PR udp len 20 66 IN
04-02-2004 19:02:55 Local0.Warning 192.168.130.129 Apr 2 19:02:42 ipmon[61]: 19:02:42.317406 xl0 @0:18 b 192.168.130.137,1041 -> 212.142.28.66,53 PR udp len 20 66 IN
04-02-2004 19:02:49 Local0.Warning 192.168.130.129 Apr 2 19:02:36 ipmon[61]: 19:02:35.967833 xl0 @0:18 b 192.168.130.137,1305 -> 131.174.93.58,25 PR tcp len 20 48 -S IN
04-02-2004 19:02:47 Local0.Warning 192.168.130.129 Apr 2 19:02:35 ipmon[61]: 19:02:35.312751 xl0 @0:18 b 192.168.130.137,1041 -> 212.142.28.66,53 PR udp len 20 66 IN
04-02-2004 19:02:43 Local0.Warning 192.168.130.129 Apr 2 19:02:31 ipmon[61]: 19:02:31.311745 xl0 @0:18 b 192.168.130.137,1041 -> 212.142.28.66,53 PR udp len 20 66 IN


Maar goed dat ik Ipcop op de HD van server heb draaien, ff inpluggen, boot sequence veranderen en kan weer het net op.

OK, wat gaat er fout BSD-whizkids?

Nog een EDITJE;

Mischien is het makkelijk, voor mij en ook andere, om het DMZ portworwarding verhaal vanuit aan werkende xml-config te sleuren en hier te pleuren, dan weet men hoe het er ongeveer uit moet zien.

[ Voor 83% gewijzigd door Verwijderd op 02-04-2004 19:30 . Reden: Toevoegingen ]

zondag 4 april 2004 17:15

Acties:

Verwijderd

Topicstarter
Is er echt niemand die meer kan vertellen over het configureren van m0n0wall mbt. DMZ, traffic shaper, rules etc.?

Aangezien er geen fatsoenlijke documentatie over deze distro bestaat, wil ik zelf wat in elkaar gooien. Check http://members.chello.nl/r.uphoff voor opzet. Als personen hier wat configuratie tips en evt. URL's voor extra info kunnen posten, dan kan ik dit linken op de site. Zo komt er misschien nog iets van de grond!

[ Voor 60% gewijzigd door Verwijderd op 04-04-2004 19:41 ]

zaterdag 31 juli 2004 18:21

Acties:
  • Ruudjah
  • Registratie: November 1999
  • Laatst online: 06-09-2025

Ruudjah

2022

Voldoende documentatie is er zeker wel, check de mailinglists van m0n0wall, op de site onder 'support'. Verder is er nu een documentatie project aan de gang, die in het engels vrij goed is. Hij is echter niet helemaal compleet, waardoor het zou kunnen dat de hulp voor jouw config er niet in beschreven staat. In dat geval kan je een mailtje sturen naar de lijsten.

Verder heb ik er zelf ook vrij veel ervaring in, dus als je vragen hebt, post ze hier ff duidelijk op het forum, dan kan ik kijken of ik een oplossoing voor je kan vinden.

Ik heb nu zelf 2 bakken van m0n0wall aan de praat, een hier thuis met 30 traffic shaping rules (hele p2p gebeuren maar gecapt :7). Verder heb ik ook in beide bakken een pcmcia-->pci converter in gedaan met een prism 2 wireless kaartje, waardoor ik nu behoorlijk beveiligd wireless ben (MAC adres, WEP met daarbovenop nog VPN, knappe jongen die daardoorheen komt). Omdat ik niet helemaal in dit huis bereik kan krijgen, heb ik er een 2de accesspoint aan geknoopt, via een extra nic. Ook dit werkt subliem, omdat je per nic een firewall in kan stellen.
Verder heb ik bij mijn ouders ook een bal staan, die ongeveer hetzelfde doet, alleen met wat minder config regels. Ook die doet wireless, alleen is de antenne nog niet helemaal ok. Die ga ik binnenkort fixen, zodra dat klaar is zal ik hier op NT een verslag doen van mijn wireless (m0n0wall) gebeuren.

TweakBlog

zondag 1 augustus 2004 08:33

Acties:

Verwijderd

Verwijderd schreef op 31 maart 2004 @ 10:24:
Wat ik een groot voordeel vind, is dat je ook regels op kan stellen voor uitgaand verkeer. Iets dat ik bij andere firewall distro's niet ben tegen gekomen.
http://martybugs.net/smoothwall/iptables.cgi

In Smoothwall kun je heel eenvoudig lekker aan de firewalll regels knutselen. Zie onder. Op het Smoothwall forum is er een sectie "Modifications" waar allerlei mods staan zoals VPN, traffic, UPnP voor MSN (voor hogere versies als Messenger 6.2), etc.
De basis installatie van Smoothwall is met een beetje basic Linux kennis prima uit te voeren. Update met de 3 fixes de laatste security, voeg de UPnP voor vrije soepele voice/video MSN toe en draaien.
Het is een echte router, dus er draaien standaard geen mail of webservers op. Via de webadmin/webbrowser is het forwarden van poorten en zeer eenvoudig: aanvinken, invullen en opslaan.
Op die manier werkt ook Gnomeeting onder Linux perfekt.
Mijn Smoothwall draait op een Pentium 133/24 MB, loopt als een trein.
Block Outbound Traffic From Specific PCs:
If you want to prevent one or more specific PCs on your green network from accessing the internet, edit /etc/rc.d/rc.firewall.up and immediately after the line containing
/sbin/iptables -P OUTPUT ACCEPT

insert the following

# block all outgoing traffic from this PC
/sbin/iptables -A FORWARD -p ALL -i $GREEN_DEV -s 192.168.0.3 -j DROP

To block specific traffic from a PC on your green network (ie, web traffic on port 80), use

# block all outgoing web traffic from this PC
/sbin/iptables -A FORWARD -p TCP -i $GREEN_DEV -s 192.168.0.3 --dport 80 -j DROP

Note that blocking outbound traffic in this way won't have any effect if you have Smoothwall's web proxy enabled, and the user configures their browser to use the proxy. To block this traffic too, you'll either need to block incoming traffic from that user on port 800 (the web proxy port), or implement an ACL in Squid.

You can also block traffic based on the source MAC address:

# block all outgoing traffic from this PC
/sbin/iptables -A FORWARD -p ALL -i $GREEN_DEV -m mac --mac-source XX:XX:XX:XX:XX:XX -j DROP

Only Allow Outbound Traffic From Specific PCs:
If you want to block all outbound traffic from your green network, and only allow one or more specific PCs to access the intenet, edit /etc/rc.d/rc.firewall.up and immediately after the line containing

/sbin/iptables -P OUTPUT ACCEPT

insert the following

# allow outgoing traffic from these PCs
/sbin/iptables -A FORWARD -p ALL -i $GREEN_DEV -s 192.168.0.3 -j ACCEPT
/sbin/iptables -A FORWARD -p ALL -i $GREEN_DEV -s 192.168.0.4 -j ACCEPT
# block all other outgoing traffic
/sbin/iptables -A FORWARD -p ALL -i $GREEN_DEV -s 0/0 -j DROP

Note that blocking outbound traffic in this way won't have any effect if you have Smoothwall's web proxy enabled, and the user configures their browser to use the proxy. To block this traffic too, you'll either need to block incoming traffic from that user on port 800 (the web proxy port), or implement an ACL in Squid.

[ Voor 3% gewijzigd door Verwijderd op 01-08-2004 08:33 ]

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq