SmoothWall 防火牆軟路由安裝+配置詳解

一、前言：
本來搜尋DRL但是看到沒有什麼關於SW更好的教程，為了方便大家所以作了這個教程。

1、感謝ahui兄的軟體簡介：
SmoothWall是歐洲成功的Open Source項目之一,它可以協助你把一台已經淘汰的386,486機器變成一台功能強大,穩定的防火搶路由器!它已經被超過300,000個使用者,21 個國家使用!SmoothWall同時支援ISDN,ASDL/Cable和多網卡等網路裝置,最令人不可思議的是所有這些都可以在5分鐘之內配置完成! 基於Web的管理和支援SSH,DHCP,完整的防火牆工具在其商業版本中會有提供。

我感覺一般使用者沒有必要用3.0商業版本。一般的個人、中小企業、網吧使用這個2.0就足以了。因為SmoothWall 2.0需要自己配置很低，所以你可以把你的報廢機子枝頭變鳳凰了。而且安裝十分簡單，一看就會。這個軟體是繼續Red hat9 linux作業系統下的，本身內建Red hat9 linux簡版。

聲明：SW不是軟路由，是防火牆。NAT只是內帶的功能而已。但的確很強大。

2、下面我們來說說基本需要機子的配置情況，實際很隨便的。記憶體32m以上（建議用個64的因為如果抵抗攻擊的話還是要用到的）；光碟機（安裝好後可一卸掉不用）；硬碟大於500m就可以了（建議使用2G，因為可能會儲存一些日誌什麼的）不要使用SCIS硬碟因為這個版本不支援；顯卡（隨便可以顯示就可以了）；CPU奔騰以上就可以了；顯示器、鍵盤安裝的時候需要，安裝好後可以卸掉。就這些可以了，隨隨便便的機子基本都可以支援的。這個就是這個軟體的最大優勢。

3、安裝方法可以採用2種，一個是光碟片安裝，一個是網路安裝。一般都會使用光碟片安裝的。去官方(/Article/UploadFiles/200507/20050715091005225.png
分區、系統檔案安裝完畢，下面進行配置。3個按鈕，1、自動搜尋 2、手動尋找 3、取消，建議使用常用的幾種晶片的網卡。因為這樣sw比較容易搜尋到驅動

/Article/UploadFiles/200507/20050715091007452.png
SW尋找到了我的是AMD的網卡，按“OK”確認 繼續安裝

/Article/UploadFiles/200507/20050715091008384.png
系統安裝完成，您現在可以將磁碟片或光碟片取出了。安裝即將進行的是您網路的配置以及設計SW3個使用者的密碼。你現在可以使用http://剛剛設定的IP: 81 和 https://剛剛設定的IP:441進行SW的日常管理了。下面即將進行的是進階配置，例如內網網卡、網際網路共用等等的設定。

/Article/UploadFiles/200507/20050715091008177.png
這個是USB ADSL貓的設定，選擇型號

/Article/UploadFiles/200507/20050715091008570.png
這裡是選擇USB ADSL的型號，我沒有，返回。仍然點“關閉ADSL”繼續下一步

/Article/UploadFiles/200507/20050715091008801.png
選擇第二個進行 內網網卡的驅動安裝

/Article/UploadFiles/200507/20050715091008477.png
這裡也是三個選項，1、固定IP選擇這個 2、是動態ip 3、是ADSL撥號使用者
這個選項給固定IP使用者使用的，比如光纜使用者，企業級使用者一般都是這個。寫上你的外網固定IP以及遮掩碼

/Article/UploadFiles/200507/20050715091008429.png
提示安裝完成，點“OK”結束安裝 將會從新啟動電腦

/Article/UploadFiles/200507/20050715091009601.png
輸入SETUP使用者以及密碼進入 管理SW常用配置。剛剛安裝時候的配置都可以更改。

/Article/UploadFiles/200507/20050715091009424.png
SW的WEB管理 看地址，我們要使用剛剛設定的內網地址 訪問的。

/Article/UploadFiles/200507/20050715091009820.png
這裡是SW顯示的所有正在啟動並執行服務。
Logging server（系統日至服務）
DHCP server（動態ip分配服務，如果區域網路需要動態ip分配可以啟用）
DNS proxy server（SW的DNS服務，如果你想屏蔽一些網站也可以用這個功能把你想要屏蔽的網站的ip改掉就可以了。）
Kernel logging server（防火牆日誌的服務，這個佔用空間很大，所以建議小硬碟使用者關閉掉，關閉方法後面講到）
Web proxy（一般的網頁代理服務）
Web server（SW的web服務，你管理頁面用的必須是這個服務）
Secure shell server（安全殼層服務，不知道什麼東東）
Intrusion Detection System（入侵保護系統，對小型的攻擊能起到一些防範作用。）
CRON server（時間服務，你選擇地區可以自動校對時間。可是沒有亞洲北京，但是有上海，也一樣。）
VPN（虛擬專網服務，對於企業使用者一般會使用這個。）

/Article/UploadFiles/200507/20050715091009413.png
家庭的撥號使用者使用的都是這個設定，pppoe撥號協議。
首先可以建立一個撥號資訊，好像一共可以建立5個，隨時切換，但是感覺用處不大吧？。
ADSL撥號首先必須選擇pppoe協議才可以；
還可以啟用：
1、Persistent connection(斷線重撥)
2、Connect on SmoothWall restart(sw啟動後自動撥號)
3、Automatic reboot if connection down for 5 minutes(斷線超過5分鐘後自動重啟SW)

/Article/UploadFiles/200507/20050715091009488.png
防火牆進階配置
Block ICMP ping:禁止ping功能
Enable SYN cookies:防止洪水攻擊
Block and ignore IGMP packets:屏蔽並且忽略igmp的資料包
Block and ignore multicast traffic:屏蔽並且忽略多點傳輸。（防止區域網路內使用多線下載的功能。）
Enable UPnP (Universal Plug and Play) support: 允許upnp（通用隨插即用），可能是自動對應連接埠的功能

[1] [2] [3] 下一頁

文章錄入：csh 責任編輯：csh

/Article/UploadFiles/200507/20050715091009648.png
ip攻擊，可以對你指定的ip做出一些探測。有ping和路由表的功能。

/Article/UploadFiles/200507/20050715091010492.png
在sw中設定你的pstn modem和isdn的ta。沒用過哦。

/Article/UploadFiles/200507/20050715091010288.png
升級usb adsl modem的firmware。

/Article/UploadFiles/200507/20050715091010354.png
關機 以及 重起

/Article/UploadFiles/200507/20050715091010992.png
設定好後選擇更新列表出來你需要升級的補丁。然後去官方下補丁上傳檔案就可以了，很簡單。升級好的補丁都會出現在以打補丁的列表裡面。

四、以下講解一些怎麼樣關閉掉Log Service（有人問為什麼要關掉日誌？因為SW的這個日誌是記錄很詳細的及其工作情況佔用了很大的硬碟空間，關掉它1、小硬碟使用者不用擔心硬碟太小不能使用SW了；2、不用擔心這個這個日誌一直向硬碟寫資料而導致佔用了大量系統資源的情況而擔心了。而且關掉這個日誌又不耽誤大家查看日誌，所以建議關掉）：
首先下一個可以SSH 傳送檔案的軟體，我感覺WinSCP/SSH Secure File Transfer Client就很不錯了。
/Article/UploadFiles/200507/20050715091011318.png
在
echo "Starting klogd"
/sbin/klogd
這2行前面加上“#”
如
#echo "Starting klogd"
#/sbin/klogd
然後點擊上方的磁碟片表徵圖儲存，或者是按Ctrl+s進行儲存
儲存後關閉此視窗，重新啟動SW即可生效了。

/Article/UploadFiles/200507/20050715091011106.png
看到沒有？現在的服務狀態，“Kernel logging server”是停止狀態，說明已經被成功停止了。小硬碟使用者再也不用擔心了。。。

五、下面講解下可以讓SW支援迴流的方法（最先提出此方法原創：zhunaoke）：
請大家按照我的方法推斷你們的具體解決方案，不可照搬只能照推！！
我的舉例子的條件：我例如我的外網IP是：192.168.0.66，內網IP是:192.168.0.88，要映射的連接埠是：“80”目標映射IP地址是：192.168.0.1
建立一個檔案，更名為：“ip.sh”，其他名稱也可以，但事尾碼必須是“.sh”
然後開啟這個檔案再裡面輸入：
sh ＜斷行符號＞
iptables -t nat -A PREROUTING -d 192.168.0.66 -p tcp --dport 80 -j DNAT --to 192.168.0.1 ＜斷行符號＞
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 192.168.0.1 -p tcp --dport 80 -j SNAT --to 192.168.0.88 ＜斷行符號＞
注意：以上的＜斷行符號＞都是操作，不要輸入進去！！！！

/Article/UploadFiles/200507/20050715091011381.png
然後把這個檔案傳到 “root”根目錄下。

/Article/UploadFiles/200507/20050715091011456.png
進入“/etc/rc.d/”目錄下找到一個叫rc.sysinit檔案下載下來在檔案最後一行增加一行：“/root/ip.sh” 儲存，重起就支援了，但是啟動速度慢了點。

六、單線雙ip使用smoothwall（原創：SW論壇的rumptis）
1、原文：
This has only taken me a Week to figure out. Using this you don't need to do anything with the GUI.

You can add this to the bottom of the "/etc/rc.d/rc.firewall.up" Script

# Add more Real World IP Address to your RED interface This shows 2 being added

ifconfig eth1:1 166.138.52.123 broadcast 165.138.52.255 netmask 255.255.255.0
ifconfig eth1:2 166.138.52.124 broadcast 165.138.52.255 netmask 255.255.255.0

# How to forward Ports into your GREEN Network you can do the same port on Multiple Real World IP Address: Here I'm showing Forwarding port 80 to 2 different IP Address on the GREEN Network

. /var/smoothwall/ethernet/settings

# Computer 1
iptables -I PREROUTING -t nat -p tcp --dport 80 -d 166.138.52.123 -j DNAT --to 192.168.13.10
iptables -I FORWARD -p tcp -d 192.168.13.10 --dport 80 -i $RED_DEV -o $GREEN_DEV -j ACCEPT

# Computer 2
iptables -I PREROUTING -t nat -p tcp --dport 80 -d 166.138.52.124 -j DNAT --to 192.168.13.11
iptables -I FORWARD -p tcp -d 192.168.13.11 --dport 80 -i $RED_DEV -o $GREEN_DEV -j ACCEPT

2、圖文：
/Article/UploadFiles/200507/20050715091011184.pn

上一頁 [1] [2] [3] 下一頁

文章錄入：csh 責任編輯：csh

在檔案最下面輸入
# Add more Real World IP Address to your RED interface This shows 2 being added

ifconfig eth1:1 166.138.52.123 broadcast 165.138.52.255 netmask 255.255.255.0
ifconfig eth1:2 166.138.52.124 broadcast 165.138.52.255 netmask 255.255.255.0

# How to forward Ports into your GREEN Network you can do the same port on Multiple Real World IP Address: Here I'm showing Forwarding port 80 to 2 different IP Address on the GREEN Network
就是我選中的部分。然後儲存關閉

/Article/UploadFiles/200507/20050715091012773.png
添加以下內容到檔案最下面
# Computer 1
iptables -I PREROUTING -t nat -p tcp --dport 80 -d 166.138.52.123 -j DNAT --to 192.168.13.10
iptables -I FORWARD -p tcp -d 192.168.13.10 --dport 80 -i $RED_DEV -o $GREEN_DEV -j ACCEPT

# Computer 2
iptables -I PREROUTING -t nat -p tcp --dport 80 -d 166.138.52.124 -j DNAT --to 192.168.13.11
iptables -I FORWARD -p tcp -d 192.168.13.11 --dport 80 -i $RED_DEV -o $GREEN_DEV -j ACCEPT

儲存退出，從新啟動機器。。

七、SW屏蔽25連接埠
/Article/UploadFiles/200507/20050715091012863.png
在檔案最後一行加入以下資訊
#25
iptables -A FORWARD -p tcp --dport 25 -j DROP

重新啟動就可以了。

八、忘記密碼（作者：srsman）
先重起smoothwall
等到出現smoothwall的啟動畫面時按TAB鍵
電腦會出現以下提示

SmoothWall
boot:

這時你在boot後面輸入 smoothwall single 再按斷行符號
這時的smoothwall就進入了single user 模式
等smoothwall啟動完後會自動入進#提示模式
用過linux或UNIX的朋友都知道現在可以做什麼了：)
現在我們來改root密碼
輸入
passwd root 斷行符號

跟著輸入你要改的密碼兩次就OK了
如果你要改setup和admin的密碼
那你最好先重起一下smoothwall (命令：shutdown -r now))
這次重起就讓Smoothwall自已進入正常模式!
你再用你才改的root密碼進入smoothwall
我們先來改setup的密碼
命令是 passwd setup
同樣的輸入兩次你要改的密碼就OK了
admin使用者的密碼root 還有setup的密碼改法有點不一樣!
因為admin是網頁管理員模式的使用者要用以下的命令
htpasswd /var/smoothwall/auth/users admin
這下密碼就改完了!祝大家好運!

九、總結
我感覺SW簡單易學，本教程適用於菜鳥層級。SW2.0對一般家庭企業使用者已經足夠了，如果你是大企業使用者可以購買SW3.0，提供了更人性化的操作，以及更為完善的服務。

SW本身沒有內建FTP等服務，如果你感覺SW安裝完成後的配置特別麻煩的話，如果你的機子配置比較不錯的話可以選用CC。主要看個人的喜好了，我還是著重喜歡CC。

感謝：txwm中發表各種意見的大俠們，感謝珠海心情 胖子 在QQ給予的指導。

謝謝大家，如果您對我的操作感覺有什麼不對的地方請指出，只能怪我才書學淺了...請指教請指教…… 謝謝！