SmoothWall 防火墙软路由安装+配置详解

一、前言：
本来搜索DRL但是看到没有什么关于SW更好的教程，为了方便大家所以作了这个教程。

1、感谢ahui兄的软件简介：
SmoothWall是欧洲成功的Open Source项目之一,它可以帮助你把一台已经淘汰的386,486机器变成一台功能强大,稳定的防火抢路由器!它已经被超过300,000个用户,21 个国家使用!SmoothWall同时支持ISDN,ASDL/Cable和多网卡等网络设备,最令人不可思议的是所有这些都可以在5分钟之内配置完成! 基于Web的管理和支持SSH,DHCP,完整的防火墙工具在其商业版本中会有提供。

我感觉一般用户没有必要用3.0商业版本。一般的个人、中小企业、网吧使用这个2.0就足以了。因为SmoothWall 2.0需要自己配置很低，所以你可以把你的报废机子枝头变凤凰了。而且安装十分简单，一看就会。这个软件是继续Red hat9 linux操作系统下的，本身自带Red hat9 linux简版。

声明：SW不是软路由，是防火墙。NAT只是内带的功能而已。但的确很强大。

2、下面我们来说说基本需要机子的配置情况，实际很随便的。内存32m以上（建议用个64的因为如果抵抗攻击的话还是要用到的）；光驱（安装好后可一卸掉不用）；硬盘大于500m就可以了（建议使用2G，因为可能会保存一些日志什么的）不要使用SCIS硬盘因为这个版本不支持；显卡（随便可以显示就可以了）；CPU奔腾以上就可以了；显示器、键盘安装的时候需要，安装好后可以卸掉。就这些可以了，随随便便的机子基本都可以支持的。这个就是这个软件的最大优势。

3、安装方法可以采用2种，一个是光盘安装，一个是网络安装。一般都会使用光盘安装的。去官方(/Article/UploadFiles/200507/20050715091005225.png
分区、系统文件安装完毕，下面进行配置。3个按钮，1、自动搜索 2、手动查找 3、取消，建议使用常用的几种芯片的网卡。因为这样sw比较容易搜索到驱动

/Article/UploadFiles/200507/20050715091007452.png
SW查找到了我的是AMD的网卡，按“OK”确认 继续安装

/Article/UploadFiles/200507/20050715091008384.png
系统安装完成，您现在可以将软盘或光盘取出了。安装即将进行的是您网络的配置以及设计SW3个用户的密码。你现在可以使用http://刚刚设置的IP: 81 和 https://刚刚设置的IP:441进行SW的日常管理了。下面即将进行的是高级配置，例如内网网卡、网络共享等等的设置。

/Article/UploadFiles/200507/20050715091008177.png
这个是USB ADSL猫的设置，选择型号

/Article/UploadFiles/200507/20050715091008570.png
这里是选择USB ADSL的型号，我没有，返回。仍然点“关闭ADSL”继续下一步

/Article/UploadFiles/200507/20050715091008801.png
选择第二个进行 内网网卡的驱动安装

/Article/UploadFiles/200507/20050715091008477.png
这里也是三个选项，1、固定IP选择这个 2、是动态ip 3、是ADSL拨号用户
这个选项给固定IP用户使用的，比如光缆用户，企业级用户一般都是这个。写上你的外网固定IP以及遮掩码

/Article/UploadFiles/200507/20050715091008429.png
提示安装完成，点“OK”结束安装 将会从新启动计算机

/Article/UploadFiles/200507/20050715091009601.png
输入SETUP用户以及密码进入 管理SW常用配置。刚刚安装时候的配置都可以更改。

/Article/UploadFiles/200507/20050715091009424.png
SW的WEB管理 看地址，我们要使用刚刚设置的内网地址 访问的。

/Article/UploadFiles/200507/20050715091009820.png
这里是SW显示的所有正在运行的服务。
Logging server（系统日至服务）
DHCP server（动态ip分配服务，如果局域网需要动态的ip分配可以启用）
DNS proxy server（SW的DNS服务，如果你想屏蔽一些网站也可以用这个功能把你想要屏蔽的网站的ip改掉就可以了。）
Kernel logging server（防火墙日志的服务，这个占用空间很大，所以建议小硬盘用户关闭掉，关闭方法后面讲到）
Web proxy（一般的网页代理服务）
Web server（SW的web服务，你管理页面用的必须是这个服务）
Secure shell server（安全外壳服务，不知道什么东东）
Intrusion Detection System（入侵保护系统，对小型的攻击能起到一些防范作用。）
CRON server（时间服务，你选择地区可以自动校对时间。可是没有亚洲北京，但是有上海，也一样。）
VPN（虚拟专网服务，对于企业用户一般会使用这个。）

/Article/UploadFiles/200507/20050715091009413.png
家庭的拨号用户使用的都是这个设置，pppoe拨号协议。
首先可以建立一个拨号信息，好像一共可以建立5个，随时切换，但是感觉用处不大吧？。
ADSL拨号首先必须选择pppoe协议才可以；
还可以启用：
1、Persistent connection(断线重拨)
2、Connect on SmoothWall restart(sw启动后自动拨号)
3、Automatic reboot if connection down for 5 minutes(断线超过5分钟后自动重启SW)

/Article/UploadFiles/200507/20050715091009488.png
防火墙高级配置
Block ICMP ping:禁止ping功能
Enable SYN cookies:防止洪水攻击
Block and ignore IGMP packets:屏蔽并且忽略igmp的数据包
Block and ignore multicast traffic:屏蔽并且忽略多点传输。（防止局域网内使用多线下载的功能。）
Enable UPnP (Universal Plug and Play) support: 允许upnp（通用即插即用），可能是自动映射端口的功能

[1] [2] [3] 下一页  

文章录入：csh    责任编辑：csh 
/Article/UploadFiles/200507/20050715091009648.png
ip攻击，可以对你指定的ip做出一些探测。有ping和路由表的功能。

/Article/UploadFiles/200507/20050715091010492.png
在sw中设置你的pstn modem和isdn的ta。没用过哦。

/Article/UploadFiles/200507/20050715091010288.png
升级usb adsl modem的firmware。

/Article/UploadFiles/200507/20050715091010354.png
关机 以及 重起

/Article/UploadFiles/200507/20050715091010992.png
设置好后选择更新列表出来你需要升级的补丁。然后去官方下补丁上传文件就可以了，很简单。升级好的补丁都会出现在以打补丁的列表里面。

四、以下讲解一些怎么样关闭掉日志服务（有人问为什么要关掉日志？因为SW的这个日志是记录很详细的及其工作情况占用了很大的硬盘空间，关掉它1、小硬盘用户不用担心硬盘太小不能使用SW了；2、不用担心这个这个日志一直向硬盘写数据而导致占用了大量系统资源的情况而担心了。而且关掉这个日志又不耽误大家查看日志，所以建议关掉）：
首先下一个可以SSH 传送文件的软件，我感觉WinSCP/SSH Secure File Transfer Client就很不错了。
/Article/UploadFiles/200507/20050715091011318.png
在
echo "Starting klogd"
/sbin/klogd
这2行前面加上“#”
如
#echo "Starting klogd"
#/sbin/klogd
然后点击上方的软盘图标保存，或者是按Ctrl+s进行保存
保存后关闭此窗口，重新启动SW即可生效了。

/Article/UploadFiles/200507/20050715091011106.png
看到没有？现在的服务状态，“Kernel logging server”是停止状态，说明已经被成功停止了。小硬盘用户再也不用担心了。。。

五、下面讲解下可以让SW支持回流的方法（最先提出此方法原创：zhunaoke）：
请大家按照我的方法推断你们的具体解决方法，不可照搬只能照推！！
我的举例子的条件：我例如我的外网IP是：192.168.0.66，内网IP是:192.168.0.88，要映射的端口是：“80”目标映射IP地址是：192.168.0.1
建立一个文件，更名为：“ip.sh”，其他名称也可以，但事后缀必须是“.sh”
然后打开这个文件再里面输入：
sh ＜回车＞
iptables -t nat -A PREROUTING -d 192.168.0.66 -p tcp --dport 80 -j DNAT --to 192.168.0.1 ＜回车＞
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 192.168.0.1 -p tcp --dport 80 -j SNAT --to 192.168.0.88 ＜回车＞
注意：以上的＜回车＞都是操作，不要输入进去！！！！

/Article/UploadFiles/200507/20050715091011381.png
然后把这个文件传到 “root”根目录下。

/Article/UploadFiles/200507/20050715091011456.png
进入“/etc/rc.d/”目录下找到一个叫rc.sysinit文件下载下来在文件最后一行增加一行：“/root/ip.sh” 保存，重起就支持了，但是启动速度慢了点。

六、单线双ip使用smoothwall（原创：SW论坛的rumptis）
1、原文：
This has only taken me a Week to figure out. Using this you don't need to do anything with the GUI.

You can add this to the bottom of the "/etc/rc.d/rc.firewall.up" Script

# Add more Real World IP Address to your RED interface This shows 2 being added

ifconfig eth1:1 166.138.52.123 broadcast 165.138.52.255 netmask 255.255.255.0
ifconfig eth1:2 166.138.52.124 broadcast 165.138.52.255 netmask 255.255.255.0

# How to forward Ports into your GREEN Network you can do the same port on Multiple Real World IP Address: Here I'm showing Forwarding port 80 to 2 different IP Address on the GREEN Network

. /var/smoothwall/ethernet/settings

# Computer 1
iptables -I PREROUTING -t nat -p tcp --dport 80 -d 166.138.52.123 -j DNAT --to 192.168.13.10
iptables -I FORWARD -p tcp -d 192.168.13.10 --dport 80 -i $RED_DEV -o $GREEN_DEV -j ACCEPT

# Computer 2
iptables -I PREROUTING -t nat -p tcp --dport 80 -d 166.138.52.124 -j DNAT --to 192.168.13.11
iptables -I FORWARD -p tcp -d 192.168.13.11 --dport 80 -i $RED_DEV -o $GREEN_DEV -j ACCEPT

2、图文：
/Article/UploadFiles/200507/20050715091011184.pn

上一页  [1] [2] [3] 下一页  

文章录入：csh    责任编辑：csh  在文件最下面输入
# Add more Real World IP Address to your RED interface This shows 2 being added

ifconfig eth1:1 166.138.52.123 broadcast 165.138.52.255 netmask 255.255.255.0
ifconfig eth1:2 166.138.52.124 broadcast 165.138.52.255 netmask 255.255.255.0

# How to forward Ports into your GREEN Network you can do the same port on Multiple Real World IP Address: Here I'm showing Forwarding port 80 to 2 different IP Address on the GREEN Network
就是我选中的部分。然后保存关闭

/Article/UploadFiles/200507/20050715091012773.png
添加以下内容到文件最下面
# Computer 1
iptables -I PREROUTING -t nat -p tcp --dport 80 -d 166.138.52.123 -j DNAT --to 192.168.13.10
iptables -I FORWARD -p tcp -d 192.168.13.10 --dport 80 -i $RED_DEV -o $GREEN_DEV -j ACCEPT

# Computer 2
iptables -I PREROUTING -t nat -p tcp --dport 80 -d 166.138.52.124 -j DNAT --to 192.168.13.11
iptables -I FORWARD -p tcp -d 192.168.13.11 --dport 80 -i $RED_DEV -o $GREEN_DEV -j ACCEPT

保存退出，从新启动机器。。

七、SW屏蔽25端口
/Article/UploadFiles/200507/20050715091012863.png
在文件最后一行加入以下信息
#25
iptables -A FORWARD -p tcp --dport 25 -j DROP

重新启动就可以了。

八、忘记密码（作者：srsman）
先重起smoothwall
等到出现smoothwall的启动画面时按TAB键
计算机会出现以下提示

SmoothWall
boot:

这时你在boot后面输入 smoothwall single 再按回车
这时的smoothwall就进入了single user 模式
等smoothwall启动完后会自动入进#提示模式
用过linux或UNIX的朋友都知道现在可以做什么了：)
现在我们来改root密码
输入
passwd root 回车

跟着输入你要改的密码两次就OK了
如果你要改setup和admin的密码
那你最好先重起一下smoothwall (命令：shutdown -r now))
这次重起就让Smoothwall自已进入正常模式!
你再用你才改的root密码进入smoothwall
我们先来改setup的密码
命令是 passwd setup
同样的输入两次你要改的密码就OK了
admin用户的密码root 还有setup的密码改法有点不一样!
因为admin是网页管理模式的用户要用以下的命令
htpasswd /var/smoothwall/auth/users admin
这下密码就改完了!祝大家好运!

九、总结
我感觉SW简单易学，本教程适用于菜鸟级别。SW2.0对一般家庭企业用户已经足够了，如果你是大企业用户可以购买SW3.0，提供了更人性化的操作，以及更为完善的服务。

SW本身没有自带FTP等服务，如果你感觉SW安装完成后的配置特别麻烦的话，如果你的机子配置比较不错的话可以选用CC。主要看个人的喜好了，我还是着重喜欢CC。

感谢：txwm中发表各种意见的大侠们，感谢珠海心情 胖子 在QQ给予的指导。

谢谢大家，如果您对我的操作感觉有什么不对的地方请指出，只能怪我才书学浅了...请指教请指教…… 谢谢！