M0n0wall
| m0n0wall | |
|---|---|
| 250px|Bildschirmfoto des Webinterfaces Bildschirmfoto des Webinterfaces | |
| Entwickler: | Manuel Kasper |
| Version: | 1.11 (11. November 2004) |
| Größe: | 3,1 bis 5,1 MB |
| Startmedium: | Festplatte, Live-CD, CompactFlash |
| Stammbaum: | \ FreeBSD \ m0n0wall |
| Lizenz: | |
| Sonstiges: | Preis: kostenlos Sprache: Englisch |
| Website: | http://m0n0.ch/wall/ |
m0n0wall ist eine freie Firewall- und Routerdistribution auf Basis von FreeBSD. Mit Hilfe einer bootfähigen CD (Live-CD) ist es möglich einen x86-kompatiblen PC in eine umfangreiche Firewall umzufunktionieren. Außerdem existieren Versionen für diverse Embedded Systems. m0n0wall wird entwickelt von Manuel Kasper.
| Inhaltsverzeichnis |
Funktionsweise
m0n0wall wird auf einem Standard PC von einer CD gestartet, welche vorher mit einem weniger als 6 MB großem Image beschrieben wurde. In diesem Read-Only System befindet sich das eigentliche Betriebssystem, wohingegen jegliche Einstellungen auf einer gewöhnlichen 3,5" Diskette gespeichert werden. Die gesamte Konfiguration wird in einer einzigen XML-Datei gespeichert, die beim Bootvorgang ausgelesen wird. Außerdem ist ein Festplatten Image vorhanden, welches einem ermöglicht, m0n0wall auf einer Festplatte oder einer CompactFlash-Speicherkarte zu installieren. Hierbei wird die Konfiguration auf dem selben Medium gespeichert und ermöglicht so eine größere Flexibilität und Geschwindigkeit bei Konfigurationsänderungen. Das Besondere an m0n0wall ist die Bootkonfiguration, die komplett in der Programmiersprache PHP realisiert wurde. m0n0wall unterstützt jede Hardware, die auch von FreeBSD in der jeweiligen Version unterstützt wird, so auch SMP-Systeme.
Die eigentliche Konfiguration -abgesehen von der eigenen IP-Adresse und Netzwerkkarteneinstellung- findet in einem sehr übersichtlichen Webinterface statt, weshalb keinerlei UNIX- oder Linux-Kenntnisse erforderlich sind. Die Grundkonfiguration (eigene IP, Interfacezuordnung) wird einmalig direkt an der Konsole mithilfe eines textbasierten Menüs vorgenommen. Auf Wunsch kann eine automatische Interfacezuordnung gewählt werden, ohne die BSD-Treiberbezeichnungen der Netzwerkinterfaces kennen zu müssen.
Umfang
In der Distribution befinden sich viele Programme, die zusammen eine große Funktionsvielfalt ergeben. Einige der Funktionen werden hier aufgeführt:
- Internet- bzw. WAN-Anbindung per PPPoE, PPTP, DHCP oder statischer IP-Adresse (auch ganze Subnetze)
- Umfangreiche Packetfilterkonfiguration auf Basis von ipfw
- Zusätzliche Netzwerkkarten können für DMZ- oder andere Netze verwendet werden
- Unterstützung für VLANs (nach 802.1q Standard)
- WLAN-Unterstützung. Entweder per AdHoc oder als Accesspoint
- DHCP Server und DNS Forwarder
- QoS Support mit integriertem Peer2Peer Einstellungsassistenten für die meisten Filesharing Programme
- VPN Server in drei verschiedenen Versionen: PPTP, IPSec und OpenVPN1 (PPTP-Forward zu internem Server möglich)
- Unterstützung für externe Diagnose durch SNMP und Remote Syslog-Server
- Echtzeit CPU- und Trafficanzeige auf Basis von Adobe's SVG
- Dynamic DNS Client
- Accounting und Kontrolle durch erzwungene Startseite mit Authentifizierung durch RADIUS Server oder interner Datenbank
1Die Funktion, m0n0wall als OpenVPN Client zu verwenden ist in den aktuellen Versionen noch in einem sehr frühen Stadium und scheint noch nicht zu funktionieren. Serverseitig gibt es keine großen Probleme.
Sicherheit
Die m0n0wall Distribution wird regelmäßig aktualisiert und zusammen in einer neueren Version zum Download angeboten. Der Veröffentlichungszyklus liegt meist bei 1-2 Monaten, bei größeren Änderungen auch mehr. Ein Update auf eine neuere Version ist für gewöhnlich ohne Probleme möglich. Bei der CD-Version genügt es das System mit einer neuen CD zu booten, auf der sich die neue Version befindet. Die Konfiguration von Diskette wird unverändert übernommen. Bei einer Festplatten oder CF-Karten Version hat man die Möglichkeit ein "Firmwareupdate" durchzuführen, indem man einfach das neue Image per Webinterface hochlädt und einen Neustart der Firewall durchführt. Zusätzlich sei angemerkt, dass zum aktuellen Zeitpunkt noch keine Meldung veröffentlicht wurde, die besagt, dass ein m0n0wall System erfolgreich angegriffen wurde.
Versionen
Die aktuelle stabile Version liegt in der Version 1.11 vor, die Betaversion in 1.2b9.
Alle Versionen bis einschließlich der Version 1.2b3 basieren auf FreeBSD 4.11, wohingegen in der 1.2b5 das gesamte System auf FreeBSD 5.3 portiert wurde. Somit werden bis inklusive der Version 1.2b7 auch WLAN-Karten mit dem Standard 802.11g (54 MBit/s) unterstützt. Aufgrund der allgemein schlechteren Performance der FreeBSD 5.3 Implementierung wurde das System in der Version 1.2b8 allerdings wieder auf FreeBSD 4.11 zurückgestellt, sodass 1.2b7 vorerst die letzte Version ist, die WLAN-Adapter mit dem 802.11g Standard unterstützt.
Siehe auch: m0n0BSD
Abgeleitete Produkte
Abgeleitet von m0n0wall wurde das von Scott Ullrich entwickelte System pfSense. Es basiert im Gegensatz zu m0n0wall auf FreeBSD 6.0 (welches sich noch in einer recht frühen Beta-Phase befindet, dafür aber ein breiteres Spektrum an Hardware unterstützt). Hervorgehoben werden von den Entwicklern u.a.
- ALTQ (Traffic Shaping),
- CARP (fehlertolerantes Clustering) und
- ein integriertes Paket-Management-System.
pfSense ist frei unter der BSD-Lizenz erhältlich. Fertige Images (auch für Embedded-Systeme) stehen zum Download bereit.
Ähnliche Produkte
Im Gegensatz zu den auf FreeBSD basierenden Firewalls m0n0wall und pfSense haben die meisten vergleichbaren Produkte einen Linux-Kernel als Grundlage. Zu nennen sind beispielsweise:
- IPCop,
- WRAPCop, eine Portierung des IPCop auf die WRAP-Plattform und
- fli4l, ursprünglich ein Router, welcher von Diskette gestartet werden kann.
Weblinks
- Offizielle Homepage der m0n0wall
- Adressen der Mailinglisten
- Offizielle Dokumentation von Chris Buechler und Jim McBeath
- Unterstütze Hardware in allen m0n0wall-Versionen ab 1.2b5