[转帖] 孤军大作战！疯狂DIY 1U硬件防火墙实录

把电子盘插入主板上的IDE硬盘插口，我建议大家最好把电子盘插入主板的IDE1主接口，因为有时候插入IDE2副接口会出现一些问题。

把电子盘的供电接头和电源上的大4pin接头插在一起。

插好了，现在咱们也可以把软件嵌入硬件了，怎么样够专业吧。告诉大家这个电子盘不贵，价格根据容量不同，也就100－300元而已，比硬盘便宜。

把显示器和键盘插入主板，现在大家就跟着我一步一步来将防火墙系统核心嵌入到咱们的防火墙硬件里。

软件设置

前面，我们将防火墙的硬件部分基本安装完毕，要嵌入防火墙核心了，市面上的大部分硬件防火墙都装了UNIX系统+软件防火墙模块，看来这套基于UNIX系统的软件防火墙模块几乎可以称作是硬件防火墙灵魂，有了它，这台PC机就变成一台“号称支持100M带宽、并发12000个连接”的硬件防火墙了，可以拿到市场上叫出20万的高价了。

　　那么我们怎么才能获得这样一套软件呢？当然，各家防火墙厂商对自己的软件都是深藏不露，绝对不会拿出来给大家自由使用的，那么还有其他办法吗？

　　当然有，那就是使用开源的防火墙软件，现在国内外有很多软件开发机构，矢志开发基于FREEBSD、LINUX等开源操作系统的防火墙软件，并且将软件放在网络上供大家自由下载、测试，共同完善，其中有很多软件的性能已经达到了相当高的水平，性能不亚于一些名牌防火墙产品，其中m0n0wall是笔者最欣赏的一个，我认为m0n0wall运行稳定、功能强大、技术比较成熟，完全可以与一些国内的名牌专业防火墙产品媲美。

　　m0n0wall对于国内的软件路由器爱好者来说早已不是什么新鲜事物，不过大家多数使用它来diy软件路由器，而忽略了它强大的防火墙功能，和其他常常被用来作为软件路由器核心的软件相比，m0n0的防火墙性能明显胜出一筹，对于来自外界的攻击和入侵，默认一律拒绝，可以很好地保护内网的安全，你看人家的名字就是wall啊，wall是什么？就是防火墙啊，可见软件作者的初衷并不是仅仅将它作为一款路由器软件，而是侧重在防火墙上。

　　m0n0wall的安装和设置都非常简单快捷，特别适合初学者使用，软件安装好无需设置繁琐的防火墙规则，默认设置下即可为内网筑起一道强大的防火墙，一般的黑客和木马根本无法穿透这道防火墙，我的许多朋友长期使用m0n0做局域网防火墙，迄今为止还没有谁发现有人能破解它，当然，我不是说m0n0wall是坚不可摧的，我的意思是说，m0n0wall作为一般中小型局域网的防护屏障是很好的选择，毕竟水平超群的黑客不会费劲去攻击这些小目标。理论上讲，就和世界上没有一把绝对安全的锁一样，世界上也没有一台绝对安全的防火墙，在超级黑客眼里，一切都是可以穿透的，希望大家懂得这个道理，想成为一名优秀的网络安全维护人员，除了技术过硬之外，更重要的一点就是务必注意少得罪人。

　　m0n0wall固然好，但是因为是舶来品，国人使用起来往往还有点不适应，国内的一些发烧友和软件机构，根据国情对于m0n0wall做了不少优化工作，这些优化版本，减少了原版的bug，加强了稳定性和功能，操作上更加适合国人的习惯和口味，这其中由千际公司的工程师鲁承明先生优化的版本一直受到网友的欢迎，优化后的版本依旧是免费软件，供大家免费下载使用，现在最新的版本是1000g-1.0-060202版，在这里http://www.1000gwall.com/1000gwall.rar可以下载，该版本支持安装到普通硬盘、电子盘、CF卡上使用。

　　我先下载了防火墙软件模块，但是如何将这个模块安装进电子盘呢，m0n0wall不是windows下开发的软件，而是基于一种陌生的操作系统freebsd，这个系统比linux更加让人感到陌生，但是freebsd具有神秘的稳定性，许多高端的服务器都采用这种操作系统，常常一开机就是一年不重启一次，很少有病毒可以侵袭它，一般的黑客对它也是束手无策。

　既然是基于陌生的操作系统，m0n0的安装自然也就有点与众不同，没有什么安装文件可以让我们双击，我们需要下载专门的“烧录”工具来将防火墙模块“烧”进硬件里。这个工具就是physdiskwrite.exe，刚才下载的那个包含防火墙模块的压缩包里有两个文件1000g-1.0-060202.img 和physdiskwrite.exe 其中physdiskwrite.exe就是烧录工具，另一个1000g-1.0-060202.img就是防火墙模块软件 ，好了，万事齐备，我们正式开始安装。
　　先把电子盘插入一台安装有windows操作系统的PC电脑的主板IDE接口上，点击开始菜单——运行。

调出DOS命令窗口，记住一定要这样调出窗口，切记千万不能通过“点击开始菜单——程序——附件——C：\命令提示符”这种方式来调出窗口，否则将不能正常“烧录”。

将刚才下载的防火墙软件模块1000g-1.0-060202.img和physdiskwrite.exe烧录工具拷贝到同一个目录下，然后执行如下命令：physdiskwrite 1000g-1.0-060202.img ，如果不是往电子盘烧录，而是往IDE硬盘烧录，当你的IDE硬盘容量超过800MB，请添加参数 -u，也就是这样：physdiskwrite 1000g-1.0-060202.img -u

nunana
我按照文中所示设了NAT端口隐射，但是访问防火墙的公网IP时，还是提示网页无法显示。
另外，在烧录到大于800MB的硬盘时，-u参数应该加在镜像文件名的前面，而不是后面。

唐华
回复 90 楼(nunana)： 对，－U这个参数确实应该放在前面，我笔误了，谢谢提醒，也请大家注意。

罗伯头
   1000gwall防火墙可以装在大于800M的硬盘上,输入的命令格式为：烧录工具名称 -u(参数）防火墙软件模块名称，

如：physdiskwrite -u 1000g-1.0-060202.img  

这是唐华与我说的，我已经试过在1G的硬盘上安装了

[ 本帖最后由 海上看云起 于 2006-5-3 00:55 编辑 ]

回车后，屏幕显示如下，显示出两个硬盘的参数，注意Model后面的名称，st3160021A是指的IDE硬盘，而PQI IDE DiskOnModule则是指的电子盘，别忘了今天咱们用的电子盘是PQI牌的，所以一看带有PQI字样，就知道这是电子盘。屏幕下面出现一行字，让选择哪个硬盘是要写入防火墙模块的，自然是选择PQI所在的1号，此处填写1，回车。

屏幕提示，确认是否正确，是否真的写入，当然选Y。