Internet由網(wǎng)絡(luò)互聯(lián)而成，而實現(xiàn)網(wǎng)際互聯(lián)的設(shè)備就是網(wǎng)關(guān)。任何用戶都是通過網(wǎng)關(guān)連接到Internet。Internet上的網(wǎng)關(guān)多數(shù)是專用的路由器和交換機(jī)。目前，linux的通用性越來越強(qiáng)，經(jīng)過適當(dāng)?shù)嘏渲弥螅耆梢該?dān)當(dāng)互聯(lián)網(wǎng)的物理基石——路由器這一重要角色。互聯(lián)網(wǎng)上的高水平開發(fā)者對Linux進(jìn)行精簡和定制后，推出了Linux軟件Freesco，它可以僅通過一張軟盤來運(yùn)行，有效降低了對硬件資源的要求，并提高了工作效率。 

    Freesco的名字由來是FREE ciSCO的縮寫，開發(fā)者希望Freesco能代替網(wǎng)絡(luò)上的專用路由器。Freesco聲稱可以在386以上的PC機(jī)上順暢運(yùn)行，而且只需8MB以上的內(nèi)存。它的用途和設(shè)計思路與嵌入式系統(tǒng)非常類似。和另外一個Linux路由器/防火墻軟件——LRP相比，它們的工作原理基本一致，不同之處在于LRP的配置方法相對比較原始，每一步都需要命令行或修改配置文件來進(jìn)行，而Freesco提供了交互式的選單向?qū)渲贸绦颍子诓僮鳌?

    目前Freesco的最新版本為0.3.2，基于Linux 2.0.38內(nèi)核。可從軟件主頁http://www.freesco.org/自由下載，鏈接為http://www.freesco.cc/descargas/ingles/Freesco-032.zip。

    系統(tǒng)要求

    作為路由器的計算機(jī)需要具有386以上的CPU、8MB以上的內(nèi)存、軟驅(qū)、連接局域網(wǎng)的網(wǎng)卡和連接互聯(lián)網(wǎng)的網(wǎng)絡(luò)設(shè)備，該設(shè)備可以是連接ADSL的網(wǎng)卡，也可以是線纜調(diào)制解調(diào)器（Cable Modem）或普通的調(diào)制解調(diào)器。

Freesco對于CPU要求非常低，內(nèi)存方面推薦使用32MB。Freesco支持的網(wǎng)卡類型很多，可以下載http://www.freesco.cc/descargas/ingles/Modules-03x.zip軟件包查看。

    軟件安裝

    將下載軟件包解壓后，執(zhí)行命令：

#make_fd.batThis batch file will write the floppy image"freesco.032" onto a 1.44mb disk in drive a:Please insert a formatted diskette into drive A: and PRess -ENTER- :

圖1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

    啟動配置

    重新啟動計算機(jī)，在BIOS中設(shè)定用軟驅(qū)啟動即可，啟動界面見圖2。

圖2 Freesco Linux啟動界面

    從圖2中可以看到，F(xiàn)reesco工作時使用了RamDisk技術(shù)。在Linux中可以將一部分內(nèi)存當(dāng)作分區(qū)來使用，稱之為RamDisk。對于一些經(jīng)常被訪問、并且不會被更改的文件，可以將它們通過RamDisk放在內(nèi)存中，能夠明顯地提高系統(tǒng)性能。RamDisk工作于虛擬文件系統(tǒng)（VFS）層，不能格式化，但可以創(chuàng)建多個RamDisk。按“Enter”鍵進(jìn)入基礎(chǔ)配置，需要說明的是，缺省root賬戶口令為“root”。

    進(jìn)入Linux后，首先鍵入“Setup”命令進(jìn)行基礎(chǔ)配置。Freesco提供了交互式的選單向?qū)渲贸绦颍褂酶雍唵巍＿x擇“1”進(jìn)行路由器基礎(chǔ)配置。

    1．路由器的基本設(shè)置。設(shè)置局域網(wǎng)內(nèi)的IP地址，其它選項根據(jù)局域網(wǎng)的實際情況填寫即可。對于專門用以連接局域網(wǎng)內(nèi)部的計算機(jī)，系統(tǒng)會根據(jù)網(wǎng)卡的型號和網(wǎng)卡中斷值等參數(shù)來生成程序，所以在配置網(wǎng)卡參數(shù)時務(wù)求準(zhǔn)確，如圖3。

圖3 配置網(wǎng)卡信息

    2．內(nèi)置服務(wù)設(shè)置。顧名思義就是為局域網(wǎng)內(nèi)的計算機(jī)提供服務(wù)，主要是DNS服務(wù)（域名解析服務(wù)）、DHCP服務(wù)（尋址服務(wù)）、FTP服務(wù)、Telnet服務(wù)、UTC服務(wù)等。假如選擇了DNS，需要給出DNS服務(wù)器的IP地址；選擇了DHCP，需要給出供系統(tǒng)分配的IP地址范圍，該范圍主要根據(jù)局域網(wǎng)內(nèi)的計算機(jī)數(shù)量而定。

    3．確定連接互聯(lián)網(wǎng)所使用的協(xié)議類型。假如是安裝了ADSL或線纜調(diào)制解調(diào)器，可供選擇的協(xié)議有PPPoE、PPP和DHCP，不同的網(wǎng)絡(luò)服務(wù)商所使用的協(xié)議可能會有所不同；假如是使用DDN專線，則要選擇固定IP地址；假如是普通調(diào)制解調(diào)器撥號上網(wǎng)，則要使用PPP協(xié)議；假如是VPN連接，需要使用PPTP協(xié)議。

    另外，還要填寫ISP提供商的信息，如接入電話號碼、DNS主/輔地址及用戶驗證方式等，見圖4。驗證方式包括口令驗證協(xié)議（PAP）和挑戰(zhàn)-握手驗證協(xié)議（CHAP）。

圖4 連接互聯(lián)網(wǎng)的配置

    PAP是一種簡單的明文驗證方式。NAS（網(wǎng)絡(luò)接入服務(wù)器，Network access Server）要求用戶提供用戶名和口令，PAP以明文方式返回用戶信息。很明顯，這種驗證方式的安全性較差，第三方可以很輕易地獲取被傳送的用戶名和口令，并利用這些信息與NAS建立連接，獲取NAS提供的所有資源。所以，一旦用戶密碼被第三方竊取，PAP無法提供避免受到第三方攻擊的保障措施。

    CHAP是一種加密的驗證方式，能夠避免建立連接時傳送用戶的真實密碼。NAS向遠(yuǎn)程用戶發(fā)送一個挑戰(zhàn)口令(Challenge)，其中包括會話ID和一個任意生成的挑戰(zhàn)字串（Arbitrary Challengestring）。遠(yuǎn)程客戶必須使用md5單向哈希算法（one-way Hashing Algorithm）返回用戶名和加密的挑戰(zhàn)口令、會話ID及用戶口令，其中用戶名以非哈希方式發(fā)送。

    經(jīng)過以上配置，Linux路由器就基本完成了。在主控界面下選擇“t”，系統(tǒng)會在“router”目錄下生成一個report.txt文件。選擇“v”，系統(tǒng)會列出剛才所設(shè)定的各種設(shè)置清單，假如發(fā)現(xiàn)清單中的參數(shù)需要更改，還可以退回去再行設(shè)定。最后選擇“s”保存配置后，重新啟動計算機(jī)。

    高級應(yīng)用

    經(jīng)過以上配置的Linux路由系統(tǒng)可以完成DNS服務(wù)、DHCP服務(wù)、FTP服務(wù)、Telnet服務(wù)、打印服務(wù)等功能。下面看看它的一些高級應(yīng)用。在主控選單選擇“a”，進(jìn)入“Advanced settings”選單，如圖5。

圖5 Freesco的Advanced settings選單

    Freesco提供一個模塊化治理的選單，分成“System settings”、“Security/Limitations”、“Users/PassWords”、“Services”、“Hardware”、“Networks”、“Modems”、“Dial-up router”、“Permanent router”九個部分，分別提供38個功能選項。主要包括：

    1．網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）
    NAT可以連接Internet，但不答應(yīng)網(wǎng)絡(luò)內(nèi)的所有計算機(jī)都擁有一個真正的Internet IP地址。通過NAT功能，可以將申請的合法Internet IP地址統(tǒng)一治理，當(dāng)內(nèi)部的計算機(jī)需要上Internet時，動態(tài)或靜態(tài)地將假的IP轉(zhuǎn)換為合法的IP地址。另外，可以使外部網(wǎng)絡(luò)用戶不知道網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)。

    2．PPPoE和PPTP連接互聯(lián)網(wǎng)
    可通過以太網(wǎng)卡接口的ADSL調(diào)制解調(diào)器連接到網(wǎng)絡(luò)服務(wù)供給商，支持PAP/CHAP的PPP安全認(rèn)證。

    3．固定IP地址連接互聯(lián)網(wǎng)
    可設(shè)置對外網(wǎng)絡(luò)的固定IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)和DNS服務(wù)器，適合專線用戶。

    4．PPP連接互聯(lián)網(wǎng)
    使用普通電話線和56K調(diào)制解調(diào)器，以PPP方式連接上網(wǎng)。

    5．內(nèi)建DHCP服務(wù)器
    使網(wǎng)內(nèi)電腦能夠從路由器自動獲得網(wǎng)絡(luò)參數(shù)配置，如IP地址、網(wǎng)關(guān)和域名服務(wù)器地址等，避免對電腦的反復(fù)設(shè)置，同時可以綁定IP地址和網(wǎng)卡MAC地址。

    6．內(nèi)置DNS服務(wù)器
    為網(wǎng)內(nèi)電腦提供域名服務(wù)代理，加快主機(jī)名對應(yīng)IP地址的查找，從而提高訪問網(wǎng)頁的速度，并可自設(shè)主機(jī)名稱和IP地址的解析，支持動態(tài)DNS。

    7．內(nèi)置Network Time服務(wù)器
    Linux網(wǎng)絡(luò)建議至少建立一臺時間服務(wù)器來同步本地時間，這樣可以使在不同系統(tǒng)上處理收集日志和治理更加輕易。Freesco還提供了一個供Windows使用的客戶端軟件—FreeTimeClient。

    8．端口轉(zhuǎn)發(fā)
    改變目的IP地址稱為目的網(wǎng)絡(luò)地址轉(zhuǎn)換（Destination NAT），用來實現(xiàn)Internet對內(nèi)部網(wǎng)絡(luò)的訪問，通常的應(yīng)用形式為端口轉(zhuǎn)發(fā)（Port Forwarding）。目的網(wǎng)絡(luò)地址轉(zhuǎn)換能夠使內(nèi)部網(wǎng)絡(luò)中的服務(wù)器接受來自Internet的訪問，同時受到防火墻的監(jiān)控。

    9．用戶治理
    通過用戶權(quán)限的設(shè)定，斬斷危害網(wǎng)絡(luò)的“黑手”。

    10．主機(jī)訪問限制
    可根據(jù)主機(jī)的IP地址、網(wǎng)段或網(wǎng)卡MAC地址，限制網(wǎng)內(nèi)主機(jī)在特定時間段訪問網(wǎng)外其它電腦，或者使用某些通信協(xié)議和服務(wù)端口。

    11．Banner修改
    FTP、Telnet服務(wù)程序通常會顯示自己的“Banner”，許多系統(tǒng)入侵工具都具備自動獲得“Banner”的功能，通過修改“Banner”可以將Linux偽裝成Windows主機(jī)，減少被入侵的風(fēng)險。

    12．打印服務(wù)
    支持LPR和RAW協(xié)議的打印服務(wù)，網(wǎng)內(nèi)外電腦可以共享連接在路由器并行口或USB的打印機(jī)。

    13．設(shè)置“Read only floppy”
    使用軟盤介質(zhì)，將軟盤寫保護(hù)后，系統(tǒng)的啟動介質(zhì)成為只讀，而整個系統(tǒng)在內(nèi)存文件系統(tǒng)上運(yùn)行，即使系統(tǒng)遭到入侵破壞，也很輕易恢復(fù)。

    14．遠(yuǎn)程治理Freesco
    Freesco配置好之后，通過一個Web服務(wù)器、網(wǎng)絡(luò)上任何一個計算機(jī)的瀏覽器都可以治理它。在瀏覽器的IP地址中輸入它的地址和治理端口號82，即可見到如圖6所示治理界面。對于這樣一臺Linux系統(tǒng)，在安裝完成后完全可以省去顯示器、硬盤、鍵盤、鼠標(biāo)等，從而大大降低硬件成本。

圖6 遠(yuǎn)程治理Freesco界面

    為了使軟盤Linux路由系統(tǒng)具備更多的功能，必然要求在軟盤空間上容納更多的內(nèi)容。然而軟盤空間有限，讀寫速度比較慢，也輕易被損壞。現(xiàn)在比較新的計算機(jī)都支持USB閃盤進(jìn)行啟動，所以可以將軟盤中的文件拷貝到USB閃盤中，來提高系統(tǒng)工作的性能。

    TCP/IP協(xié)議是在Unix上發(fā)展起來的，并在Linux系統(tǒng)中得到了很好地繼續(xù)，這使TCP/IP成為Linux系統(tǒng)不可分割的組成部分。因為Linux系統(tǒng)中TCP/IP棧的實現(xiàn)尤為成熟，Linux更是號稱擁有業(yè)界最強(qiáng)的路由功能，加之其靈活、輕易定制的優(yōu)點，所以深受資深網(wǎng)管和高水平用戶的青睞。

    Freesco僅需要使用一臺配置較低的電腦就可以實現(xiàn)路由器的功能，使局域網(wǎng)的計算機(jī)可以共享一條寬帶線路訪問互聯(lián)網(wǎng)，并同時可在互聯(lián)網(wǎng)和局域網(wǎng)間建立起一道安全的防火墻。該方案適用于家庭、宿舍、小型辦公單位網(wǎng)絡(luò)等使用Linux系統(tǒng)作為路由器的網(wǎng)絡(luò)環(huán)境。(T111)

圖1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

    啟動配置

    重新啟動計算機(jī)，在BIOS中設(shè)定用軟驅(qū)啟動即可，啟動界面見圖2。

圖2 Freesco Linux啟動界面

    從圖2中可以看到，F(xiàn)reesco工作時使用了RamDisk技術(shù)。在Linux中可以將一部分內(nèi)存當(dāng)作分區(qū)來使用，稱之為RamDisk。對于一些經(jīng)常被訪問、并且不會被更改的文件，可以將它們通過RamDisk放在內(nèi)存中，能夠明顯地提高系統(tǒng)性能。RamDisk工作于虛擬文件系統(tǒng)（VFS）層，不能格式化，但可以創(chuàng)建多個RamDisk。按“Enter”鍵進(jìn)入基礎(chǔ)配置，需要說明的是，缺省root賬戶口令為“root”。

    進(jìn)入Linux后，首先鍵入“Setup”命令進(jìn)行基礎(chǔ)配置。Freesco提供了交互式的選單向?qū)渲贸绦颍褂酶雍唵巍＿x擇“1”進(jìn)行路由器基礎(chǔ)配置。

    1．路由器的基本設(shè)置。設(shè)置局域網(wǎng)內(nèi)的IP地址，其它選項根據(jù)局域網(wǎng)的實際情況填寫即可。對于專門用以連接局域網(wǎng)內(nèi)部的計算機(jī)，系統(tǒng)會根據(jù)網(wǎng)卡的型號和網(wǎng)卡中斷值等參數(shù)來生成程序，所以在配置網(wǎng)卡參數(shù)時務(wù)求準(zhǔn)確，如圖3。

圖3 配置網(wǎng)卡信息

    2．內(nèi)置服務(wù)設(shè)置。顧名思義就是為局域網(wǎng)內(nèi)的計算機(jī)提供服務(wù)，主要是DNS服務(wù)（域名解析服務(wù)）、DHCP服務(wù)（尋址服務(wù)）、FTP服務(wù)、Telnet服務(wù)、UTC服務(wù)等。假如選擇了DNS，需要給出DNS服務(wù)器的IP地址；選擇了DHCP，需要給出供系統(tǒng)分配的IP地址范圍，該范圍主要根據(jù)局域網(wǎng)內(nèi)的計算機(jī)數(shù)量而定。

    3．確定連接互聯(lián)網(wǎng)所使用的協(xié)議類型。假如是安裝了ADSL或線纜調(diào)制解調(diào)器，可供選擇的協(xié)議有PPPoE、PPP和DHCP，不同的網(wǎng)絡(luò)服務(wù)商所使用的協(xié)議可能會有所不同；假如是使用DDN專線，則要選擇固定IP地址；假如是普通調(diào)制解調(diào)器撥號上網(wǎng)，則要使用PPP協(xié)議；假如是VPN連接，需要使用PPTP協(xié)議。

    另外，還要填寫ISP提供商的信息，如接入電話號碼、DNS主/輔地址及用戶驗證方式等，見圖4。驗證方式包括口令驗證協(xié)議（PAP）和挑戰(zhàn)-握手驗證協(xié)議（CHAP）。

圖4 連接互聯(lián)網(wǎng)的配置

    PAP是一種簡單的明文驗證方式。NAS（網(wǎng)絡(luò)接入服務(wù)器，Network Access Server）要求用戶提供用戶名和口令，PAP以明文方式返回用戶信息。很明顯，這種驗證方式的安全性較差，第三方可以很輕易地獲取被傳送的用戶名和口令，并利用這些信息與NAS建立連接，獲取NAS提供的所有資源。所以，一旦用戶密碼被第三方竊取，PAP無法提供避免受到第三方攻擊的保障措施。

    CHAP是一種加密的驗證方式，能夠避免建立連接時傳送用戶的真實密碼。NAS向遠(yuǎn)程用戶發(fā)送一個挑戰(zhàn)口令(Challenge)，其中包括會話ID和一個任意生成的挑戰(zhàn)字串（Arbitrary Challengestring）。遠(yuǎn)程客戶必須使用MD5單向哈希算法（one-way Hashing Algorithm）返回用戶名和加密的挑戰(zhàn)口令、會話ID及用戶口令，其中用戶名以非哈希方式發(fā)送。

    經(jīng)過以上配置，Linux路由器就基本完成了。在主控界面下選擇“t”，系統(tǒng)會在“router”目錄下生成一個report.txt文件。選擇“v”，系統(tǒng)會列出剛才所設(shè)定的各種設(shè)置清單，假如發(fā)現(xiàn)清單中的參數(shù)需要更改，還可以退回去再行設(shè)定。最后選擇“s”保存配置后，重新啟動計算機(jī)。

    高級應(yīng)用

    經(jīng)過以上配置的Linux路由系統(tǒng)可以完成DNS服務(wù)、DHCP服務(wù)、FTP服務(wù)、Telnet服務(wù)、打印服務(wù)等功能。下面看看它的一些高級應(yīng)用。在主控選單選擇“a”，進(jìn)入“Advanced settings”選單，如圖5。

圖5 Freesco的Advanced settings選單

    Freesco提供一個模塊化治理的選單，分成“System settings”、“Security/Limitations”、“Users/Passwords”、“Services”、“Hardware”、“Networks”、“Modems”、“Dial-up router”、“Permanent router”九個部分，分別提供38個功能選項。主要包括：

    1．網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）
    NAT可以連接Internet，但不答應(yīng)網(wǎng)絡(luò)內(nèi)的所有計算機(jī)都擁有一個真正的Internet IP地址。通過NAT功能，可以將申請的合法Internet IP地址統(tǒng)一治理，當(dāng)內(nèi)部的計算機(jī)需要上Internet時，動態(tài)或靜態(tài)地將假的IP轉(zhuǎn)換為合法的IP地址。另外，可以使外部網(wǎng)絡(luò)用戶不知道網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)。

    2．PPPoE和PPTP連接互聯(lián)網(wǎng)
    可通過以太網(wǎng)卡接口的ADSL調(diào)制解調(diào)器連接到網(wǎng)絡(luò)服務(wù)供給商，支持PAP/CHAP的PPP安全認(rèn)證。

    3．固定IP地址連接互聯(lián)網(wǎng)
    可設(shè)置對外網(wǎng)絡(luò)的固定IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)和DNS服務(wù)器，適合專線用戶。

    4．PPP連接互聯(lián)網(wǎng)
    使用普通電話線和56K調(diào)制解調(diào)器，以PPP方式連接上網(wǎng)。

    5．內(nèi)建DHCP服務(wù)器
    使網(wǎng)內(nèi)電腦能夠從路由器自動獲得網(wǎng)絡(luò)參數(shù)配置，如IP地址、網(wǎng)關(guān)和域名服務(wù)器地址等，避免對電腦的反復(fù)設(shè)置，同時可以綁定IP地址和網(wǎng)卡MAC地址。

    6．內(nèi)置DNS服務(wù)器
    為網(wǎng)內(nèi)電腦提供域名服務(wù)代理，加快主機(jī)名對應(yīng)IP地址的查找，從而提高訪問網(wǎng)頁的速度，并可自設(shè)主機(jī)名稱和IP地址的解析，支持動態(tài)DNS。

    7．內(nèi)置Network Time服務(wù)器
    Linux網(wǎng)絡(luò)建議至少建立一臺時間服務(wù)器來同步本地時間，這樣可以使在不同系統(tǒng)上處理收集日志和治理更加輕易。Freesco還提供了一個供Windows使用的客戶端軟件—FreeTimeClient。

    8．端口轉(zhuǎn)發(fā)
    改變目的IP地址稱為目的網(wǎng)絡(luò)地址轉(zhuǎn)換（Destination NAT），用來實現(xiàn)Internet對內(nèi)部網(wǎng)絡(luò)的訪問，通常的應(yīng)用形式為端口轉(zhuǎn)發(fā)（Port Forwarding）。目的網(wǎng)絡(luò)地址轉(zhuǎn)換能夠使內(nèi)部網(wǎng)絡(luò)中的服務(wù)器接受來自Internet的訪問，同時受到防火墻的監(jiān)控。

    9．用戶治理
    通過用戶權(quán)限的設(shè)定，斬斷危害網(wǎng)絡(luò)的“黑手”。

    10．主機(jī)訪問限制
    可根據(jù)主機(jī)的IP地址、網(wǎng)段或網(wǎng)卡MAC地址，限制網(wǎng)內(nèi)主機(jī)在特定時間段訪問網(wǎng)外其它電腦，或者使用某些通信協(xié)議和服務(wù)端口。

    11．Banner修改
    FTP、Telnet服務(wù)程序通常會顯示自己的“Banner”，許多系統(tǒng)入侵工具都具備自動獲得“Banner”的功能，通過修改“Banner”可以將Linux偽裝成Windows主機(jī)，減少被入侵的風(fēng)險。

    12．打印服務(wù)
    支持LPR和RAW協(xié)議的打印服務(wù)，網(wǎng)內(nèi)外電腦可以共享連接在路由器并行口或USB的打印機(jī)。

    13．設(shè)置“Read only floppy”
    使用軟盤介質(zhì)，將軟盤寫保護(hù)后，系統(tǒng)的啟動介質(zhì)成為只讀，而整個系統(tǒng)在內(nèi)存文件系統(tǒng)上運(yùn)行，即使系統(tǒng)遭到入侵破壞，也很輕易恢復(fù)。

    14．遠(yuǎn)程治理Freesco
    Freesco配置好之后，通過一個Web服務(wù)器、網(wǎng)絡(luò)上任何一個計算機(jī)的瀏覽器都可以治理它。在瀏覽器的IP地址中輸入它的地址和治理端口號82，即可見到如圖6所示治理界面。對于這樣一臺Linux系統(tǒng)，在安裝完成后完全可以省去顯示器、硬盤、鍵盤、鼠標(biāo)等，從而大大降低硬件成本。

圖6 遠(yuǎn)程治理Freesco界面

    為了使軟盤Linux路由系統(tǒng)具備更多的功能，必然要求在軟盤空間上容納更多的內(nèi)容。然而軟盤空間有限，讀寫速度比較慢，也輕易被損壞。現(xiàn)在比較新的計算機(jī)都支持USB閃盤進(jìn)行啟動，所以可以將軟盤中的文件拷貝到USB閃盤中，來提高系統(tǒng)工作的性能。

    TCP/IP協(xié)議是在Unix上發(fā)展起來的，并在Linux系統(tǒng)中得到了很好地繼續(xù)，這使TCP/IP成為Linux系統(tǒng)不可分割的組成部分。因為Linux系統(tǒng)中TCP/IP棧的實現(xiàn)尤為成熟，Linux更是號稱擁有業(yè)界最強(qiáng)的路由功能，加之其靈活、輕易定制的優(yōu)點，所以深受資深網(wǎng)管和高水平用戶的青睞。

    Freesco僅需要使用一臺配置較低的電腦就可以實現(xiàn)路由器的功能，使局域網(wǎng)的計算機(jī)可以共享一條寬帶線路訪問互聯(lián)網(wǎng)，并同時可在互聯(lián)網(wǎng)和局域網(wǎng)間建立起一道安全的防火墻。該方案適用于家庭、宿舍、小型辦公單位網(wǎng)絡(luò)等使用Linux系統(tǒng)作為路由器的網(wǎng)絡(luò)環(huán)境。(T111)

圖1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

    啟動配置

    重新啟動計算機(jī)，在BIOS中設(shè)定用軟驅(qū)啟動即可，啟動界面見圖2。

圖2 Freesco Linux啟動界面

    從圖2中可以看到，F(xiàn)reesco工作時使用了RamDisk技術(shù)。在Linux中可以將一部分內(nèi)存當(dāng)作分區(qū)來使用，稱之為RamDisk。對于一些經(jīng)常被訪問、并且不會被更改的文件，可以將它們通過RamDisk放在內(nèi)存中，能夠明顯地提高系統(tǒng)性能。RamDisk工作于虛擬文件系統(tǒng)（VFS）層，不能格式化，但可以創(chuàng)建多個RamDisk。按“Enter”鍵進(jìn)入基礎(chǔ)配置，需要說明的是，缺省root賬戶口令為“root”。

    進(jìn)入Linux后，首先鍵入“Setup”命令進(jìn)行基礎(chǔ)配置。Freesco提供了交互式的選單向?qū)渲贸绦颍褂酶雍唵巍＿x擇“1”進(jìn)行路由器基礎(chǔ)配置。

    1．路由器的基本設(shè)置。設(shè)置局域網(wǎng)內(nèi)的IP地址，其它選項根據(jù)局域網(wǎng)的實際情況填寫即可。對于專門用以連接局域網(wǎng)內(nèi)部的計算機(jī)，系統(tǒng)會根據(jù)網(wǎng)卡的型號和網(wǎng)卡中斷值等參數(shù)來生成程序，所以在配置網(wǎng)卡參數(shù)時務(wù)求準(zhǔn)確，如圖3。

圖3 配置網(wǎng)卡信息

    2．內(nèi)置服務(wù)設(shè)置。顧名思義就是為局域網(wǎng)內(nèi)的計算機(jī)提供服務(wù)，主要是DNS服務(wù)（域名解析服務(wù)）、DHCP服務(wù)（尋址服務(wù)）、FTP服務(wù)、Telnet服務(wù)、UTC服務(wù)等。假如選擇了DNS，需要給出DNS服務(wù)器的IP地址；選擇了DHCP，需要給出供系統(tǒng)分配的IP地址范圍，該范圍主要根據(jù)局域網(wǎng)內(nèi)的計算機(jī)數(shù)量而定。

    3．確定連接互聯(lián)網(wǎng)所使用的協(xié)議類型。假如是安裝了ADSL或線纜調(diào)制解調(diào)器，可供選擇的協(xié)議有PPPoE、PPP和DHCP，不同的網(wǎng)絡(luò)服務(wù)商所使用的協(xié)議可能會有所不同；假如是使用DDN專線，則要選擇固定IP地址；假如是普通調(diào)制解調(diào)器撥號上網(wǎng)，則要使用PPP協(xié)議；假如是VPN連接，需要使用PPTP協(xié)議。

    另外，還要填寫ISP提供商的信息，如接入電話號碼、DNS主/輔地址及用戶驗證方式等，見圖4。驗證方式包括口令驗證協(xié)議（PAP）和挑戰(zhàn)-握手驗證協(xié)議（CHAP）。

圖4 連接互聯(lián)網(wǎng)的配置

    PAP是一種簡單的明文驗證方式。NAS（網(wǎng)絡(luò)接入服務(wù)器，Network Access Server）要求用戶提供用戶名和口令，PAP以明文方式返回用戶信息。很明顯，這種驗證方式的安全性較差，第三方可以很輕易地獲取被傳送的用戶名和口令，并利用這些信息與NAS建立連接，獲取NAS提供的所有資源。所以，一旦用戶密碼被第三方竊取，PAP無法提供避免受到第三方攻擊的保障措施。

    CHAP是一種加密的驗證方式，能夠避免建立連接時傳送用戶的真實密碼。NAS向遠(yuǎn)程用戶發(fā)送一個挑戰(zhàn)口令(Challenge)，其中包括會話ID和一個任意生成的挑戰(zhàn)字串（Arbitrary Challengestring）。遠(yuǎn)程客戶必須使用MD5單向哈希算法（one-way Hashing Algorithm）返回用戶名和加密的挑戰(zhàn)口令、會話ID及用戶口令，其中用戶名以非哈希方式發(fā)送。

    經(jīng)過以上配置，Linux路由器就基本完成了。在主控界面下選擇“t”，系統(tǒng)會在“router”目錄下生成一個report.txt文件。選擇“v”，系統(tǒng)會列出剛才所設(shè)定的各種設(shè)置清單，假如發(fā)現(xiàn)清單中的參數(shù)需要更改，還可以退回去再行設(shè)定。最后選擇“s”保存配置后，重新啟動計算機(jī)。

    高級應(yīng)用

    經(jīng)過以上配置的Linux路由系統(tǒng)可以完成DNS服務(wù)、DHCP服務(wù)、FTP服務(wù)、Telnet服務(wù)、打印服務(wù)等功能。下面看看它的一些高級應(yīng)用。在主控選單選擇“a”，進(jìn)入“Advanced settings”選單，如圖5。

圖5 Freesco的Advanced settings選單

    Freesco提供一個模塊化治理的選單，分成“System settings”、“Security/Limitations”、“Users/Passwords”、“Services”、“Hardware”、“Networks”、“Modems”、“Dial-up router”、“Permanent router”九個部分，分別提供38個功能選項。主要包括：

    1．網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）
    NAT可以連接Internet，但不答應(yīng)網(wǎng)絡(luò)內(nèi)的所有計算機(jī)都擁有一個真正的Internet IP地址。通過NAT功能，可以將申請的合法Internet IP地址統(tǒng)一治理，當(dāng)內(nèi)部的計算機(jī)需要上Internet時，動態(tài)或靜態(tài)地將假的IP轉(zhuǎn)換為合法的IP地址。另外，可以使外部網(wǎng)絡(luò)用戶不知道網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)。

    2．PPPoE和PPTP連接互聯(lián)網(wǎng)
    可通過以太網(wǎng)卡接口的ADSL調(diào)制解調(diào)器連接到網(wǎng)絡(luò)服務(wù)供給商，支持PAP/CHAP的PPP安全認(rèn)證。

    3．固定IP地址連接互聯(lián)網(wǎng)
    可設(shè)置對外網(wǎng)絡(luò)的固定IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)和DNS服務(wù)器，適合專線用戶。

    4．PPP連接互聯(lián)網(wǎng)
    使用普通電話線和56K調(diào)制解調(diào)器，以PPP方式連接上網(wǎng)。

    5．內(nèi)建DHCP服務(wù)器
    使網(wǎng)內(nèi)電腦能夠從路由器自動獲得網(wǎng)絡(luò)參數(shù)配置，如IP地址、網(wǎng)關(guān)和域名服務(wù)器地址等，避免對電腦的反復(fù)設(shè)置，同時可以綁定IP地址和網(wǎng)卡MAC地址。

    6．內(nèi)置DNS服務(wù)器
    為網(wǎng)內(nèi)電腦提供域名服務(wù)代理，加快主機(jī)名對應(yīng)IP地址的查找，從而提高訪問網(wǎng)頁的速度，并可自設(shè)主機(jī)名稱和IP地址的解析，支持動態(tài)DNS。

    7．內(nèi)置Network Time服務(wù)器
    Linux網(wǎng)絡(luò)建議至少建立一臺時間服務(wù)器來同步本地時間，這樣可以使在不同系統(tǒng)上處理收集日志和治理更加輕易。Freesco還提供了一個供Windows使用的客戶端軟件—FreeTimeClient。

    8．端口轉(zhuǎn)發(fā)
    改變目的IP地址稱為目的網(wǎng)絡(luò)地址轉(zhuǎn)換（Destination NAT），用來實現(xiàn)Internet對內(nèi)部網(wǎng)絡(luò)的訪問，通常的應(yīng)用形式為端口轉(zhuǎn)發(fā)（Port Forwarding）。目的網(wǎng)絡(luò)地址轉(zhuǎn)換能夠使內(nèi)部網(wǎng)絡(luò)中的服務(wù)器接受來自Internet的訪問，同時受到防火墻的監(jiān)控。

    9．用戶治理
    通過用戶權(quán)限的設(shè)定，斬斷危害網(wǎng)絡(luò)的“黑手”。

    10．主機(jī)訪問限制
    可根據(jù)主機(jī)的IP地址、網(wǎng)段或網(wǎng)卡MAC地址，限制網(wǎng)內(nèi)主機(jī)在特定時間段訪問網(wǎng)外其它電腦，或者使用某些通信協(xié)議和服務(wù)端口。

    11．Banner修改
    FTP、Telnet服務(wù)程序通常會顯示自己的“Banner”，許多系統(tǒng)入侵工具都具備自動獲得“Banner”的功能，通過修改“Banner”可以將Linux偽裝成Windows主機(jī)，減少被入侵的風(fēng)險。

    12．打印服務(wù)
    支持LPR和RAW協(xié)議的打印服務(wù)，網(wǎng)內(nèi)外電腦可以共享連接在路由器并行口或USB的打印機(jī)。

    13．設(shè)置“Read only floppy”
    使用軟盤介質(zhì)，將軟盤寫保護(hù)后，系統(tǒng)的啟動介質(zhì)成為只讀，而整個系統(tǒng)在內(nèi)存文件系統(tǒng)上運(yùn)行，即使系統(tǒng)遭到入侵破壞，也很輕易恢復(fù)。

    14．遠(yuǎn)程治理Freesco
    Freesco配置好之后，通過一個Web服務(wù)器、網(wǎng)絡(luò)上任何一個計算機(jī)的瀏覽器都可以治理它。在瀏覽器的IP地址中輸入它的地址和治理端口號82，即可見到如圖6所示治理界面。對于這樣一臺Linux系統(tǒng)，在安裝完成后完全可以省去顯示器、硬盤、鍵盤、鼠標(biāo)等，從而大大降低硬件成本。

圖6 遠(yuǎn)程治理Freesco界面

    為了使軟盤Linux路由系統(tǒng)具備更多的功能，必然要求在軟盤空間上容納更多的內(nèi)容。然而軟盤空間有限，讀寫速度比較慢，也輕易被損壞。現(xiàn)在比較新的計算機(jī)都支持USB閃盤進(jìn)行啟動，所以可以將軟盤中的文件拷貝到USB閃盤中，來提高系統(tǒng)工作的性能。

    TCP/IP協(xié)議是在Unix上發(fā)展起來的，并在Linux系統(tǒng)中得到了很好地繼續(xù)，這使TCP/IP成為Linux系統(tǒng)不可分割的組成部分。因為Linux系統(tǒng)中TCP/IP棧的實現(xiàn)尤為成熟，Linux更是號稱擁有業(yè)界最強(qiáng)的路由功能，加之其靈活、輕易定制的優(yōu)點，所以深受資深網(wǎng)管和高水平用戶的青睞。

    Freesco僅需要使用一臺配置較低的電腦就可以實現(xiàn)路由器的功能，使局域網(wǎng)的計算機(jī)可以共享一條寬帶線路訪問互聯(lián)網(wǎng)，并同時可在互聯(lián)網(wǎng)和局域網(wǎng)間建立起一道安全的防火墻。該方案適用于家庭、宿舍、小型辦公單位網(wǎng)絡(luò)等使用Linux系統(tǒng)作為路由器的網(wǎng)絡(luò)環(huán)境。(T111)