DIY自己的IPCop全功能防火墙

　　如果各位的家中还有以前淘汰下来的那些老古董机器，像Pentium 90那样的计算机，在486时候那可是宝贝，现在可真的是一文不值了。各位是想把这种老机器放在墙角继续与灰尘为伍，还是愿意拥有一台自己的防火墙/路由器，并且了解一台路由器到底是如何工作的，使用淘汰下来的闲置计算机，自己组建一台防火墙/路由器倒不失为一个好主意，特别是对现在几乎每个家庭都连接到因特网上，如果有一台称手的防火墙产品可供你使用，倒也能更好地保证家庭网络的安全性。而且现在大部分基于Linux的防火墙产品都是免费的，对用户来说，在成本上的花费根本可以忽略不计。当然，如果你是那种懒人，什么事都只想一插上电源就完事，那这篇文章的内容可能不适合于你。

　　现存，有很多基于Linux环境的路由器/防火墙软件可供选择，例如像有m0n0wall 、Smoothwall EXPress、LEAF-Bering UClibc和ClarkConnect等等，这些防火墙软件在网络或其他媒体上都有许多功能及应用方面的介绍。这次，我们把目光转向IPCop，集中注意力来看看这款软件防火墙的功能与性能表现怎么样，它的口号可是为“让不良数据包到此为止”。

　　由于整个工作的复杂性，我准备分三篇文章来介绍把一台老机器变成一台全功能防火墙的整个过程，第一篇主要介绍这台防火墙硬件相关的一些问题，为安装防火墙做好准备。第二篇介绍整个防火墙的安装过程。最后一篇介绍一下安装完成后防火墙具有的各款功能及其使用方法。现在让我们往下看。

　　硬件需求

　　依照IPCop用户手册中的内容，这套软件对硬件的要求是相当低的，可以说现在能够使用的随便一套机器即可满足其运行的需求。IPCop的最低硬件需求只要是一台安装有386处理器，32MB内存和一块300MB大小容量硬盘的“古董级”机器就行了，即使是闲置不用的老机器配置也比这个要高啊。不过如果要安装一台能够处理带宽达到6Mbps的路由器，我们还是建议使用速度更快的硬件，毕竟，像最低配置那样老掉牙的机器运行速度肯定是不敢恭维的，别的不说，其硬件的稳定性也值得怀疑。一块奔腾(Pentium)家族的处理器再加上256MB的内存应当是能够表现得相当好的，而且使用一块20GB大小的硬盘它还能够担当一个双面角色，可作为一台高效率的代理缓存服务器来使用。

　　有些人可能会这们认为，那使用最新、配置最好的硬件其性能岂不是要更好。其实，如果试着使用一些现在最新技术的硬件设备实际上不足可取，甚至还会引起一些问题。举个例子来说，现在IPCop对PCI Express技术的支持只是刚起步，远没达到完成与成熟的地步，如果我们使用了一块这样主板的话，那就可能会对主板上的网卡部分产生一些意想不到的问题。但那些使用传统常规PCI接口的网卡，例如像Intel PRO-1000一样，则应该是不会有任何问题发生的。

图1:测试使用的硬件平台 - Pentium 75 Socket 7系统

　　IPCop的标准配置至少需要一块网卡的支持。甚至那些最便宜的100Ｍbit/s以太网卡可能还更适合于我们的意图，至少它们在驱动程序的支持上会更全面一些，使用这类网卡的话它们的成本应该不会超过30元左右。现在市面上基于Realtek 8139系列芯片的网卡可以说是遍地都是，对于我们的本次应用来说，选用这种芯片的网卡倒不失为一种比较安全的作法，因为如果一种芯片的应用极其广泛的话实际上也是相当于保证了它能够得到更加广泛的驱动支持。如果你想准确地了解你所使用的某一种类型的网卡是否能够被IPCop支持，请参阅它的硬件兼容列表(Hardware Compatibility List，HCL)，具体地址为:http://www.ipcop.org/modules.php?op=modload&name=phpWiki&file=index&pagename=IPCopHCLv01。

　　由于在驱动程序支持方面方面还不够完善，把IPCop路由器作为一台无线AP来使用的话在目前阶段还是有一定的困难，它需要用户进行大量的手动设置，过程很烦琐并且也比较复杂。因此就目前阶段来说，要在一个WLAN中使用IPCop，我们的建议是最好使用一块常规的网卡，并把这块网卡连接到某个无线局域网AP的以太网端口上。像这样的解决方案现在已经有针对PRISM芯片的成型产品了。IPCop的主机AP工程（Host AP-Project）提供了更详细的信息来指导用户怎样进行这方面的设置。

　　需要几块网卡

　　一台路由器需要安装网卡的数量是依赖于它的具体应用的，不过，一块网卡是它的最低需求，所以说在我们自己所组建的路由器上至少也得安装有一块网卡，当然没有网卡的路由器我们还能称之为路由器吗，至少它是无法担当路由器功能的。在我们的这次给大家介绍的实例中，使用了两块网卡，这跟我们使用一台SOHO宽带路由器来共享ADSL或cable modem上网的具体网络结构是一样的(如图2所示)。在我们使用的这个网络中，一块网卡(第一块网卡)是连接到家用网络那一端的交换机上(用绿色的连接线表示)，而它的另一块网卡(第二块网卡)则是直接连接到一台ADSL或是cable modem上的(用红色的连接线表示。

图2:使用两块网卡路由器的网络连接拓扑结构

　　实际上，如果你还有其他因特网的连接方式的话，一块ISDN卡或是一块传统的模拟modem卡也是可以用来代替它的第二块网卡的，这主要是依赖于每个网络连接到因特网方式的不同而决定。另外的，如果我们的网络结构比较复杂或网络中提供的服务比较多，那还可以增加更多的网卡，在图3中显示的是一台使用了四块网卡路由器的具体网络拓扑图。在这个应用实例中，一条蓝色的线连接到一个局域网，而那条橙色的线是连接到网络中另外的一交换机上或是用来提供各种应用服务的服务器上，这也是完全可能的，在我们的网络中向内外提供web和电子邮件服务是很常见的。