m0n0wall 封IP、端口、域名

垃圾旧电脑，改装成硬件防火墙作者：刘磊来源：《电脑爱好者》2008年第21期提到硬件防火墙，或许普通的家庭用户感觉有点陌生，它是指把防火墙程序写入到电脑的一些硬件里面，将防火墙的功能由写入硬件的芯片执行，追求硬件防火墙是因为它不像软件防火墙需要占用系统和处理器资源，使系统安全和路由功能更加稳定。

硬件防火墙虽然功能强大，但价格却不菲，下面就为大家介绍一种利用U盘加Monowall软件打造的可以与商业防火墙相媲美的免费防火墙。

首先，准备工作。

需要准备一个U盘，一台废旧的老机，由于Monowall软件对硬件要求很低，只需486芯片、32MB内存（一般建议64MB），8MB硬盘加上网卡（两块，支持DMZ的需三块）即可。

其次，将Monowall写入U盘。

下载Monowall(下载地址:/analyst/m0n0wall/generic-pc-1.235_sc.img，快车代码：CF0821CFWL02)和physdiskwrite(IMG物理写盘工具)下载地址（/downinfo/493.html，快车代码：CF0821CFWL03），下载好后解压，通过写盘工具写入到U盘。

再次，设置网络连接，启动防火墙。

把装有monowall的U盘插入旧电脑后，需要对就电脑进行网络设置，把一张网卡与Modem的输出口相连，另一张网卡与交换机或集线器的WAN端口相连。

接着把U盘设置为引导系统。

待系统启动后M0n0wall会自动检测网络环境和设备，接着需要对网络端口和WEB管理IP地址进行设置，具体的设置过程可在网上搜索。

以校园网为例，设置好monowall 后的网络拓扑图（见图1）最后，登录WEB，对防火墙进行详细配置。

在局域网内找一台安装有Windows系统的电脑，把ＩＰ设置与防火墙同一网段（见图2）。

接着我们就在浏览器地址栏输入http://192.168.1.1（填入上一步设置的WEB管理IP地址），输入默认的用户名是admin，默认的密码是小写的mono(注意是字母O非数字0)，登录后根据自己需要进行具体配置即可实现monowall的强大的防火墙功能。

MONOWALL配置手册撰写人：萧烺一．MONOW ALL简介m0n0wall 是一项针对建立一个完整的、嵌入式的防火墙软件包的计划，该软件包可以安装于嵌入式PC里，提供所有商业防火墙的重要特性（包括易用性），而且价格只有商业防火墙几分之一（自由软件）。

m0n0wall是基于bare-bones version of FreeBSD，包括一个WEB服务器，PHP和其它一些工具软件。

整个系统的配置保存在一个XML文件当中，条理清晰。

m0n0wall可能是第一个启动时通过PHP配置的UNIX系统，这种结构胜于使用shell脚本。

并且整个系统的配置用XML格式保存。

m0n0是一个防火墙，而防火墙的目的是提供安全。

增加越多的功能，新增功能的弱点给防火墙带来安全隐患的机会就越大。

m0n0wall创建者及主要贡献者的观点是防火墙第3和4层基本服务之外的任何东西都不属于m0n0wall。

一些可能合适的服务占用CPU和内存饥渴，而m0n0wall 着眼于嵌入式设备，CPU和内存资源都有限。

非连续（保存）的文件系统是由于着眼于CF(Compact Flash)安装,这又是一个限制因素。

最后，(内核)映象的大小限制，消除了其它可能性。

我们觉得以下服务应该运行在其它服务器，并特意不作为m0n0wall的一部分：入侵检测/保护系统(IDS)代理服务器第三、第四层外的任何数据包检查通用的WEB服务器FTP服务器网络时间服务器日志文件分析器基于同样的原因，m0n0不允许登录(login): 控制台没有登录提示符（以显示一个菜单代替），没有telnet 和ssh服务进程(deamon)1.3 历史Manuel Kasper, m0n0wall的作者，说：从我开始在嵌入式PC上摆弄包过滤器，我就想有一个漂亮的基于web图形界面的控制器来控制所有的防火墙功能，而不是通过键入单个的命令。

在互联网上有很多漂亮的带有WEB接口的防火墙包（大部分是基于Linux的），但是没有一个符合我要求的（自由，快速，简单，干净以及我需要的所有特性）。

m0n0wall安装篇一、m0n0wall是什么？二、m0n0wall是一个完整的嵌入防火墙软件包，当与一台嵌入个人电脑一起使用时，在免费使用自由软件的基础上，提供具备商业防火墙所有重要特性（包括易用）。

m0n0wall基于FreeBSD的精简版本，使用web服务器（thttpd），PHP以及其他一些工具。

整个系统配置被存放在一个XML文本文件并且保持事件明晰。

三、m0n0wall可能是在启动时候使用PHP配置的第一个UNIX系统，而不是通常使用的shell脚本，并且整个系统配置被存放在XML格式中。

四、准备工作五、1、必需硬件：六、一台基于x86的pc，包含最少64M RAM七、存储介质（cdrom＋floppy或者硬盘、cf2ide＋cf、DOM均可）八、二条网络电缆九、2、必需的网络信息十、您将需要知道采用下面何种方式接入互联网，并且知道适当的细节。

您可以通过ISP 的技术支持获得这信息。

十一、静态IP -- 如果您有与静态IP 的连接, 您将需要记录下来您的IP 地址、子网掩码、网关和DNS 服务器IP's 。

十二、DHCP------如果您有使用DHCP 的互联网连接, 您不需要收集信息。

十三、PPPoE-----许多DSL 提供者提供PPPoE 或PPPoA 服务。

您将需要知道您的PPPoE 用户名和密码和可能您的服务名字(虽然这可能通常任空白) 。

十四、3、理解CIDR 子网掩码记法，详见：获取和安装m0n0wall十五、1、选择存储介质十六、m0n0wall 为pc用户提供了两种存储介质的选择，cdrom＋floppy 或者harddisk。

十七、CD/floppy 设定：十八、m0n0wall 可以从CD启动并运行，并且试用软盘保存配置文件。

但是我们并不推荐它在生产环境使用。

因为软盘失效的可能性远大于硬盘。

十九、硬盘设定：二十、您能安装m0n0wall 在任一个硬盘(> = 8 MB, 那么基本上任何IDE 硬盘都可以使用) 。

m0n0wall中配置VPN的PPTP功能 一直想实现VPN功能。

想一想，如果在家里就能连到公司的电脑上处理异常问题该多好啊，当然安全因素必须考虑，VPN无疑是最佳选择！多次用windos server 2003配置都没有达到理想的效果。

今天，在m0n0wall上终于成功实现了这个功能。

只要公司外网不断，以后在家里就能连到公司的任意一台电脑上处理问题了。

再也不需要TV啦，太TM方便了！哈哈...当然，VNC还是需要的！ 如果你们公司在外地有分公司或办事处，要连到公司总部共享文件，这也是一个好的方案！以下是我的网络结构拓扑图，公司装了m0n0wall防火墙，内网IP为192.168.2.1/24。

家里所用电脑的IP段为192.168.3.1/24:1、服务器端设置，也就是公司端的设置。

登录m0n0wall的WEB管理界面，选择VPN-PPTP,详细设置见下图:2、点保存后，在防火墙--规则中会自动生成PPTTVPN选项，在这里添加一条“允许NAT规则通过的过滤规则"”这项，见下图：3、返回VPN-PPTP设置，在用户中添加一个用户名及密码，并保存。

见下图：4、OK。

到这一步服务器端已经成功设置完毕。

下面设置客户端，也就是家里的电脑上设置。

在 "网络连接" 里面,创建 一个 VPN 拨号连接.就可以了.就跟以前小猫拨号一样的.只不过创建的是 VPN 拨号.详见下图：公司名，就乱写，不要紧。

主机名或IP地址,就输入你m0n0wall的外网地址.接下来就可以拨号了！5、拨号成功，见下图：6、拨号成功之后,也许聪明的你会发现,你使用网络的时候,是从VPN这边走的了.如果你用QQ的话,刚拨号后,你还会掉线.所以.你还要把VPN的默认网关去掉.不然,VPN大于你的 LAN 了.在VPN连接上 鼠标右键->属性-> 网络 选项卡 -> 选择 internet协议(tcp/ip) -> 属性 按钮 ->高级 按钮 ->将 在远程上使用默认的网关 前面的勾去掉.这样,VPN就不会影响到你上网了.见下图：7、在自己的电脑上安装VNC服务器端，公司的电脑上都有客户端，链接成功后就可以在家里连到公司的任何一台电脑上啦！怎么样？不错吧！。

封ip解决方法封IP，全称Internet Protocol Address，是指在计算机网络中，一台计算机用来和另外一台计算机之间通信的数据包编号，其能够标识发送和接收数据包的计算机。

一台计算机可以有多个IP，也可以没有IP。

封IP，是指当终端用户试图访问网页用户所拥有的IP被限制，用户无法访问指定的网络服务的技术。

通常会在服务器，路由器或者网关上进行IP封锁，以防止用户访问不当的网站或服务。

此外，IP 封锁也用于阻止用户的有害行为，如破坏性的攻击或病毒扩散，以及防止未经授权的访问到网络上的重要信息。

封IP可以用来解决许多网络安全问题，但也存在一些弊端，它也可能影响到正常的网络通信，给用户带来不便。

因此，在采用IP 封锁解决方案时，必须确保它们符合网络环境，以免出现意外情况或无法预料的结果。

首先要明确的是，IP封锁解决方案的选择是基于给定的网络环境条件的。

在这种情况下，可以采用的解决方案包括：服务器防火墙，应用程序封锁，端口封锁，端口转发，拦截类型封锁，以及其他安全技术。

此外，还可以构建一个安全网络，其内容可以包括：身份验证，口令加密，签名验证，备份，定期审计等机制。

除了上述的技术措施之外，还有一些非技术措施可以应用在IP 封锁解决方案中，如策略和流程的定义，用户培训，安全意识的提高等。

这些非技术的措施有助于用户和组织的安全保护，而技术措施可以加强这些非技术措施的实施。

此外，组织可以通过IP封锁来管理用户，防止他们访问会对网络造成危害的网站，尤其是一些有恶意行为的网站，如恶意病毒和木马等。

这些检测机制可以有效地阻止未经授权的网络访问，并有助于控制用户的访问权限，从而避免安全性的风险。

综上所述，IP封锁是一种用来解决网络安全问题的有效方法，可以防止未经授权的网络访问，并有助于控制用户的访问权限，从而避免安全性的风险。

在使用IP封锁来解决问题的时候，一定要遵循服务器，路由器，网关的安全规定和非技术措施，保证网络的安全性和可靠性。

openwrt mosdns adguardhome 原理OpenWRT是一个开源的嵌入式操作系统，可以运行在路由器等网络设备上。

它的目标是提供一个完全自定义的、高度可配置的路由器系统。

而MOSDNS是一个基于DNS over HTTPS协议的DNS服务器，用于将域名解析请求转发到上游的DNS解析服务器。

AdGuardHome则是一个网络广告拦截和隐私保护的工具，可以用来过滤网络中的广告和恶意内容。

在OpenWRT上搭建MOSDNS和AdGuardHome的原理是将MOSDNS和AdGuardHome编译为OpenWRT的软件包，并将其安装到OpenWRT系统中。

然后通过配置OpenWRT的网络设置，将DNS解析请求转发到MOSDNS和AdGuardHome的监听端口。

当用户在网络中的设备上发起域名解析请求时，请求将首先到达OpenWRT，然后被转发到MOSDNS和AdGuardHome进行解析和过滤，最后再返回解析结果给用户。

MOSDNS和AdGuardHome的工作原理类似，都是通过拦截和过滤DNS解析请求来实现广告拦截和隐私保护的功能。

它们会在解析请求到达时，匹配请求中的域名和IP地址，并根据预先设置的规则，判断是否属于广告或恶意内容。

如果是广告或恶意内容，就会返回一个替代的IP地址或直接拦截请求，以达到阻止广告和保护隐私的目的。

通过在OpenWRT上搭建MOSDNS和AdGuardHome，可以全局地拦截和过滤网络中的广告和恶意内容，保护用户的隐私和安全。

同时，OpenWRT的高度可定制化特性也使得用户可以根据自己的需求进行配置和扩展，进一步提升系统的功能和性能。

m0n0wall安装篇一、m0n0wall是什么？m0n0wall是一个完整的嵌入防火墙软件包，当与一台嵌入个人电脑一起使用时，在免费使用自由软件的基础上，提供具备商业防火墙所有重要特性（包括易用）。

m0n0wall基于FreeBSD的精简版本，使用web服务器（thttpd），PHP以及其他一些工具。

整个系统配置被存放在一个XML文本文件并且保持事件明晰。

m0n0wall可能是在启动时候使用PHP配置的第一个UNIX系统，而不是通常使用的shell脚本，并且整个系统配置被存放在XML格式中。

二、准备工作1、必需硬件：一台基于x86的pc，包含最少64M RAM存储介质（cdrom＋floppy或者硬盘、cf2ide＋cf、DOM均可）二条网络电缆2、必需的网络信息您将需要知道采用下面何种方式接入互联网，并且知道适当的细节。

您可以通过ISP 的技术支持获得这信息。

静态IP -- 如果您有与静态IP 的连接, 您将需要记录下来您的IP 地址、子网掩码、网关和DNS 服务器IP's 。

DHCP------如果您有使用DHCP 的互联网连接, 您不需要收集信息。

PPPoE-----许多DSL 提供者提供PPPoE 或PPPoA 服务。

您将需要知道您的PPPoE 用户名和密码和可能您的服务名字(虽然这可能通常任空白) 。

3、理解CIDR 子网掩码记法，详见：http://doc.m0n0.ch/quickstartpc/三、获取和安装m0n0wall1、选择存储介质m0n0wall 为pc用户提供了两种存储介质的选择，cdrom＋floppy 或者harddisk。

CD/floppy 设定：m0n0wall 可以从CD启动并运行，并且试用软盘保存配置文件。

但是我们并不推荐它在生产环境使用。

因为软盘失效的可能性远大于硬盘。

硬盘设定：您能安装m0n0wall 在任一个硬盘(> = 8 MB, 那么基本上任何IDE 硬盘都可以使用) 。

MONOWALL配置手册撰写人：萧烺一．MONOW ALL简介m0n0wall 是一项针对建立一个完整的、嵌入式的防火墙软件包的计划，该软件包可以安装于嵌入式PC里，提供所有商业防火墙的重要特性（包括易用性），而且价格只有商业防火墙几分之一（自由软件）。

m0n0wall是基于bare-bones version of FreeBSD，包括一个WEB服务器，PHP和其它一些工具软件。

整个系统的配置保存在一个XML文件当中，条理清晰。

m0n0wall可能是第一个启动时通过PHP配置的UNIX系统，这种结构胜于使用shell脚本。

并且整个系统的配置用XML格式保存。

m0n0是一个防火墙，而防火墙的目的是提供安全。

增加越多的功能，新增功能的弱点给防火墙带来安全隐患的机会就越大。

m0n0wall创建者及主要贡献者的观点是防火墙第3和4层基本服务之外的任何东西都不属于m0n0wall。

一些可能合适的服务占用CPU和内存饥渴，而m0n0wall 着眼于嵌入式设备，CPU和内存资源都有限。

非连续（保存）的文件系统是由于着眼于CF(Compact Flash)安装,这又是一个限制因素。

最后，(内核)映象的大小限制，消除了其它可能性。

我们觉得以下服务应该运行在其它服务器，并特意不作为m0n0wall的一部分：入侵检测/保护系统(IDS)代理服务器第三、第四层外的任何数据包检查通用的WEB服务器FTP服务器网络时间服务器日志文件分析器基于同样的原因，m0n0不允许登录(login): 控制台没有登录提示符（以显示一个菜单代替），没有telnet 和ssh服务进程(deamon)1.3 历史Manuel Kasper, m0n0wall的作者，说：从我开始在嵌入式PC上摆弄包过滤器，我就想有一个漂亮的基于web图形界面的控制器来控制所有的防火墙功能，而不是通过键入单个的命令。

在互联网上有很多漂亮的带有WEB接口的防火墙包（大部分是基于Linux的），但是没有一个符合我要求的（自由，快速，简单，干净以及我需要的所有特性）。

公司一直在用ISA2006作为防火墙，开始投入使用时觉得设置很复杂！于是沉下心来研究这个东东，一段时间过后，发觉也就那么回事，于是乎就不再去管它了，就让它一直开着，公司开通外网的权限全靠它了，呵呵！最近公司网络大变更，给我就个菜鸟一个超级好的学习机会！邮件服务器、ERP服务器......陆续成功上线了！今天，台北的MIS老大又叫我把ISA2006防火墙更改成m0n0wall！NND，没用过这个防火墙，不知道性能怎么样，于是baidu了一下，找到了这个软件的交流平台：m0n0wall中国（），根据m0n0wall对硬件要求不高的特点，我选了一台配置最差的电脑，成功下载并安装了这个软件！待我全部设置完毕后就到了下班时间，想着先把这个安装过程及基本的配置方法记录下来，明天继续研究！摘要：m0n0wall is a project aimed at creating a complete, embedded firewall software package that, when used together with an embedded PC, provides all the important features of commercial firewall boxes (including ease of use) at a fraction of the price (free software).m0n0wall is based on a bare-bones version of FreeBSD, along with a web server, PHP and a few other utilities. The entire system configuration is stored in one single XML text file to keep things transparent.一、认识M0n0wallM0n0wall是基于FreeBsd内核开发的免费软件防火墙。

m0n0wall多个公网IP映射内网服务器设置方法详解目前，许多学校的宽带都进行了升级，由原来的10M带宽升级为20M，IP 地址也由原来的三个动态地址升级为三至五个静态的I P地址。

这为我们内网的多服务器应用提供了很好的网络资源。

但是，我们很多学校使用的m0n0wall软路由一般都只有一个wan口，在设置映射端口时，一种网络应用服务只能映射一个端口，比如web服务的80端口，ftp服务的21端口，mail服务的25、110端口等，如果有多台服务器要用到80端口，就会出现冲突。

现在我们有了多个静态IP地址后，怎样充分利用多个IP地址设置多个80端口或者其它端口的服务器应用呢？根据本人的使用经验，只要三个步骤就可以了：1.设置服务器NAT;2.设置ARP代理;3.设置NAT转入。

下面就跟随我来进行WAN口多IP设置吧。

一、设置服务器NAT进入m0n0wall管理界面，单击左边栏目的防火墙部分“NAT”选项，如图：在右边的栏目里单击“服务器NAT”选项卡，然后单击右下角的“+”，出现如下网页：在“外部IP地址”右边填上一个公网地址（除当前wan口IP地址以外的），在描述栏可以加上说明，然后再点“保存”按钮，完成一个公网地址的设置。

如果有几个地址，则继续以上的操作，直至完成所有IP的设置。

最后再单击“应用更改”按钮，如图：完成设置的激活。

二、设置ARP代理单击左边栏目“服务功能”下的“ARP代理”，出现如图界面：在右边的栏目中单击右下角的“+”号按钮，出现页面如图：择“单地址”、“网络”或者“范围”。

如果公网地址非连续的，可以选择“单地址”进行单个的设置，此时地址栏要填上IP地址不需要设置掩码，此时掩码是不可选的；如果公网地址是子网，可以选择“网络”，这时可以设置IP段及其掩码，掩码范围根据实际情况进行设置；如果公网地址是个连续的范围，则可以选择“范围”，这时就可以在“范围”的右边填写起始地址及结束地址，最后在“描述”栏填写说明，以备查询。

第一章介绍1.1. 什么是m0n0wallm0n0wall 是一个完整的、嵌入式的防火墙套装软件，该套装软件可以安装于嵌入式PC里，提供所有商业防火墙的重要特性（包括易用性），而且价格只有商业防火墙几分之一（自由软件）。

m0n0wall 是基于bare-bones version of FreeBSD，包括一个WEB服务器，PHP和另一些工具软件。

整个系统的配置保存在一个XML文件当中。

m0n0wall可能是第一个启动时透过PHP配置的UNIX系统，这种架构胜于使用shell脚本。

并且整个系统的配置用XML格式保存。

1.2.m0n0wall的局限m0n0wall是防火墙，并且防火墙的目的是提供安全。

功能被增加的越多，这些额外的功能的脆弱将损害防火墙安全的机会越大。

因此 m0n0wall编写者认为m0n0wall不包含在第3层和第4层防火墙的基础服务外的任何功能。

因为m0n0wall是嵌入式的防火墙面向嵌入设备有限的CPU 资源和内存资源。

并为适应低端设备的CPU和内存的局限，以及Flash内存等原素的限制。

最后，为了限制image文件的大小取消了这些额外的功能。

●我们认为以下的这些服务应该在另一台服务器上运转，所以m0n0wall不包含这些部分︰●入侵察觉/ 预防系统●代理服务●除了第3层和第4层以外其它任何层的包检查●WEB服务●FTP服务●网络时间服务●日志文件分析不支持Telnet或SSH程序。

1.3.历史Manuel Kasper, m0n0wall的作者，说︰从我开始在嵌入式PC上摆弄包过滤器，我就想有一个漂亮的基于web图形界面的控制单元来控制所有的防火墙功能，而不是透过键入单个的命令。

在互联网上有很多漂亮的带有WEB界面的防火墙包（大部分是基于Linux的），但是没有一个符合我要求的（自由，快速，简单，干净以及我需要的所有特性）。

所以，我终于开始写属于自己的WEB图形界面。

但是，我决不是想建立一个webmin的翻版----我想建立一个完整的、新的嵌入式防火墙套装软件。

m0n0wall中⽂⼿册第⼀章介紹1.1. 什麼是m0n0wallm0n0wall 是⼀個完整的、嵌⼊式的防⽕牆套裝軟件，該套裝軟件可以安裝于嵌⼊式PC裡，提供所有商業防⽕牆的重要特性（包括易⽤性），⽽且價格只有商業防⽕牆幾分之⼀（⾃由軟體）。

m0n0wall 是基于bare-bones version of FreeBSD，包括⼀個WEB伺服器，PHP和另⼀些⼯具軟體。

整個系統的配置保存在⼀個XML⽂件當中。

m0n0wall可能是第⼀個啟動時透過PHP配置的UNIX系統，這種架構勝于使⽤shell腳本。

並且整個系統的配置⽤XML格式保存。

1.2.m0n0wall的局限m0n0wall是防⽕牆，並且防⽕牆的⽬的是提供安全。

功能被增加的越多，這些額外的功能的脆弱將損害防⽕牆安全的機會越⼤。

因此m0n0wall編寫者認為m0n0wall不包含在第3層和第4層防⽕牆的基礎服務外的任何功能。

因為m0n0wall是嵌⼊式的防⽕牆⾯向嵌⼊設備有限的CPU資源和記憶體資源。

並為適應低端設備的CPU和記憶體的局限，以及Flash記憶體等原素的限制。

最後，為了限制image⽂件的⼤⼩取消了這些額外的功能。

●我們認為以下的這些服務應該在另⼀台伺服器上運轉，所以m0n0wall不包含這些部分︰●⼊侵察覺/ 預防系統●代理服務●除了第3層和第4層以外其他任何層的包檢查●WEB服務●FTP服務●網路時間服務●⽇誌⽂件分析不⽀持Telnet或SSH程式。

1.3.歷史Manuel Kasper, m0n0wall的作者，說︰從我開始在嵌⼊式PC上擺弄包過濾器，我就想有⼀個漂亮的基于web圖形界⾯的控制單元來控制所有的防⽕牆功能，⽽不是透過鍵⼊單個的命令。

在互聯網上有很多漂亮的帶有WEB界⾯的防⽕牆包（⼤部分是基于Linux的），但是沒有⼀個符合我要求的（⾃由，快速，簡單，乾淨以及我需要的所有特性）。

所以，我終于開始寫屬于⾃⼰的WEB圖形界⾯。

m0n0wall详细安装及基本配置方法(图)公司一直在用ISA2006作为防火墙，开始投入使用时觉得设置很复杂！于是沉下心来研究这个东东，一段时间过后，发觉也就那么回事，于是乎就不再去管它了，就让它一直开着，公司开通外网的权限全靠它了！最近公司网络大变更，给我一个超级好的学习机会！邮件服务器、ERP服务器......陆续成功上线了！今天，台北的MIS老大又叫我把ISA2006防火墙更改成m0n0wall！晕，没用过这个防火墙，不知道性能怎么样，于是baidu了一下，找到了这个软件的交流平台：m0n0wall中国（），根据m0n0wall对硬件要求不高的特点，我选了一台配置最差的电脑，成功下载并安装了这个软件！摘要：m0n0wall is a project aimed at creating a complete, embedded firewall software package that, when used together with an embedded PC, provides all the important features of commercial firewall boxes (including ease of use) at a fraction of the price (free software).m0n0wall is based on a bare-bones version of FreeBSD, along with a web server, PHP and a few other utilities. The entire system configuration is stored in one single XML text file to keep things transparent.一、认识M0n0wallM0n0wall是基于FreeBsd内核开发的免费软件防火墙。

nginx拦截境外域名访问的方法引言随着互联网的不断发展，许多网站和应用程序需要限制仅允许国内用户访问，或者避免被来自境外的恶意访问。

在这种情况下，使用n gi nx 作为反向代理服务器，来拦截境外域名的访问是一个非常有效的方法。

本文将介绍如何使用ng i nx来实现这一目标。

步骤一：安装n g i n x首先，我们需要在服务器上安装n gi nx。

请按照n gi nx的官方文档或相关教程进行安装。

步骤二：配置n g i n x1.打开ng in x的配置文件，通常在`/et c/n gi nx/n gi nx.co n f`。

2.在`ht tp`部分添加以下内容：```g e o$ge o{d e fa ul td ef au lt;i n cl ud e/pa th/t o/g e oi p/ge oi p.co nf;}m a p$ge o$al lo we d_c o un tr y{d e fa ul tn o;C N ye s;}```3.在`se rv er`部分的`lo ca ti on/`块中添加以下内容：```i f($al lo we d_co unt r y=no){r e tu rn403;}```4.保存并退出配置文件。

步骤三：下载GeoI P数据库1.下载G eo IP数据库文件，该文件包含了IP地址与国家的映射关系。

可以使用Ma xM in d等服务提供商提供的免费数据库。

2.将下载的数据库文件解压，并将其路径添加到步骤二中的`g eo ip.c on f`文件中：```g e oi p_co un tr y/pat h/t o/Ge oI P.da t;```步骤四：重启n g i n x完成以上步骤后，重新启动n gi nx服务，让配置生效：```s u do se rv ic en gi nxr e st ar t```结论通过使用ng in x反向代理服务器，结合G eo IP数据库，我们可以很方便地实现拦截境外域名访问的功能。

shellcmd里面shellcmd那一项：sysctl net.inet.tcp.msl=7500sysctl net.inet.ip.fw.dyn_max=65535ipfw add allow tcp from 10.1.0.20/24 to any setup limit src-addr 60限制网段里面每个IP的TCP最大连接数为60,防止迅雷，BT等P2P软件大量占用TCP联接。

上面的这些参数。

复制到Shellcmd里面点保存一下，再点执行就可以了，可以在exec.php里面，sysctl -a，（查看当前值）比如说，我要查sysctl net.inet.tcp.msl=1500这条命令的执行结果。

我直接ctrl+f，net.inet.tcp.msl=1500如果能看到，就证明起作用了。

earlyshellcmd那一项kldload ipfwkldload dummynetsysctl net.inet.ip.fw.one_pass=1sysctl net.inet.ip.dummynet.hash_size=256earlyshellcmd的是用来解决限速中动态64管道问题的。

这个需要重启才有用。

shellcmd部分参数说明：防止ICMP广播风暴net.inet.icmp.bmcastecho=0net.inet.icmp.maskrepl=0#限制系统发送ICMP速率net.inet.icmp.icmplim=100#防止DOS攻击,默认为30000net.inet.tcp.msl=1500#防止DOS攻击net.inet.tcp.syncookies=1#并发连接数,默认为128,推荐在1024-4096之间,数字越大占用内存也越大，看内存而定，我是1g的。

kern.ipc.somaxconn=500000#防止不正确的UDP攻击sysctl net.inet.udp.checksum=1。

【Nginx】如何封禁IP和IP段？看完这篇我会了！！写在前⾯Nginx不仅仅只是⼀款反向代理和负载均衡服务器，它还能提供很多强⼤的功能，例如：限流、缓存、⿊⽩名单和灰度发布等等。

在之前的⽂章中，我们已经介绍了Nginx提供的这些功能。

⼩伙伴们可以到【Nginx专题】进⾏查阅。

今天，我们来介绍Nginx另⼀个强⼤的功能：禁⽤IP和IP段。

禁⽤IP和IP段Nginx的ngx_http_access_module 模块可以封配置内的ip或者ip段，语法如下：deny IP;deny subnet;allow IP;allow subnet;# block all ipsdeny all;# allow all ipsallow all;如果规则之间有冲突，会以最前⾯匹配的规则为准。

配置禁⽤ip和ip段下⾯说明假定nginx的⽬录在/usr/local/nginx/。

⾸先要建⼀个封ip的配置⽂件blockips.conf，然后vi blockips.conf编辑此⽂件，在⽂件中输⼊要封的ip。

deny 1.2.3.4;deny 91.212.45.0/24;deny 91.212.65.0/24;然后保存此⽂件，并且打开nginx.conf⽂件，在http配置节内添加下⾯⼀⾏配置：include blockips.conf;保存nginx.conf⽂件，然后测试现在的nginx配置⽂件是否是合法的：/usr/local/nginx/sbin/nginx -t如果配置没有问题，就会输出：the configuration file /usr/local/nginx/conf/nginx.conf syntax is okconfiguration file /usr/local/nginx/conf/nginx.conf test is successful如果配置有问题就需要检查下哪⼉有语法问题，如果没有问题，需要执⾏下⾯命令，让nginx重新载⼊配置⽂件。

CentOS7防⽕墙放⾏或限制指定IP和端⼝（firewall）CentOS7默认没有安装iptables，可以⼿动安装iptables；也可以通过CentOS7已带的firewall配置防⽕墙。

1.查看firewalld.service服务状态systemctl status firewalld2.查看firewall运⾏状态firewall-cmd --state3.⼿动启动/停⽌/重启firewalld.service服务# 启动firewalldservice firewalld start# 停⽌firewalldservice firewalld stop# 重启firewalldservice firewalld restart4.展⽰当前配置的firewall规则firewall-cmd --list-all5.端⼝（端⼝段）的查询/开放# 查询端⼝是否开放firewall-cmd --query-port=8080/tcp# 新建永久规则，开放8080端⼝（TCP协议）firewall-cmd --permanent --add-port=8080/tcp# 移除上述规则firewall-cmd --permanent --remove-port=8080/tcp# 新建永久规则，批量开放⼀段端⼝（TCP协议）firewall-cmd --permanent --add-port=9001-9100/tcp6.IP（IP段）的开放# 新建永久规则，开放192.168.1.1单个源IP的访问firewall-cmd --permanent --add-source=192.168.1.1# 新建永久规则，开放192.168.1.0/24整个源IP段的访问firewall-cmd --permanent --add-source=192.168.1.0/24# 移除上述规则firewall-cmd --permanent --remove-source=192.168.1.17.系统服务的开放# 开放http服务firewall-cmd --permanent --add-service=http# 移除上述规则firewall-cmd --permanent --remove-service=http8.⾃定义复杂规则（注意是否与已有规则冲突）# 允许指定IP访问本机8080端⼝firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.1" port protocol="tcp" port="8080" accept'# 允许指定IP段访问本机8080-8090端⼝firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="8080-8090" accept' # 禁⽌指定IP访问本机8080端⼝firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.1" port protocol="tcp" port="8080" reject'9.任何修改操作，配置完成后，需要重新装载firewall。