【51CTO.COM 精彩翻譯】Linux是為網絡而生的，如果你想自己DIY一個互聯(lián)網設備，Linux將是不二之選，最流行的互聯(lián)網設備是路由器，現(xiàn)在很多家庭也擁有一臺路由器，它們將DSL或有線互聯(lián)網連接轉換成以太網或無線網絡，供家庭電腦使用，如果你不止一臺電腦，通過路由器共享上網幾乎成了不爭的事實標準。

如果你有一臺很老很老的舊電腦，也許你將其丟棄在儲物間的某個角落，現(xiàn)在早已覆上了厚厚一層灰塵，也許你曾經將其放在二手物品交易網站上，但無人問津，也許你覺得這樣的電腦應該當廢品賣幾個酒錢，但今天我要告訴你的是，廢物也能重新煥發(fā)生機，不信請繼續(xù)往下看。

你可以將它配置成一個互聯(lián)網網關/路由器，但你也許馬上就會反問：“為什么不用現(xiàn)成的Modem/路由器，何苦要這么折騰呢？”，沒錯，現(xiàn)在的家用路由器已經很便宜，任何人都能負擔得起，但我想說的是，自己DIY一臺路由器，可以獲得更多的控制權，并且可以藉此學到更多知識，這就好像一個是白盒，一個黑盒。

要實現(xiàn)這個目標，我們有兩種選擇，一種是用專用的Linux發(fā)行版，它內置了所有需要的軟件包，直接安裝變成，另一種是完全從零開始構建整個路由器的操作系統(tǒng)，一般是使用最小化Linux安裝，再加上一些需要的軟件包。

選擇發(fā)行版

有許多發(fā)行版可用于構建自己的路由器和防火墻，除了Linux外，還有FreeBSD可供選擇，它們又可分為兩種類型，一種專門提供了防火墻/路由器功能，另一種提供了更復雜的互聯(lián)網網關功能，包括打印、郵件、文件和Web服務器。我們這次選擇的是IPCop 1.4.21穩(wěn)定版，如果你喜歡冒險和嘗鮮，可以試試最新的1.9版本。

圖 1 IPCop和其它成品路由器一樣是通過Web界面進行配置和管理的

至于舊電腦，達到i586的配置就可以了，也許你會感到很驚訝，586時代的電腦還有用處？其實這種配置的舊電腦可以充當一個中型網絡的互聯(lián)網網關。

IPCop是沒有桌面的，安裝完成后，所有操作都是通過Web管理界面完成的，因此它對電腦內存的要求是很低的，鍵盤和顯示器也只是在安裝期間才需要，安裝完畢后就可以搬走。

對電腦唯一的要求是至少需要配備兩塊網卡：一塊用于本地網絡連接（綠色網絡），另一塊用于連接互聯(lián)網（紅色網絡），當然也可以是PCI DSL Modem卡，如果你使用3G網絡，只需要有USB端口就行了。

如果你想設立一個非軍事區(qū)（DMZ），則需要另一塊以太網卡，如果你想將它作為一個Wi-Fi訪問點，那么一塊無線網卡也是必需的，將交換機接入本地網絡以太網卡后，網絡中的其它電腦就可以通過該交換機訪問互聯(lián)網了。

注意，從IPCop光盤安裝時是沒有圖形界面的，全部是基于文本的界面，對于習慣了OpenSUSE，Ubuntu和Mandriva圖形安裝程序的人來說，也許會有點困難，其實整個安裝過程只會使用幾個鍵：使用光標鍵移動焦點，使用空格鍵選擇，使用回車鍵確認。另外，IPCop安裝程序會提醒你它要擦除整塊硬盤上的數據，它是不支持和Windows實現(xiàn)雙重啟動的，安裝過程是沒有分區(qū)那一步的，因此不必事先做好分區(qū)準備。在還原屏幕選擇“跳過”，接下來選擇用于本地網絡連接的以太網卡，雖然你可以手動選擇，但我一般還是接受安裝程序自動做出的選擇。因為路由器一般還會充當網絡中的DHCP服務器，因此還需要指定DHCP客戶端的IP地址范圍，如果你不知道填什么，那就看看下圖中的內容吧。

圖 2 安裝期間為綠色網絡設置DHCP服務器

安裝期間最重要的選擇是網絡配置類型，綠色（GREEN）代表以太網，紅色（RED）代表Modem，如果你想創(chuàng)建DMZ或無線網絡，則要選擇橙色（ORANGE）或藍色（BLUE），當然這些都可以在以后再修改。#p#

圖 3 安裝后通過Web管理界面重新配置綠色網絡DHCP服務器

地址配置

如果你的Modem能從你ISP的DHCP服務器自動獲得DNS和網關服務器地址，那么在設置時就可以留空，但一般情況下，你應該為綠色和藍色網絡指定DHCP自動分配IP地址的范圍，我們一般喜歡從192.168.1.100開始分配，低于100的則用于靜態(tài)分配，不管如何，這里都需要啟用DHCP服務器。DNS服務器地址可以使用IPCop本機的地址，這樣IPCop就充當了DNS緩存的角色。

最后，你需要為三個用戶設置密碼，root用戶一般是不會使用的，除非你想直接登錄到路由器上，admin用戶是Web界面的操作用戶，我們一般就使用它管理和配置IPCop，backup用戶則用于備份。設置好密碼后就可以取出IPCop安裝盤，重啟電腦了。

圖 4 設置用戶密碼

啟動

等電腦重啟好后，在綠色網絡中任一電腦上打開瀏覽器，輸入https://192.168.1.1:445，用你安裝時設置的IP地址代替這里的192.168.1.1，此外還可以使用IPCop電腦的主機名訪問，默認是ipcop（https://ipcop:445），瀏覽器可能會報告這是一個非受信任的網站，因為IPCop使用的是自己產生的證書，你只管點接受便可以了。

還記得安裝時為admin用戶設置的密碼嗎？如果沒有輸入密碼，你只能查看IPCop的主頁，點擊任何按鈕和鏈接都會蹦一個登錄對話框出來。

首先你應該選擇的第一個鏈接是“系統(tǒng)”*“更新”，因為主頁上會顯示有更新可用，點擊“下載”按鈕，關于更新的描述信息會顯示在按鈕下方，下載完畢后，點擊“現(xiàn)在應用”。

如果你看到一個“這不是一個授權的更新”的錯誤消息，你的硬件時鐘可能出了問題，多年未使用的電腦，或BIOS被重置后就經常出現(xiàn)這種情況。點擊“服務”*“時間服務器”，手動校準時間，然后勾選“使用網絡時間服務器”，點擊“保存”，第一次你可能還是必須要手動設置時間，因為如果時間跳躍太大，NTP是不會自動修改系統(tǒng)時間的。

至此，你可以放心地將這臺DIY的路由器放在某個角落，只要保證它的散熱效果，其它一切你都可以遠程通過Web界面實施控制，現(xiàn)在這臺路由器提供了DHCP和DNS服務，并提供了互聯(lián)網訪問共享服務，下面我們開始研究它的選項。#p#

第一站我們選擇“系統(tǒng)”*“備份”，在這里你可以創(chuàng)建一個包含所有設置的DAT文件，以便需要時可以進行回滾，在開始嘗試一些操作前就應該執(zhí)行一次備份，如果你愿意，還可以點擊“導出”按鈕將文件備份到移動硬盤或U盤中。

功能探索

IPCop提供許多默認沒有啟用的服務，其中有些服務是值得研究和開啟的，如位于“服務”菜單中的Web代理，時間服務器，動態(tài)DNS服務，集成Snort的入侵檢測和流量整形，最有用的還是對帶寬的限制，你不用再擔心有人下載最新的Ubuntu ISO鏡像，影響到你訪問Fedora論壇的速度?？梢詫⒍丝?5、110、143優(yōu)先級設置為“高”，80和443端口優(yōu)先級設置為“中”，F(xiàn)TP端口（21）和BitTorrent端口（6881-6999）優(yōu)先級設為“低”，這樣可以確保電子郵件無論在何時都能順利收發(fā)，而下載則被限制甚至被阻止。

圖 5 限制上傳/下載速度，配置流量整形

你可以在安裝后再添加一個網絡，但在Web界面中你會發(fā)現(xiàn)沒有與之相關的選項，只能在命令行下解決，如果直接在IPCop服務器上添加，你還得接上鍵盤和顯示器，如果通過遠程，可以選擇SSH，但需要先在“系統(tǒng)”菜單下啟用SSH，使用ssh -p 222 root@ipcop命令進行連接，然后運行setup，獲得一個類似于安裝程序的GUI，你可以通過它修改安裝時做的一些配置，進入“網絡”*“修改網絡類型”，選擇“綠色+橙色+紅色”添加一個DMZ，或為無線選擇“藍色”，不管哪種方式，電腦上必須安裝了合適了網卡。

進入“驅動和網卡分配”，為新網絡選擇一個網卡，然后使用“地址設置”為新網絡接口分配一個IP地址，但必須是不同的子網，如果你為綠色網絡使用192.168.1.1，那最好為橙色網絡使用192.168.2.1。設置完畢后，為安全起見，關閉SSH連接。 #p#

設置DMZ

現(xiàn)在你已經創(chuàng)建了DMZ，下面開始設置它，在橙色網絡上沒有DHCP服務器，任何新增計算機都必須指定靜態(tài)地址，如果你要提供外部訪問，這是一件好事，因為你需要將通信轉發(fā)到一個特定的地址。

為了訪問IP為192.168.2.2的Web服務器，第一步是設置端口轉發(fā)，其做法和標準Modem/路由器上的方法一樣，只是這里我們要轉發(fā)的目標是位于DMZ區(qū)里的服務器。

圖 6 IPCop網絡架構，橙色（Orange）是DMZ

轉到“防火墻”*“端口轉發(fā)”頁面，“源IP”通常留空，即所有外部地址均可訪問，如果你想限制訪問來源，你可以設置一個特定的IP地址，也可以設定一個地址范圍。

設置源和目標端口為80（HTTP），目標IP為192.168.2.2，點擊“增加”可在下方的列表中看到顯示的規(guī)則，接著點擊“重置”，重復為443端口做同樣的設置。

至此，你的Web服務器就能從互聯(lián)網訪問了，當然也可以直接從你的LAN（綠色為了）訪問，但它不能反向訪問你的綠色網絡，因此，即使服務器或它上面運行的PHP代碼存在漏洞，受影響的也只有它本身，不會影響到綠色網絡的計算機。

針孔通道

有時，你的Web服務器需要和位于綠色網絡的機器通信，如發(fā)送MySQL表的一個備份。IPCop有一個功能叫做DMZ Pinhole（針孔），它為橙色網絡中的某臺計算機提供了對綠色網絡中某計算機端口有限制的訪問，轉到“防火墻”*“DMZ Pinhole”進行設置，但最好在需要時才設置這個“針孔通道”，因為它對DMZ提供的安全性產生了一定的破壞。

IPCop的功能還有很多，遠不止我談到的這些，正所謂師父領進門修行在個人，建議你把IPCop Web管理界面的每個頁面都研究透，不懂的地方多去IPCop網站或查閱相關文檔。

怎么樣？看完本文后，你是否有種沖動，想把淘汰下來的舊電腦裝扮成一臺靈活，功能豐富，性能強勁的防火墻/路由器呢？不要猶豫，動手吧！

原文出處：http://www.techradar.com/news/networking/how-to-build-your-own-router-915419

原文名：Turn an old computer into a powerful firewall and router

作者：Neil Bothwick

【51CTO.com獨家譯稿，非經授權謝絕轉載！合作媒體轉載請注明原文出處及出處！】

【編輯推薦】

1. Web應用層防火墻真的像宣傳的那般好用嗎？
2. 園區(qū)網發(fā)展帶給高端防火墻三大挑戰(zhàn)
3. 下一代防火墻已經到來 你做好準備了嗎？
4. 從路由器入手改善網絡的安全性