【圖解教學】免費路由器 Coyote (北美小銀狼)

[rushoun]

Linux_XP兄已經寫的很清楚了，只要照著步驟一步一步做，您就會做出一張磁片。
您大概以為像一般的LINUX系統，是把image檔做成開機磁片吧?
這套LRP的系統是先做完相關網路的設定後，才由程式做出一張開機磁片，
我不知道他是否能像FREESCO那樣，單獨的作開機片，然後才設定相關網路參數?
這點，與另一套大陸做的BBi.....什麼的(我忘了他的名子)很像，開機
片做完，您就可以拿他去開機完成一部功能不錯的router加防火牆的
server了。
有一點我比較不懂得是，對於一些比較奇怪的網卡，就是最後幾個關於
網卡的步驟，如果不支援的網卡，不知道又要怎麼做?

[rushoun]

對了!忘了說，這裡有一個網頁，說的更清楚，大家可以看一下!
不過因為是奇摩個人網頁，速度上較慢，慢慢看著做吧!
http://home.kimo.com.tw/love091761/index.htm
願自由的力量與各位同在!

[willis]

引用:

作者: rushoun

這部電腦要裝兩片網卡，一片對外接小烏龜或是前一級的設備。
一片對內，也就是您後側內部的區網或是另一個網域，也就是
您的HUB接這裡，瞭解了嗎?
不知道Coyote可不可以用1片網卡綁兩個網域?

嗯 了解囉!!
感謝解惑呀!!

[rushoun]

引用:

作者: willis

嗯 了解囉!!
感謝解惑呀!!

不客氣!
如果真的覺得好用，可以將心得發表，供大家分享，功德無量!
願自由解放眾生。

[Greatalpha]

現在Yahoo賣Cf轉Ide的卡好像降價了,感覺可以再買一張,對了,
有大大知道像磁片,或現有的CDROM上的資料要怎麼把他轉到
硬碟上來開機,找好久都找不到,我想要把Supert xp的安裝光碟轉到
這一種卡上,不知那有資料可以看..先說聲謝謝囉!!

[tester1018]

引用:

作者: saabzic

您好:
我想要請教一下,要如何將軟碟上得iso檔,或是光碟的iso檔,轉換到固態磁碟機上啊 !
這個東西,好像都找不到這方面的資訊?

我也想知道呀,
找不到什麼資料可參考!

另一個問題 intel 82562ET (on-board的),
要用哪個driver呀?

[linux_xp]

將 Coyote Linux 轉到硬碟開機的方法，參考文件：
http://www.routerclub.com/ipb/index....topic=4268&hl=

將 Coyote Linux 轉到 USB 快閃碟開機的方法，參考文件：
(需登入才能看 )
http://www.routerclub.com/ipb/index.php?showtopic=4069

說明：

必要條件：
硬碟或USB碟的磁區，檔案系統格式只能是FAT16
不支援 FAT32 / NTFS / EXT3.....等等

需要兩支程式：

1. syslinux.com：這是將硬碟或usb碟磁區，弄成可以Linux開機的小程式。
2. Linux (Coyote Linux 核心，檔名就叫 Linux，無副檔名)：針對不同的儲存媒介開機方法，需要不同的核心，例如使用硬碟開機，就必須使用支援硬碟開機的核心。

具體方法步驟：

1. 使用 syslinux -s c: 將磁區弄成可Linux開機。
2. 拷貝對應的核心 (檔名 Linux)，到磁區裡頭。
3. 拷貝軟碟中除了「LDLINUX.sys」和「Linux」以外的全部檔案，到磁區裡頭。
4. 修改開機設定 syslinux.cfg，硬碟為 boot=/dev/hda1,msdos，USB碟為 boot=/dev/sda1,vfat
5. 詳細操作指令，和兩支程式的下載處，請參考上面的參考文件

基本上，方法都是大同小異
硬碟和USB碟的差異
只在使用的核心版本，還有最後的設定檔指定由何設備開機


小技巧：
在DOS下要驅動USB是有困難的
而 win2000/xp下，要syslinux.com -s x:會出現錯誤

若有 VMware 這個軟體
在製作USB碟或CF卡電子硬碟開機的時候會很方便

在設定虛擬機器的時候，將硬碟指定為實體磁區
而磁區代號就是快閃碟

例如：插入快閃碟時，windows給的代號是k:，實體磁區則指定為K:
用DOS開機片讓 VMware 虛擬機器開機，接著依照步驟操作即可

[linux_xp]

哈哈，又來到分享研究心得的時間

這次要分享的是：簡易防火牆設定

前言：
Coyote Linux 使用的防火牆是 Linux核心內建的 iptables
iptables 是一種的封包過濾式的防火牆
以使用者訂定的「規則」來過濾封包
其性能不輸給市面上一台幾十萬的硬體防火牆

規則的判斷順序，為「由上而下」，逐列逐條的來判斷

1.前面如果讓某個封包通過了，即使後面才封鎖它
那就來不及了，封包已經通過了，沒得救

2.前面如果封鎖了某個封包，後面卻又讓它通過
那這個封包，還是會通過

這兩點，是設定上需要注意的...


防火牆設定鐵則：允許特定，封鎖全部

意思就是
前面讓一些特定服務需要的封包通過
最後一條，再來個全部封鎖
仍可錯殺一萬，也絕不讓任何一條漏網之魚通過


設定範例如圖所示：




說明：

在這個範例裡，總共讓以下服務通過：
22 (ssh) Linux 遠端控制服務
25 (smtp) 發信 e-mail 服務，有架設e-mail server 需打開
53 (dns) 名稱伺服器服務，dns 需要 tcp / udp 兩個協定
80 (http) 網頁伺服器服務
最後一條，拒絕 (deny) 全部，封鎖全部！

激活 = 啟動 (yes 或 no)，yes 生效，no 無效
源 = 封包來源
目的地 = 封包目的地

permit = 允許通過
deny = 拒絕通過 (路由器會直接丟棄封包)

internet = 表示來源為 internet (網際網路，互聯網，外部網路)
Local Network = 表示目的地為內部區網 (也就是你的伺服器啦)

edit = 編輯規則
delete = 刪除規則


什麼是 ICMP 協定：

ICMP (Internet Control Message Protocol)
網際網路控制管理協定

舉個最簡單的例子：PING ，就是 ICMP協定

ping 這個指令，常用來測試某個網站是否還存活
理論上很好用，為什麼要拒絕它通過呢？

駭客攻擊的手法，有一種叫做「阻斷服務式攻擊」

DoS (阻斷服務式攻擊)：
藉由固定幾台的電腦，對某一站台連續發送ICMP封包
若該站台回應此 ICMP 封包
則有可能因為頻寬用盡，或著CPU疲於處理回應
而導致其它網站服務中斷，例如：web網頁服務中斷
此稱之為「阻斷服務式攻擊」

DDoS (廣域式阻斷服務攻擊)：
散發病毒，使網路上電腦感染
並於一特定時間，或特定方法使其發作
病毒發作後的電腦，也許有幾萬台，同時對某一站台發送ICMP封包
該站台即使處理器再強，頻寬再大
也會因為無法應付，而導致其它服務中斷
此稱之為「DDoS 廣域式阻斷服務攻擊」


範例中的第一條
即防止回應ICMP封包，包括最常見的PING封包
但其實最後一條的封鎖All，亦有同樣功效

若要允許 ICMP 封包，可將規則更改為 permit (允許)
以方便從外部網路，測試內部伺服器是否仍然運作
但亦代表對於DoS攻擊，無招架之力

較高階的設定法，可以偵測流量
一開始允許ICMP
而當某一 來源IP 發送之 ICMP 封包流量異常時
則對其封鎖全部
由於是這是較高階的設定法，須寫script，此篇不做討論

[linux_xp]

Layer7 軟體應用層，關鍵字過濾 防火牆簡介





Layer7 是 OSI網路模型，第七層「軟體應用層」的意思

簡單的說：就是可以針對特定「應用軟體」做封包過濾

舉例：
Q1：請問要怎麼防止MSN，YAHOO即時通？
Q2：請問要怎麼防止員工上班偷懶聊天，偷傳機密檔案出去？
Q3：請問要怎麼防止連上某些網站 (色情網站，網路硬碟)？


The solution or answer is Layer7 Firewall

太好了∼有救了，答案就是支援關鍵字過濾的防火牆

以下範例轉貼自 軟件路由器論壇 (簡體字網站)

引用:

作者: wsgtrsys

例子：
禁止關鍵字「sina",禁止訪問所有包含sina字符的網站。
iptables -I FORWARD -s 192.168.2.0/24 -m string --string "sina" -j DROP

限制某一個IP訪問端口23的並發數在2以內(不過好象不太正常）：
iptables -A FORWARD -p tcp --syn --dport 23 -m connlimit --connlimit-above 2 -j DROP

設置IP 192.168.2.3在周一到周五早上8點到下午6點能訪問互聯網
iptables -I FORWARD -s 192.168.2.3 -m time --timestart 8:00 --timestop 18:00 --days Mon,Tue,Wed,Thu,Fri -j ACCEPT

阻止bittorretn協議：
iptables -t mangle -A POSTROUTING -m layer7 --l7proto bittorrent -j DROP

阻止MSN：
iptables -t mangle -A POSTROUTING -m layer7 --l7proto msnmessenger -j DROP

阻止QQ協議:
iptables -t mangle -A POSTROUTING -m layer7 --l7proto qq -j DROP

阻止CS:
iptables -t mangle -A POSTROUTING -m layer7 --l7proto counterstrike -j DROP

阻止雅虎通:
iptables -t mangle -A POSTROUTING -m layer7 --l7proto yahoo -j DROP

阻止socks代理:
iptables -t mangle -A POSTROUTING -m layer7 --l7proto socks -j DROP

限制BT協議的帶寬：
iptables -t mangle -A POSTROUTING -m layer7 --l7proto imap -j MARK --set-mark 3
tc filter add dev eth0 protocol ip parent 1:0 prio 1 handle 3 fw flowid 1:3

讚讚讚讚讚讚讚讚！

[linux_xp]

接著為各位說明一下
Coyote Linux 設定 QoS (頻寬管制)的大致方法

是這樣子的
web管理介面在設定什麼，根本就看不懂啦

若有大大知道怎麼在 web管理介面設定 QoS
請不吝分享心得，感謝

由於 Coyote Linux，就是 Linux
自然它也支援 TC 語法
(Linux核心直接內建支援，專門用來設定QoS的指令)

參考文件：(簡體中文)
http://bbs.51758.com/viewthread.php?...ight=%2Bfoster

該參考文件裡頭提到
第一步驟，就是把 web管理介面裡的QoS設定，給關了



換成用 TC 指令語法，直接寫 script 命令腳本

轉貼上面那個參考文件：

引用:

作者: foster

1.首先不要用web管理開啟qos，QOS Init Configuration中QOS init type 一定要是QOS Disabled，不使用自帶的qos腳本。

2.如果想限制一個ip的帶寬在/etc/rc.d/rc.local文件中加入以下內容：

tc qdisc add dev eth0 root handle 1: htb r2q 1
tc class add dev eth0 parent 1: classid 1:1 htb rate 50kbit burst 10k
tc filter add dev eth0 parent 1: protocol ip prio 16 u32 match ip dst 192.168.111.168 flowid 1:1

就可以限制192.168.111.168的帶寬為50k了，實際下載速度為8k左右。

3.如果想限制一段ip的帶寬在/etc/rc.d/rc.local文件中加入以下內容：

.................. (尚有文章)

那個參考文件的網站，不知道用了什麼特殊的網頁技術
文章無法全部複製，一次只能複製一段
若有興趣，請自行前往觀看囉....


讚讚讚讚讚讚讚讚！