一、为什么用linux做网吧的网关服务器？

　　如何使网吧的局域网共享外部网络资源，并保证网吧局域网内部资料信息的安全呢？解决的方案主要有：利用路由器并结合硬件防火墙或软件防火墙作为内外资源转换的途径；或采用代理服务器在内部网络和外部网络间搭起信息传输的桥梁。但它们各自的局限性使人们往往难以取舍，昂贵的路由器硬件对于中小型网吧来说无疑是一笔巨大的开支，而采用代理服务器需要对网内计算机逐一配置和调试，这也是网管的一项艰难的工作。
　　有没有一种既经济又方便维护的方案呢？利用linux系统下所提供的防火墙软件，仅需要使用一台配置较低的电脑就可以实现路由器的功能，使局域网的计算机可以共享一条宽带线路访问互联网，并同时在互联网和局域网间建立起一道安全的防火墙。
　　举例说明吧，smoothwall使用奔腾级别处理器，64m内存，可以承受60～80台电脑的网关服务。如果使用128m内存，对于普通的100～150台电脑的网吧，完全可以稳定运行个把月不用重启。同样的配置如果运行windows系统，只能达到win98的最低配置，更不用说可以稳定运行网关服务并长时间使用啦。
　　而且，由于linux的系统特殊性，很少会受到病毒的侵扰，也不会因为长期运行而导致系统不稳定甚至崩溃。这也是windows系统所不能及的。

 

二、网关服务器有多少种软件？

个人首推smoothwall 2.0 。
如果是网吧做私服，推荐使用clarkconnect 2.1 home版本（想要简单就用ipcop），
想做多线的就用routeros
软盘版本的有bbiagent，Freesco，Coyote，Gnat Box Pro版本
想做防火墙的就用Gnat Box Flash版本（Gnat Box是freebsd的，上面的都是linux的）
硬路由没有用过，只用过带路由的猫，个人认为30台机以下可以使用硬路由。
最后推荐使用windows下的各种共享（Ics，Nat，Isa，sygate，winroute。。。）
不是因为这些不好，是因为windows系统本身的不稳定。
例如：Isa是个好东西，但是你让它用一个月，一定会慢于一个月前的速度。
而linux和硬件路由器就基本不会出现这样的情况。

我在这里只重点介绍smoothwall和Clarkconnect这两种基于linux系统的商业防火墙软件。

 

三、SmoothWall安装全攻略

SmoothWall Express是一个开放源码、并基于GNU/Linux操作系统的防火墙软件。SmoothWall内置了Linux系统的内核，所以它不需要安装在一个操作系统上。出于易于操作的原因，SmoothWall使用web界面来配置，并且安装与使用都不需要具有linux方面的知识。

官方网站:http://www.smoothwall.org

下载地址:http://www.smoothwall.org/get/

将下载的iso文件刻录到光盘上进行安装.也可以使用网络安装,本教程不涉及此类安装模式.

想要成功安装SW，需要你的计算机硬件达到下面的要求：

处理器：所有兼容奔腾以上级别，包括奔腾II，III，IV，AMD 586以上，Cyrix和IBM.A 150MHz或更快的处理器。

内存：最小32M，推荐64M或更多。如果要运行所有服务特别是网站代理服务和入侵监测服务，则不能少于64M内存，添加更多的内存将会提高你的服务器效率。

硬盘：推荐使用2G以上的IDE硬盘。如果进行特别设置，可以安装在小于540M的硬盘上。大容量的硬盘空间可以容纳更多的日志文件。2G或更大的空间可以对大量用户访问互联网的速度有显著提高。

光驱：IDE光驱。

显卡：任何可用显卡均可，只要安装过程中使用。安装完成后可以使用网络远程管理服务器。

显示器：任何可用显示器均可，只要安装过程中使用。安装完成后可以使用网络远程管理服务器。

键盘：任何可用键盘均可，只要安装过程中使用。安装完成后可以使用网络远程管理服务器。

鼠标：不需要。
 

1、 基本安装

使用刻好的smoothwall光盘启动电脑,并且确定安装smoothwall的硬盘为ide硬盘,并设置为主盘模式.如硬盘为从盘模式,则启动后会出现0100101类型的数字出错信息.

版权声明和警告，因为安装时会删除硬盘内所有数据。
输入回车后继续。

欢迎窗口，并提示在安装过程中选择任何cancel（取消）按钮都将重启你的计算机。

--------------------------------------------------------------------------------

选择安装模式，从光盘安装还是用http网络安装。我这里选择用光盘安装。

--------------------------------------------------------------------------------

要求将sw的安装光盘放入光驱内。并选择ok。

--------------------------------------------------------------------------------

提示窗口，说安装程序将安装在你位于第一个ide的主盘上，并且硬盘会被分区并分配一个文件系统。

（此处注意：安装sw的硬盘必须被设为主盘，否则开机时候会出现很多0101001的字符，还有，不支持scsi硬盘。切记切记。）

--------------------------------------------------------------------------------

再次警告，安装程序会覆盖掉你第一块硬盘上所有的分区和数据，如果要继续请选择ok，否则请选择cancel。以后的操作过程是没有可以恢复数据的选择的。

--------------------------------------------------------------------------------

系统安装中。。。

--------------------------------------------------------------------------------

安装好系统后，开始配置sw，首先是内网网卡，sw用green来称呼内网网卡。这里的三个按钮分别是自动选择、手动选择、取消。
我们当然选择自动啦，嘿嘿。。。因为sw已经很聪明啦。它能够识别大部分市面上的网卡。

--------------------------------------------------------------------------------

您看看，检测到我的网卡是amd的网卡了，您用过吗？sw问我是否使用这块网卡，否则要我手动选择，既然已经找出来啦，干吗我还要手动选择？多麻烦。。。嘿嘿。。

--------------------------------------------------------------------------------

嗯嗯，内网网卡确定窗口。继续进行我们的sw之旅。

--------------------------------------------------------------------------------

既然找到了内网网卡就要随手把它的ip设置上，以便我们使用web界面进行管理。这个地址就要根据你的实际情况来填写啦。大家都能看懂，是吧？如果看不懂，请到天下网吧www.txwb.com或是珠海心情www.zhuhai.cc找我为您进行小灶解答。

--------------------------------------------------------------------------------

设置好内网ip后，sw的安装就完成了，这是个成功窗口，里面告诉您可以使用http://smoothwall的ip:81或是https://smoothwall的ip:441的地址在局域网内使用web来访问你的sw来进行其他设置，当然在setup这里继续设置是最方便的啦。

如果看不懂，请到天下网吧www.txwb.com或是珠海心情www.zhuhai.cc找我为您进行小灶解答。

好的，让我们继续进行smoothwall的高级配置，也就是外部网络和共享上网方式配置。

--------------------------------------------------------------------------------

现在sw在问您是否有曾经安装sw时留下的配置文件，如果有，就不用进行后面的麻烦设置了，直接导入恢复配置文件，就一切搞定了啊。

--------------------------------------------------------------------------------

ok，继续安装，选择您的键盘国别，我们的键盘都是us的，谁叫intel统治pc呢？呵呵。。。我记得我曾经在2.0beta版本的时候写过一个教程，那时我也是初涉sw，所以键盘设置成了uk，也就是英国键盘，结果，发现在控制台编辑配置文件的时候，好多字符都打不出来，哈哈。。。更好笑的时候，好多朋友被我的教程所害，都出现了不能正常打字的情况，着实郁闷了一代人哟。。。还包括一些在我的教程上写了新版本教程的朋友，没有实验过就把我的错误安装方法教给了更多的人，在这里，我要对广大网管朋友说声抱歉。偶不是故意的。偶也是千百个不愿意哟。。。

--------------------------------------------------------------------------------

输入你给sw在网络上取的名字，不要学我起这么长的名字，我是为了做宣传。其实，我平时都是用ip来访问sw。

--------------------------------------------------------------------------------

这里要特别注意。好多朋友和我说，安装好sw后，不能在网上进行升级。这个问题，在sw的安装界面已经说明了，有些地方的isp会屏蔽掉sw的升级网址，所以sw不能够取得升级程序列表，这样，即使你拿到了升级文件，也不能通过sw的安全验证，也就不能正常安装。这里sw让您填写一个可以进入sw的升级网站的代理地址及端口。至于这个端口是什么？esports也不知道，因为偶很少玩代理，而且偶这里的isp能够让偶的sw正常升级。大家心里有个数就好了，在后面的web设置里面我会给大家演示不能升级的sw是什么样的。那时，如果您需要设置代理地址和端口，就要进入setup模式啦，不难不难，难的是如何找到一个好用的代理服务器，这个esprots就不能帮您了，大家不要要求我给你开代理服务器，偶没有那个条件，声明在先。

--------------------------------------------------------------------------------

sw连isdn都支持，还算是不错的啦。嘿嘿。。。不过，网吧现在如果还用isdn上网，那么就太out啦，所以，不用isdn的网管朋友，请选择反白的按钮，就是我选择的那个“屏蔽isdn”。

--------------------------------------------------------------------------------

usb的adsl modem设置。我们基本都很少用usb的modem，如果您用的是usb的modem请进入选择您的型号

--------------------------------------------------------------------------------

如果不是usb的modem，选择屏蔽就好，

--------------------------------------------------------------------------------

终于到了重要的时候啦，配置网络参数。这里有四个选择，每个都要进入选择的

第一个就是网络连接方式。进去看看先。

--------------------------------------------------------------------------------

我们网吧的模式都是green+red，外网+内网。外网这里被成为red，其他的都是在有modem或是isdn设备下的情况配置。我们不理会这些配置。选择green+red后，ok，回到选择界面。

--------------------------------------------------------------------------------

选择第二个设备和网卡配置。就是指定内外网的网卡啦。

--------------------------------------------------------------------------------

进入后，sw告诉说，我们已经指定了内网green网卡啦。外网red网卡是未知（未配置）的。问是否要改变这样的配置？当然要ok啦，没有外网red网卡，我们怎么上网？您说是不是？

--------------------------------------------------------------------------------

进入后，再选择自动查找，又找到一块amd的网卡，嘿嘿。。。果然sw够聪明。确认就好。

--------------------------------------------------------------------------------

这里告诉我们所有网卡都已经指定好了。

--------------------------------------------------------------------------------

第三步，地址设定。进入看看。

--------------------------------------------------------------------------------

问我要配置哪块网卡？green我们前面已经配置过来，那么就把red外网网卡也搞定吧。

--------------------------------------------------------------------------------

这里就好玩，有三种模式：

第一个，固定ip模式，基本用光纤上网的朋友都是这个模式，那就把固定的ip和子网掩码都乖乖添上吧，照着isp给你的地址填写，错一个数字都不成。如果这都写错，就太笨啦。

--------------------------------------------------------------------------------

第二种，dhcp，动态ip模式
这种情况下，什么都不用动，因为填写处都是灰色不可写的。既然自动分配了ip，那就等着拿分到的ip上网好了，不用麻烦了啊。

--------------------------------------------------------------------------------

第三种，就是adsl用户的pppoe模式啦。同样的是，adsl或是其他pppoe用户，ip也是在拨号成功后自动分配的，这里所以也是灰色不可写的状态。

好了，上网模式设定好后，就继续啦。

--------------------------------------------------------------------------------

这里，由于我们已经配置完地址了，就选择done（完成），记住哟。。。

--------------------------------------------------------------------------------

dns和网关设置。

--------------------------------------------------------------------------------

如果您选择了固定ip模式，这里要写好您isp给您的dns和网关地址。

--------------------------------------------------------------------------------

如果您选择的是dhcp或是pppoe模式，这里都不用写的，呵呵。。。至于图片里面，我为什么写入了dns？纯属我多余，因为写了也没用。

--------------------------------------------------------------------------------

四项都设置好了，选择done完成网络设置吧。

--------------------------------------------------------------------------------

这里是是否将您的sw启用dhcp动态分配ip服务？如果您想局域网内的电脑不用设置ip和网关也能上网，那么就启用它吧，配置好动态分配的ip端和dns地址，可以使用sw本机作为dns，也可使用isp的dns。其余设置使用默认值就好了。

如果您用的是pubwin网吧管理软件，那么就必须要给局域网的客户机指定ip地址，不然pubwin不能正常管理客户机。这种情况下，您的dhcp服务就没有必要启用啦。

对了，告诉你一个秘密，客户机使用固定ip开机速度要快于使用动态ip分配的机器。千万不要告诉别人哟。

--------------------------------------------------------------------------------

请设置您的admin用户密码，admin用户是登陆web管理所使用的用户。

--------------------------------------------------------------------------------

请设置您的root用户密码，root用户是登陆控制台或是使用ssh进行系统管理所使用的用户。这个用户具有最高等级权限，千万不要忘记密码或是被别人拿到哦。。。

--------------------------------------------------------------------------------

请设置您的setup用户密码，setup用户是登陆控制台setup模式管理所使用的用户。

--------------------------------------------------------------------------------

终于都搞定啦，选择ok重启您的sw，重启后，就可以进行使用啦。

 

 

sw启动画面，按下回车会进行继续启动，否则10秒钟后自动继续启动。

--------------------------------------------------------------------------------

启动成功后，会出现登陆画面，并有鸣声提示。

 

 

2、setup模式进行更改配置

我们输入setup用户名后回车，输入密码（密码输入的时候，屏幕是没有显示的。）

进入setup模式。可以更改你先前的所有网络配置。

我们先看看如何还原配置文件。

让你插入你的备份软盘，选择ok后，就会还原你备份在软盘上的配置文件。

其他的地方和我们开始设置的都没有什么分别，只是在安装完成sw后，如果想更改一些设置，那么使用setup模式可以更改你最初的设置。

 
3、web设置及优化

进入web管理

在浏览器的地址栏中输入 http://smoothwall-ip:81 或是https://smoothwall-ip:441进入web管理界面。在首页你能看到smoothwall的启用时间，如果你是adsl用户的话，第一次进入web界面后还需要去networking里面的ppp settings去设定你的adsl用户信息和拨号选项。这个我们在后面会讲到。

现在我们进入到sw管理中的其他页面，这时就需要使用admin用户权限才可以，你在用户名那里输入admin，密码那里输入你安装sw时候设定的admin和密码来登陆即可。

下面让我对sw的web管理界面做一个详细的说明。

每个选项页面的右上角都有在线帮助。很好用的。

使用web管理界面重启sw的画面。

 

3-1、服务状态

基本状态：sw的内置服务运行情况。

Logging server

（日志服务，这里应该是系统日志，和让我们头疼的防火墙日志没有什么关系的，我查过的资料都没有说要关掉这个日志服务，而且它不会占据硬盘大量空间而导致硬盘空间不足，所以，我没有关闭它。）

DHCP server

（动态ip分配服务，自动分配给局域网内的客户机ip地址和网关地址，视你的实际情况而定，一般是不用启用它的。）

DNS proxy server

（Dns代理服务，就是sw的dns服务啦。推荐内网客户机使用sw的内网ip作为dns地址，这样如果外网dns有所改变的时候，我们只要更改一下sw中的dns地址就可以让客户机都使用新的dns地址，否则，你的客户机如果直接用isp指定的dns地址，有变故的时候，就会很麻烦。）

Kernel logging server

（核心日志服务，这个服务我们在后面会讲解如何关闭它，尤其是对于小硬盘的sw用户来说，sw的日志会大量占据硬盘空间，并且拖慢sw的速度。如果你是大硬盘用户，或是受到网络攻击的时候，那你就可以保留核心日志服务，以备查询记录。）

Web proxy

（网页代理服务，如果你的带宽不是很大，并且大多是网页浏览用户，启用代理服务器，会增快重复网页的浏览速度。sw的代理不需要在客户机的浏览器进行设置。）

Web server

（网页服务，就是支持这个web管理的服务）

Secure shell server

（安全外壳服务，没有用过）

Intrusion Detection System

（入侵保护系统，这个是2.0增加的新功能，对于小型的攻击能起到一些防范作用。）

CRON server

（时间服务，2.0正式版不需要在安装sw的时候设置你的时区啦，因为你可以在web管理中指定你的时区，并且自动在互联网上对时。）

VPN

（虚拟专网服务，对于企业用户有用，网吧用户很少用到吧？）

 

3-2、系统状态

继续进入高级状态

这里显示你的sw的内存和交换区的大小及使用情况。硬盘分区及使用情况，还有网络路由表等信息。

--------------------------------------------------------------------------------

再进入网络流量图表

分别是内外网卡24小时内的上下行流量表。

点击图表可以进入流量详细记录页面。

4-1、系统服务

 
首先是网页代理服务，你要启动代理服务，必须设置你的代理缓存大小，代理项目文件最大最小值，进出数据包最大最小值，是否启动透明代理和启动状态设置。

也可以使用远程代理服务器中转，只要设置远程代理服务器的地址和用户名密码就好。没有就是空。

--------------------------------------------------------------------------------

dhcp动态ip分配服务,这里可以设置的就是动态ip的范围,dns,存活时间等...

--------------------------------------------------------------------------------

动态dns服务,sw本身支持国外的几个大型动态ip域名,是件好事,这样可以做到你的ip改变时,你对外的服务也不会中断,浏览者只要通过你的动态域名就可以找到你提供的服务.但是,唯一遗憾的就是,这些动态域名都是收费的.唉...所以我也没有研究下去.如果你想使用这些动态域名,自己去它们的网站注册申请吧.

--------------------------------------------------------------------------------

入侵监测服务。

启用后，可以防止外部的攻击。但是这里并不能防护你打开的端口映射或是设置的ip规则

远程管理.这里可以打开sw的ssh服务,记住,sw的ssh端口是222,不是默认的22,还有一个选项是:是否允许外部地址管理sw?不推荐启用这个东东.

时间设定

选择你的时区,设定你的时间,可以选择是否启用互联网对时,如果使用互联网对时,可以选择时间服务器,或是随机或指定时间服务器.
 

5-1、网络设置

现在开始设置网络 
 

首先,就是大家用的最多的端口映射啦.

图中的例子就是将局域网192.168.0.100的网站(80端口,tcp协议)和ftp(21端口,tcp协议)映射到外网的80和21端口上.

还有将局网内的192.138.0.100和192.168.0.101的cs服务器(27015端口,udp协议)映射到外网的27015和27016端口上.

设置允许外部的主机管理这台smoothwall。

透明代理,让你使用sw好像使用本机上网一样,把所有的端口都映射出去.

这里也是一个重头戏,设置pppoe拨号协议,就是我们使用adsl的用户需要设置的地方.

先给你的拨号建立1条规则,记得取个名字.

(sw允许建立5条规则.就是说,可以保留5个adsl用户的信息,可以随时切换.)

然后在interface里面选择pppoe协议,adsl用户必须要选择这个协议,切记.

我还启用了:

Persistent connection(断线重拨)

Connect on SmoothWall restart(sw启动后自动拨号)

Automatic reboot if connection down for 5 minutes(断线超过5分钟后自动重启路由器)

然后就是输入isp给你的用户名和密码,记得存盘哟...

当你存盘后,再回到sw的首页,你就会看到下面的图像

你可以选择对你的adsl进行拨号,断线,刷新当前状态的操作.

 

嘿嘿...这个功能就是ip规则设定啦。也就是黑名单/白名单。

建立你自己网络的ip规则。

高级网络配置。

Block ICMP ping:屏蔽掉ping的功能
Enable SYN cookies: 允许syn缓存，应该可以防止一些syn（洪水攻击）
Block and ignore IGMP packets:屏蔽并且忽略igmp的数据包
Block and ignore multicast traffic:屏蔽并且忽略多点传输。应该是防止局域网内使用多线下载的功能。
Enable UPnP (Universal Plug and Play) support: 允许upnp（通用即插即用），应该是自动映射端口的功能。有些软件有这些功能的，例如bt精灵。sw就支持这样的软件。

6-1、虚拟专网

本地vpn控制台。

本地vpn的ip输入后，选择允许，就启用啦。

vpn连接控制。可以建立到其他的vpn服务器的连接。

7-1、系统日志

日志查看功能，这里可以看到你的sw的各种系统日志和网络日志。并且可以输出到屏幕或是导出下载

系统日志，各种系统设置的启用与更改，在这里都能查到。

网页代理服务器日志查看。可以指定查看规则过滤，

防火墙日志查看。并且在这里把打扰你的ip给丢到ip规则中屏蔽掉。

入侵保护服务日志查看。

8-1、系统工具

 

ip信息，可以查看某个ip或是域名的网络信息。

ip攻击，可以对你指定的ip做出一些探测。有ping和路由表的功能。

ssh外壳服务。就是要利用ssh的安全认证来远程进入sw的控制台，使用root权限来调整系统的底层设置。使用sw的web管理中的ssh工具，前提是要启用sw的shsh服务，而且客户机的电脑中要装有java虚拟机才能使用。如果没有启用ssh，就会像上图一样出错。

启用ssh服务后，就可以使用你的root用户登陆到你的sw控制台。

登陆成功。

现在让我们关掉系统的log日志服务。

进入etc/rc.d目录，然后joe rc.sysint。或是直接在登陆的root目录下joe etc/rc.d/sysinit

（joe是linux下的一种文本编辑软件，sw内置了这个软件。）

按pagedown键或是向下键，找寻

echo "Starting klogd"
/sbin/klogd

在第23行。

在这两行代码前面加上#号，屏蔽掉这两行命令。

按ctrl+k，启用功能键后，按s键后，出现是否存盘的提示，如果取消，就按ctrl+c

回车确认存盘。

按ctrl+c退出joe编辑状态。

重启sw后，核心log服务被关闭啦。

9-1、系统维护

 
sw的升级页面，如果你的sw没有连通互联网，或是所在地区的isp屏蔽掉了sw的升级网站，就会出现上面的画面。

这样我们就需要去setup中指定sw使用的代理服务器和端口，方可成功升级你的sw。（你使用的代理服务器如果不好用，sw的升级功能还是不能用的。）

这个图片就是我安装成功sw后的样子。呵呵。。。

可以在sw中设置你的pstn modem和isdn的ta。很少用这些东西。嘿嘿。。。

升级的你的usb adsl modem的firmware。我也不用这个东东。

更改你的admin用户密码和设置拨号管理员密码。

创建配置文件备份。可以备份到软盘中，或是生成一个软盘镜像文件。

重启或关机功能页面。
 

SW结束语

smoothwall的安装和设置，到这里就基本完成了。对于这样一个系统功能专一，对硬件要求极低的防火墙软件来说，我真的没有太多挑剔啦。我认为是网吧用户的最好选择。
但是如果你需要对外对内都开放web、ftp或是私人服务器功能，那么sw不支持虚拟服务，也就是我们俗称的回流。不能在内网访问我们的外网地址。就有点麻烦啦。这个时候，如果使用CC，或许对于要求比较多的用户，更合适一点。

 

 

不经珠海心情和天下网吧同意,不得擅自转载.

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com

关注天下网吧微信,了解网吧网咖经营管理，安装维护: