虽然云服务越来越流行,但是最近还是想学习一下如何从零开始架设一个网站。为了防止以后遗忘一些细节,决定把自己实验的东西记录下来作为以后的参考,顺便也为其他有需要的同学们作个参考。
个人觉得,自己架设网站的最总要的东西就是安全防护。网站程序能不能正常运行先放一边,服务器被人黑、数据库被人搞,用户信息泄露弄不好要惹上官司的。所以第一步先把防火墙弄好,安全第一。墙里面随便怎么搞都是自己的事。
开源防火墙最火的莫过于 pfsense,网络上大多数教程和讨论也都是围绕 pfsense 的。但是在考虑了诸多因素(穷)之后,我还是毅(Wan)然(Ban)决(Wu)然(Nai)的选择的 pfsense 的分支,OPNSense。这其中,最重要的原因就是 pfsense 需要支持 AES-NI 的 CPU,然而我只有一块上古时期的 Core E6300(泪目)。其他有条件的同学可以使用 Intel i3/5/7系列的 CPU,或者 AMD 的 CPU,基本都支持 AES-NI。
OPNSense 是开源防火墙,可以在官方下载页面(https://opnsense.org/download/)免费下载最新版的安装包。安装包有不同版本,我因为日常用水果电脑,所以下载的 VGA 版本,文件后缀名为.img。官网页面中也有详细的、针对不同平台的启动 U 盘制作方法。对 OSX 来说:1. 用 diskutil list 命令找出 U 盘的盘号;2. 用 sudo dd if=OPNsense-XXXX-OpenSSL-vga-amd64.img of=/dev/rdiskXXXX bs=64k 命令制作启动 U 盘。
开机设置 u 盘启动,等它加载系统文件。如果电脑配置像我这样比较老的话,用时可能会比较长,但是千万别走开,因为一会儿它会要求“5秒之内按任意键跳过自动设置”。OPNSense 的自动设置比较迷,在我的印象里从来没正确过。所以如果不想一会儿自己再重新弄一次的话,就老老实实等在屏幕前面。
OPNSense 安装初始页
进入手动配置之后,首先屏幕上会列出本机安装的所有网卡的编号、MAC 地址和芯片名。如果是单插口网卡或者各个网卡芯片不一样的话,还好分辨编号所对应的插口。如果像我这样插了一个多口网卡,又完全不知道每个插口的 MAC 地址,就会比较2。对此我的解决方案是,挨个试。网线插入不同插口的时候,屏幕上会显示出来 “XX 插口上线”。试的过程中建议把编号和 MAC 地址都记下来,以后可能会用到。
网卡设置页
第一项设置是“是否要设置虚拟局域网”,输入 n,先跳过去;第二项是输入互联网网线插口;第三项是输入局域网网线插口;第四项是输入其他插口,跳过去。系统一通操作之后,如果顺利,屏幕上会显示防火墙的外网地址和内网地址。
登陆 root 用户(默认密码 opnsense),如果有问题或者之前手滑了,现在可以再重新设置。我们选择选项7,输入百度或者谷歌的 IP 地址,如果没有丢包,说明我们的防火墙已经顺利连接到了互联网。
OPNSense 初次设置
注意,到现在安装还没有完成,现在还都是演示模式。要登陆安装器才开始安装到硬盘上,否则下次开机还得从头再来。登陆用户名 installer,密码opnsense,然后一路回车搞定重启。重启后按照 LAN 口的网址访问 OPNSense 的网页。
OPNSense 安装
首先看到的是设置向导,页面默认鸟文,不要怕,先点 NEXT,下一个页面找到 Language 选项换成 Chinese,其他先不管直接点两次 NEXT。世界突然明亮了。
网友评论