变废为宝：将旧电脑改成防火墙和路由器 (1)

　　Linux是为网络而生的，如果你想自己DIY一个互联网设备，Linux将是不二之选，最流行的互联网设备是路由器，现在很多家庭也拥有一台路由器，它们将DSL或有线互联网连接转换成以太网或无线网络，供家庭电脑使用，如果你不止一台电脑，通过路由器共享上网几乎成了不争的事实标准。

　　如果你有一台很老很老的旧电脑，也许你将其丢弃在储物间的某个角落，现在早已覆上了厚厚一层灰尘，也许你曾经将其放在二手物品交易网站上，但无人问津，也许你觉得这样的电脑应该当废品卖几个酒钱，但今天我要告诉你的是，废物也能重新焕发生机，不信请继续往下看。

　　你可以将它配置成一个互联网网关/路由器，但你也许马上就会反问：“为什么不用现成的Modem/路由器，何苦要这么折腾呢？”，没错，现在的家用路由器已经很便宜，任何人都能负担得起，但我想说的是，自己DIY一台路由器，可以获得更多的控制权，并且可以藉此学到更多知识，这就好像一个是白盒，一个黑盒。

　　要实现这个目标，我们有两种选择，一种是用专用的Linux发行版，它内置了所有需要的软件包，直接安装变成，另一种是完全从零开始构建整个路由器的操作系统，一般是使用最小化Linux安装，再加上一些需要的软件包。

　　选择发行版

　　有许多发行版可用于构建自己的路由器和防火墙，除了Linux外，还有FreeBSD可供选择，它们又可分为两种类型，一种专门提供了防火墙/路由器功能，另一种提供了更复杂的互联网网关功能，包括打印、邮件、文件和Web服务器。我们这次选择的是IPCop 1.4.21稳定版，如果你喜欢冒险和尝鲜，可以试试最新的1.9版本。

　　至于旧电脑，达到i586的配置就可以了，也许你会感到很惊讶，586时代的电脑还有用处？其实这种配置的旧电脑可以充当一个中型网络的互联网网关。

　　IPCop是没有桌面的，安装完成后，所有操作都是通过Web管理界面完成的，因此它对电脑内存的要求是很低的，键盘和显示器也只是在安装期间才需要，安装完毕后就可以搬走。

　　对电脑唯一的要求是至少需要配备两块网卡：一块用于本地网络连接（绿色网络），另一块用于连接互联网（红色网络），当然也可以是PCI DSL Modem卡，如果你使用3G网络，只需要有USB端口就行了。

　　如果你想设立一个非军事区（DMZ），则需要另一块以太网卡，如果你想将它作为一个Wi-Fi访问点，那么一块无线网卡也是必需的，将交换机接入本地网络以太网卡后，网络中的其它电脑就可以通过该交换机访问互联网了。

　　注意，从IPCop光盘安装时是没有图形界面的，全部是基于文本的界面，对于习惯了OpenSUSE，Ubuntu和Mandriva图形安装程序的人来说，也许会有点困难，其实整个安装过程只会使用几个键：使用光标键移动焦点，使用空格键选择，使用回车键确认。另外，IPCop安装程序会提醒你它要擦除整块硬盘上的数据，它是不支持和Windows实现双重启动的，安装过程是没有分区那一步的，因此不必事先做好分区准备。在还原屏幕选择“跳过”，接下来选择用于本地网络连接的以太网卡，虽然你可以手动选择，但我一般还是接受安装程序自动做出的选择。因为路由器一般还会充当网络中的DHCP服务器，因此还需要指定DHCP客户端的IP地址范围，如果你不知道填什么，那就看看下图中的内容吧。

 　　安装期间最重要的选择是网络配置类型，绿色（GREEN）代表以太网，红色（RED）代表Modem，如果你想创建DMZ或无线网络，则要选择橙色（ORANGE）或蓝色（BLUE），当然这些都可以在以后再修改。

　　地址配置

　　如果你的Modem能从你ISP的DHCP服务器自动获得DNS和网关服务器地址，那么在设置时就可以留空，但一般情况下，你应该为绿色和蓝色网络指定DHCP自动分配IP地址的范围，我们一般喜欢从192.168.1.100开始分配，低于100的则用于静态分配，不管如何，这里都需要启用DHCP服务器。DNS服务器地址可以使用IPCop本机的地址，这样IPCop就充当了DNS缓存的角色。

　　最后，你需要为三个用户设置密码，root用户一般是不会使用的，除非你想直接登录到路由器上，admin用户是Web界面的操作用户，我们一般就使用它管理和配置IPCop，backup用户则用于备份。设置好密码后就可以取出IPCop安装盘，重启电脑了。

 　　启动

　　等电脑重启好后，在绿色网络中任一电脑上打开浏览器，输入https://192.168.1.1:445，用你安装时设置的IP地址代替这里的192.168.1.1，此外还可以使用IPCop电脑的主机名访问，默认是ipcop（https://ipcop:445），浏览器可能会报告这是一个非受信任的网站，因为IPCop使用的是自己产生的证书，你只管点接受便可以了。

　　还记得安装时为admin用户设置的密码吗？如果没有输入密码，你只能查看IPCop的主页，点击任何按钮和链接都会蹦一个登录对话框出来。

　　首先你应该选择的第一个链接是“系统”*“更新”，因为主页上会显示有更新可用，点击“下载”按钮，关于更新的描述信息会显示在按钮下方，下载完毕后，点击“现在应用”。

　　如果你看到一个“这不是一个授权的更新”的错误消息，你的硬件时钟可能出了问题，多年未使用的电脑，或BIOS被重置后就经常出现这种情况。点击“服务”*“时间服务器”，手动校准时间，然后勾选“使用网络时间服务器”，点击“保存”，第一次你可能还是必须要手动设置时间，因为如果时间跳跃太大，NTP是不会自动修改系统时间的。

　　至此，你可以放心地将这台DIY的路由器放在某个角落，只要保证它的散热效果，其它一切你都可以远程通过Web界面实施控制，现在这台路由器提供了DHCP和DNS服务，并提供了互联网访问共享服务，下面我们开始研究它的选项。

　　第一站我们选择“系统”*“备份”，在这里你可以创建一个包含所有设置的DAT文件，以便需要时可以进行回滚，在开始尝试一些操作前就应该执行一次备份，如果你愿意，还可以点击“导出”按钮将文件备份到移动硬盘或U盘中。

　　功能探索

　　IPCop提供许多默认没有启用的服务，其中有些服务是值得研究和开启的，如位于“服务”菜单中的Web代理，时间服务器，动态DNS服务，集成Snort的入侵检测和流量整形，最有用的还是对带宽的限制，你不用再担心有人下载最新的Ubuntu ISO镜像，影响到你访问Fedora论坛的速度。可以将端口25、110、143优先级设置为“高”，80和443端口优先级设置为“中”，FTP端口（21）和BitTorrent端口（6881-6999）优先级设为“低”，这样可以确保电子邮件无论在何时都能顺利收发，而下载则被限制甚至被阻止。