前一些日子506電腦教室負責DHCP的伺服器主機板與CPU故障，更換後發現連硬碟也故障，無法再提供電腦教室內的電腦IP配發之服務，

暫時向校內另一台DHCP取得IP，這台DHCP(192.168.3.X)負責的電腦很多，超過150台，有時會出現某些電腦無法取得IP，必須停用網卡再啟用網卡，有時得反覆數次才能順利取得IP。

在上課時會造成些許困擾，因某些資訊能力稍差的學生不知如何處理，因而無法上網。有些高年級學生只懂得開啟IE瀏覽器，出現無法顯示網頁就以為無法上網。

程度比較好的同學，會進入網路連線看看設定，也懂得停用再啟用或修復，因此影響不大。



昨日上課時，有學生反映電腦畫面出現來自114群組教室的廣播畫面，114教室裝的TRBS螢幕廣播6.0正式版，506教室則是5.5試用版，沒想到竟然也會接收到廣播的畫面。

要解決這個互相干擾的問題，做好的作法就是切割網段，不同網段就不會彼此影響。因此打算再架設一台DHCP伺服器來區隔，最後採取的方式採用幾年前302所用的brazilfw路由+防火牆+DHCP。



506電腦教室 路由管理介面 http://192.168.1.1:8180  id:root ps:i************



決定使用2.31版CD_ROM版，

官方下載： http://www.brazilfw.com.br/forum/viewtopic.php?f=45&t=62705



本校下載： http://frs.sjps.tpc.edu.tw/tygftp/dload.asp?id=2599&dfile=brazilfw-2_30_1-cdrom.zip



將此ISO檔燒成CD片，用CD-ROM安裝，此版安裝速度滿快的不用5分鐘，一台DHCP就架好了。一台主機、兩張網卡，一張對內(192.168.1.1)、一張對外(163.20.X.X)。

DHCP範圍192.168.1.100-200，網卡一張是intel pro 1000(驅動代號e1000)，一張是realtek 8139(驅動代號8139too)，用對驅動代號很重要，整個架設是否順利，最關鍵就是網卡驅動。

驅動不了，就不用玩了。



現在已經順利完成506電腦教室新網段(192.168.1.100-192.168.1.200)建置，相信上述問題會迎刃而解。brazilfw真是太棒了！


***摘要記錄***

預設以本機網段登入管理介面，若要遠端登入，可以藉由putty進入管理介面。

方式如下：

開啟putty，在connection-->SSH>Tunnels

source port:8180，Destination新增192.168.1.1:8180

開啟瀏覽器輸入http://127.0.0.1:8180



防火牆之設定測試：

禁止訪問com網站

進入Advanced Firewall Configuration

Edit Custom Firewall Rules

iptables -I FORWARD -s 192.168.1.0/24 -m string --string "com" -j DROP  (似乎不支援)


禁止使用foxy

iptables -t mangle -A PREROUTING -m layer7 --l7proto gnutella -j DROP

iptables -t mangle -A POSTROUTING -m layer7 --l7proto gnutella -j DROP


Level 7 Protocols Filtering
Example: To block p2p protocols type:

fasttrack
edonkey
directconnect
List of Available Protocols
gnutella

以上設定尚在測試中...