Híd tűzfal OrangePi R1 -el: 4 lépés

2024 Szerző: John Day | [email protected]. Utoljára módosítva: 2024-01-30 09:42

Vennem kellett egy másik Orange Pi -t:) Ennek az volt az oka, hogy a SIP telefonom az éjszaka közepén csörögni kezdett furcsa számoktól, és a VoIP szolgáltatóm azt javasolta, hogy ez a port szkennelések miatt történt. Egy másik ok - túl gyakran hallottam az útválasztók feltöréséről, és van egy útválasztóm, amelyet nem szabad kezelnem (Altibox/Norvégia). Arra is kíváncsi voltam, hogy mi történik az otthoni hálózatomban. Ezért úgy döntöttem, hogy létrehozok egy híd-tűzfalat, amely átlátható a TCP/IP otthoni hálózat számára. PC -vel teszteltem, majd úgy döntöttem, hogy OPi R1 -et vásárolok - kevesebb zaj és kevesebb energiafogyasztás. Ha saját oka van egy ilyen hardver tűzfalra - ez könnyebb, mint gondolná! Ne felejtsen el vásárolni egy hűtőbordát és egy tisztességes micro SD kártyát.

1. lépés: OS és kábelezés

Telepítettem az Armbiant:

Amint talán észrevette, hogy USB TTL átalakítót használtam a soros konzolhoz való hozzáféréshez, ami nem volt szükséges, az alapértelmezett hálózati konfiguráció DHCP -t feltételez.

Az egyetlen megjegyzés az átalakítóhoz - sok oktatóanyagban nem javasolt VCC kapcsolat. Számomra ez csak akkor működött, amikor a tápegység csatlakoztatva volt (a 3.3V az egyetlen négyzet alakú tű a táblán). És túlmelegedni fog, ha nem csatlakoztatják az USB -hez, mielőtt bekapcsolják a tápegységet. Azt hiszem, az R1 rendelkezik az OPi Zero -val kompatibilis pinout -tal, gondjaim vannak az R1 -sémák megtalálásával.

Az Armbian indítása, a root jelszó megváltoztatása és néhány frissítési/frissítési cucc után találtam két interfészt ('ifconfig -a') - eth0 és enxc0742bfffc6e. Ellenőrizze, mert most szüksége lesz rájuk - a legcsodálatosabb dolog az, hogy az R1 Ethernet -híddá alakításához csak az/etc/network/interfaces fájlt kell beállítania. Meglepődtem, hogy az Armbian a fájl néhány előre konfigurált verzióját tartalmazza, beleértve az interfészeket is. R1switch - úgy hangzik, mint amire szükségünk van, de nem működik.

Egy másik fontos dolog az Ethernet portok megfelelő azonosítása volt - az enxc0742bfffc6e volt a soros tűk közelében.

Mielőtt elveszítené az R1 kapcsolatát az internettel (OK, ezt jobban lehetett volna konfigurálni), csak telepítsen egyet:

sudo apt-get install iptables-persistent

2. lépés:/etc/network/interfaces

Ha a helyi hálózatot eth0 -ra kapcsolja, akkor a következő interfész fájlra van szüksége (mindig visszatérhet az orig verzióhoz a sudo cp interfaces.default interfaces használatával; indítsa újra):

auto br0iface br0 inet kézikönyv

bridge_ports eth0 enxc0742bfffc6e

bridge_stp ki

bridge_fd 0

bridge_maxwait 0

bridge_maxage 0

3. lépés: Iptables

Az újraindítás után az R1 -nek átlátszónak kell lennie a hálózat számára, és úgy kell működnie, mint egy kábelcsatlakozó. Most nehezítsük meg a rossz fiúk életét - állítsuk be a tűzfalak szabályait (a kivonatolt sorok megjegyzések; a hálózati címek beállítása a DHCP -konfigurációhoz!):

# villogjon és zárja be az ajtókat

iptables -Fiptables -P INPUT DROP

iptables -P FORWARD DROP

iptables -P OUTPUT DROP

# de hagyja, hogy a belső hálózat kimenjen

iptables -A INPUT -m physdev --physdev -is -bridged --physdev -in eth0 -s 192.168.10.0/24 -j ACCEPT

iptables -A FORWARD -m physdev --physdev -is -bridged --physdev -in eth0 -s 192.168.10.0/24 -j ACCEPT

# engedélyezze a DHCP áthaladását a hídon

iptables -A INPUT -i br0 -p udp --port 67:68 --sport 67:68 -j ACCEPT

iptables -A FORWARD -i br0 -p udp --port 67:68 -sport 67:68 -j ACCEPT

# minden létrejött forgalmat továbbítani kell

iptables -A FORWARD -m conntrack -állam LÉTREHOZOTT, KAPCSOLÓDÓ -j ELFOGAD

# csak a helyi böngészőhöz - hozzáférés olyan felügyeleti eszközökhöz, mint a darkstat

iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT

#blokk hamisítás

iptables -A ELŐRE NETFILTER

iptables -A FORWARD -m physdev --physdev -is -bridged --physdev -in enxc0742bfffc6e -s 192.168.10.0/24 -j REJECT

4. lépés: Utolsó szempontok

Egy hét után - tökéletesen működik. Az egyetlen dolog, amit pótolni fogok (és itt beküldök), a hálózat felügyelete és az ssh -n keresztüli hozzáférés. Ismétlem - az interfész fájl megváltoztatása a csatolt tartalomhoz leválasztja az R1 eszközt az IP hálózatról - csak a soros fog működni.

2018. június 6.: Az áthidalás nem túl sok munka, de az R1 sok hőt bocsát ki, túl sok. Egy egyszerű hűtőborda nagyon felforrósodik - furcsa és nem szeretem. Talán nem baj, talán van valakinek más megoldása, mint a ventilátor.

2018. augusztus 18.: Az „armbianmonitor -m” 38 Celsius -fokot mutat, ami messze elmarad a személyes felfogásomtól. Jelentős változást éreztem (lefelé), amikor kicsit csökkentettem az órát:

echo 1000000>/sys/devices/system/cpu/cpu0/cpufreq/scaling_max_freq

BTW - Sikerült csatlakoznom az otthoni WLAN -hoz, de az R1 nem kapott IP -t DHCP -n keresztül, a statikus hozzárendelésű deók sem működnek. Ez volt az első kísérletem arra, hogy adminisztratív interfész legyen, nem soros. Egy másik ötlet az, hogy továbbra is hozzá kell rendelni egy IP -t az egyik Ethernet -porthoz. Erre néhány hónap múlva visszatérek.