Silla tulemüür OrangePi R1 -ga: 4 sammu

2024 Autor: John Day | [email protected]. Viimati modifitseeritud: 2024-01-30 08:49

Ma pidin ostma teise Orange Pi:) See oli tingitud sellest, et mu SIP -telefon hakkas keset ööd kummalistest numbritest helisema ja minu VoIP -pakkuja soovitas, et see oli tingitud portide skannimisest. Teine põhjus - olin liiga sageli kuulnud ruuterite häkkimisest ja mul on ruuter, mida ma ei tohi administreerida (Altibox/Norra). Samuti olin uudishimulik, mis mu koduvõrgus toimub. Nii otsustasin luua TCP/IP koduvõrgu jaoks läbipaistva silla-tulemüüri. Testisin seda arvutiga, siis otsustasin osta OPi R1 - vähem müra ja vähem energiatarbimist. Kui teil on oma põhjus sellise riistvara tulemüüri loomiseks - see on lihtsam kui arvate! Ärge unustage osta jahutusradiaatorit ja korralikku mikro -SD -kaarti.

Samm: OS ja kaabeldus

Paigaldasin Armbiani:

Nagu olete ehk märganud, kasutasin jadakonsoolile juurdepääsuks USB TTL -muundurit, mis polnud vajalik, eeldab võrgukonfiguratsioon DHCP -d.

Ainus kommentaar muundurile - paljudes õpetustes ei pakuta VCC ühendust. Minu jaoks töötas see ainult siis, kui toide oli ühendatud (3,3 V on plaadil ainus ruudukujuline tihvt). Ja see kippus üle kuumenema, kui pole enne toiteallika sisselülitamist USB -ga ühendatud. Ma arvan, et R1 -l on OPI Zeroga ühilduv pinout, mul on probleeme R1 skeemide leidmisega.

Pärast Armbiani käivitamist, juurparooli muutmist ja mõningaid värskenduse/täiendamise asju leidsin kaks liidest ('ifconfig -a') - eth0 ja enxc0742bfffc6e. Kontrollige seda, sest teil on neid nüüd vaja - kõige ägedam on see, et R1 muutmiseks Etherneti sillaks peate kohandama ainult faili/etc/network/interfaces. Mind hämmastas, et Armbianil on faili mõned eelkonfigureeritud versioonid, sealhulgas liidesed. R1switch - kõlab nagu me vajame, kuid see ei tööta.

Teine oluline asi oli Etherneti portide õige identifitseerimine - enxc0742bfffc6e oli jadapistikute lähedal.

Enne R1 Interneti -ühenduse kaotamist (OK, seda oleks võinud paremini konfigureerida) installige üks asi:

sudo apt-get install iptables-persistent

Samm:/etc/network/interfaces

Kui lülitate kohaliku võrgu üle eth0 -le, vajate järgmist liidesefaili (saate alati algversiooni juurde tagasi sudo cp interfaces.default liidesed; taaskäivitage):

auto br0iface br0 inet kasutusjuhend

bridge_ports eth0 enxc0742bfffc6e

bridge_stp välja

bridge_fd 0

sild_maxwait 0

sild_maxage 0

Samm: Iptables

Pärast taaskäivitamist peaks teie R1 olema võrgu jaoks läbipaistev ja töötama nagu kaabli pistik. Teeme nüüd pahalaste elu raskemaks - seadistage tulemüürireeglid (räsitud read on kommentaarid; kohandage võrguaadressid vastavalt oma DHCP konfiguratsioonile!):

# vilgutage kõik ja sulgege uksed

iptables -Fiptables -P INPUT DROP

iptables -P FORWARD DROP

iptables -P OUTPUT DROP

# aga lubage sisevõrgul välja minna

iptables -A INPUT -m physdev --physdev -is -bridge -physdev -in eth0 -s 192.168.10.0/24 -j ACCEPT

iptables -A FORWARD -m physdev --physdev -is -bridged --physdev -in eth0 -s 192.168.10.0/24 -j ACCEPT

# lubage DHCP -l silda läbida

iptables -A INPUT -i br0 -p udp --port 67:68 --port 67:68 -j ACCEPT

iptables -A FORWARD -i br0 -p udp --port 67:68 --port 67:68 -j ACCEPT

# kogu olemasolev liiklus tuleks edastada

iptables -A FORWARD -m conntrack -riik, mis on loodud, seotud -j ACCEPT

# ainult kohaliku brauseri jaoks - juurdepääs jälgimistööriistadele nagu darkstat

iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT

#blokeeri võltsimine

iptables -A FORWARD -m physdev --physdev -is -bridge NETFILTER

iptables -A FORWARD -m physdev --physdev -is -bridged --physdev -in enxc0742bfffc6e -s 192.168.10.0/24 -j REJECT

4. samm. Lõplikud kaalutlused

Nädala pärast - töötab ideaalselt. Ainuke asi, mille ma välja mõtlen (ja siin esitan), on võrgu jälgimine ja juurdepääs ssh kaudu. Kordan - liidese faili muutmine lisatud sisule eemaldab R1 seadme IP -võrgust - töötab ainult jada.

6. juuni 2018: sild ei ole nii palju tööd, kuid R1 eraldab palju soojust, liiga palju. Lihtne jahutusradiaator läheb väga kuumaks - imelik ja see ei meeldi mulle. Võib -olla on kõik korras, ehk on kellelgi muud lahendust kui ventilaator.

18. august 2018: "armbianmonitor -m" näitab 38 Celsiuse kraadi, mis on palju väiksem kui minu isiklik taju. Kella pisut vähendades tundsin olulist muutust (alla):

echo 1000000>/sys/devices/system/cpu/cpu0/cpufreq/scaling_max_freq

BTW - mul õnnestus luua ühendus oma kodu WLAN -iga, kuid R1 ei ole saanud DHCP kaudu IP -d, samuti ei tööta staatilised määramised. See oli minu esimene katse luua haldusliides, välja arvatud jadaliides. Teine idee on, et ühele Etherneti pordile on ikkagi määratud IP. Ma tulen selle juurde tagasi mõne kuu pärast.