Mündəricat:
- Təchizat
- Addım 1: İlkin RPi Quraşdırması
- Addım 2: Şəbəkə qurmaq
- Addım 3: Başqa bir istifadəçi
- Addım 4: Syctl Fayl
- Addım 5: DHCP və DNS (hissə 1)
- Addım 6: DHCP və DNS (2 -ci hissə)
- Addım 7: DHCP və DNS (3 -cü hissə)
- Addım 8: Firewall
- Addım 9: Syslog
- Addım 10: Snort ilə müdaxilənin aşkarlanması
- Addım 11: Zövq alın
- Addım 12: Changelog
Video: Raspberry Pi4 Firewall: 12 addım
2024 Müəllif: John Day | [email protected]. Son dəyişdirildi: 2024-01-30 07:45
Yeni çıxarılan Raspbery Pi 4 (RPi4) ilə özümü evdə istifadə edən bir təhlükəsizlik duvarı etməyə qərar verdim. İnternetdə büdrədikdən sonra Guillaume Kaddouch tərəfindən bu mövzuda böyük bir məqalə tapdım (https://networkfilter.blogspot.com/2012/08/building-your-piwall-gateway-firewall.html). Məqalə heyrətamizdir və irəli getməzdən əvvəl oxumalısınız-burada təsvir olunan prosesi asanlaşdıracaq. İş ondadır ki, bu məqalə 2012 -ci ildə yazılıb və ArchLinux paylanmasına əsaslanır. ArchLinux əleyhinə heç nə yoxdur, amma bunu daha geniş yayılmış Raspbian quruluşundan istifadə etməklə etmək istəyirdim. RPi4 emal tələblərini idarə edə bilər. Beləliklə, ilham üçün təşəkkür edirəm, Guillaume !! Bu təlimat Guillaume (qısa olaraq "GK") orijinal yazısına istinad edəcək, çox güman ki, hər iki səhifəni brauzerinizdə açmaq istəyəcəksiniz.
Firewall haqqında bir neçə vacib şey:
- LAN-a gedən daxili ethernet jakı (eth0) var
- ISP yönləndiricisi TRENDnet adapterindədir (eth1)
- Simsiz adapteri aktiv olaraq deaktiv etdim (wlan0)
- Bu sizi ora 100% gətirəcəyinizə zəmanət vermir … inşallah ən az 99%:) buna görə də rəy/şərh bildirin
- Bu mənim ilk təlimatımdır. Müvafiq təlimat normalarına əməl etməyən bir şey üçün üzr istəyirik.
İndi bir az əylənək …
Təchizat
-
Moruq Pi 4
- 4GB versiyasını istifadə etdim, başqa bir versiyanı sınamaqdan çekinmeyin
- Case (FLIRC -ni bəyənirəm, amma bu sizin zənginizdir)
- Güc Adaptoru
- MicroSD Kart, 32GB və ya daha böyük (64GB kart istifadə etdim)
- TRENDnet USB3.0 Gigabit Ethernet Dongle (Model: TU3-ETG)
- Bir neçə RJ45 şəbəkə kabeli
- USB klaviatura və siçan
- Micro-HDMI-HDMI kabeli (HDMI monitoruna qoşulmuşdur)
SSH və VNC -ni işə saldıqdan sonra həmin klaviatura, video və siçan silinə bilər.
Addım 1: İlkin RPi Quraşdırması
Ediləcək ilk şey, RPi4'ünüzü yeni bir sistem olaraq işə salmaqdır. Raspbian tam paylanmasını yükləyin və quraşdırın (masa üstü və tövsiyə olunan proqramı olan Raspbian Buster). Genişləndirmək və tam MicroSD kartından istifadə etmək üçün bir neçə dəfə yenidən başlamalısınız.
Çəkməli olduğu üçün yer, şəbəkə, klaviatura və siçan haqqında suallara cavab verməlisiniz. Bir şəbəkəyə qoşulun və yeniləməyə icazə verin.
Hər şeyin düzgün bir şəkildə yeniləndiyini təsdiq edək və daha sonra ayıklamaya kömək edə biləcək bir neçə yardım proqramı əldə edək:
$ sudo apt-get yeniləməsi
$ sudo apt-get dist-upgrade $ sudo apt-get install htop $ sudo apt-get install tcpdump
Nə vim quraşdırdım, nə də GK -nın 8 -ci addımını (vim konfiqurasiya et). Bu xüsusiyyətlərin çoxuna sahib olduğu üçün yalnız vi redaktorundan istifadə etdim. Bu da bir az vaxt və səyə qənaət etdi.
Bu tamamlandıqdan sonra RPi4-ü bir monitoru işə sala biləcəyimiz şəkildə qurmağa icazə verin. Məqsədim başsız işləməsini təmin etmək idi, amma bir monitoru bağlamalı olsam, tanınacaq.
$ sudo vi /boot/config.txt
O faylda:
şərh etmə (ön #işarəsini çıxarın): hdmi_force_hotplug = 1
şərh etmə: hdmi_drive = 2
isteğe bağlı olaraq əlavə edin: enable_hdmi_sound
Addım 2: Şəbəkə qurmaq
GK -nın saytını izləyirsinizsə, bu 3 -cü addımdır. Amma unutmayın ki, onun ilk addımlarının çoxunu dəqiq qaydada izləməmişəm.
İlk işə başladığımda, RPi -ni birbaşa ISP routerimə bağladım ("mövcud şəbəkəmin yanında"). Bu, şəbəkəyə təsir etmədən konfiqurasiya ilə oynamaq imkanı verdi. Daxili RPi4 RJ45-i marşrutlaşdırıcınıza qoşun (və ya istəsəniz simsiz). Raspbian ilə bunu etmək üçün ən asan yol GUI istifadə etməkdir. Masaüstündən Raspberry Icon> Preferences> Raspberry Pi Configuration düyməsini basın. SSH və VNC -ni aktivləşdirdiyinizə əmin olun. Bu, Real-VNC server müştərisini quraşdıracaq. Tight VNC müştəri ilə əlaqə qurmağa çalışsanız uyğunlaşacağını və əlavə konfiqurasiya tələb edəcəyini gördüm. Beləliklə, bu anda Real-VNC müştərisini əsas masaüstünüzə/dizüstü kompüterinizə quraşdırın (RPi4-ə deyil).
SSH qutudan çıxmayacaq (GK-nın 7-ci addımı). Bəzi konfiqurasiyaları dəyişdirməliyik. Əvvəlcə ssh konfiqurasiya faylını dəyişdirək. İşdə etdiyim dəyişikliklər. Unutmayın ki, burada hər dəyişikliyin təsirini öyrənmədim. GK saytının təklif etdiyi şeyi etdim. Bu dəyişikliklərdən bəziləri tələb olunmaya bilər.
$ sudo vi/etc/ssh/sshd_config
Bu faylda aşağıdakı sətirləri qeyd edin:
HostKey/etc/ssh/ssh_host_rsa_keyHostKey/etc/ssh/ssh_host_ecdsa_keySyslogFacility AUTHLogLevel INFOStrictModes yesPubkeyAuthentication yesHostBasedAuthentication yox
Rhosts -a məhəl qoymayın, bəli
PrintMotd yoxPrintLastLog yesTTCPKeepAlive bəli
Və aşağıdakı sətirləri əlavə edin:
Protokol 2 İstifadə et İmtiyaz Ayrılıq bəliAnahtar Yeniləmə Aralığı 3600ServerKeyBits 768RSAAuthentcation yesRhostsRSAAutentifikasiya yox
Və aşağıdakı sətirləri dəyişdirin:
Port 15507GirişGraceTime 60PermitRootLogin no
İlk dəyişiklik haqqında tez danışaq … port 15507. SSH normal olaraq 22 portunda işləyir. GK onu 15507-yə köçürdü-niyə olduğunu bilmirəm. İstənilən şəkildə dəyişə və ya dəyişə bilərsiniz … Dəyişdirməyi seçsəniz, qoşulmağa çalışdığınız hər hansı bir SSH əmrinə "-p 15507" əlavə etməlisiniz. Atlamağa qərar verərsəniz, bu təlimatlarda 15507 -nin qeyd edildiyi digər yerlərə diqqət yetirin və xüsusilə də təhlükəsizlik duvarı qaydalarına məhəl qoymayın!
Nəhayət, bu addım üçün, RPi4 -in IP ünvanını əldə etməyə imkan verir, beləliklə nəyə qoşulacağımızı bilirik:
$ ipconfig -a
Aktiv şəbəkə bağlantısını tapın (ehtimal ki eth0 və ya wlan0 -da) və həmin IP ünvanını yazın. İndi uzaqdan RPi4 -ə qoşulmaq üçün nə lazımdırsa var. Davam etmədən əvvəl yenidən başladın:
$ sudo yenidən başladın
Addım 3: Başqa bir istifadəçi
Varsayılan RPi istifadəçi adını (pi) istifadə etməmək ən yaxşısıdır və əlbəttə ki, şifrəni dəyişdirməlisiniz. Təhlükəsiz olmaq üçün uzaqdan qoşulmaq və davam etmək üçün istifadə edə biləcəyiniz başqa bir istifadəçi hesabı əlavə edək (GK -nın 6 -cı addımı). Yenidən RPi -yə yeni bir istifadəçi əlavə etməyə və istifadəçi üçün SSH icazələrini təyin etməyə və sudo əmrini verməyə imkan verir:
$ sudo useradd -m -g users -G sudo, netdev -s /bin /bash [USERNAME]
$ sudo passwd [USERNAME]
Çıxmaq və ya yenidən başlatmaqdan çəkinməyin və yeni yaradılan hesabı irəlidə istifadə edin.
Addım 4: Syctl Fayl
Növbəti addım /etc/sysctl.conf faylını dəyişdirməkdir (GK -nın 9 -cu addımı). Bu fayl bir neçə kernel parametrlərini dəyişdirmək üçün istifadə olunur. GK -nın dediklərini tam olaraq edəcəyik. Burada sadələşdirilmiş addımlar toplusudur.
$ sudo vi /etc/sysctl.conf
Bu faylda aşağıdakı sətirləri qeyd edin:
net.ipv4.conf.default.rp_filter = 1net.ipv4.conf.all.rp_filter = 1net.ipv4.tcp_syncookies = 1
net.ipv4.ip_forward = 1
net.ipv4.conf.all.accept_redirects = 0net.ipv4.conf.all.send_redirects = 0net.ipv4.conf.all.accept_source_route = 0net.ipv4.conf.all.log_martians = 1
Və aşağıdakı sətirləri əlavə edin:
net.ipv4.icmp_echo_ignore_broadcasts = 1net.ipv4.icmp_ignore_bogus_error_responses = 1net.ipv4.conf.eth0.accept_redirects = 0vm.min_free_kbytes = 8192
Bu yeni parametrlərlə xidməti yenidən başladın və yenidən başladın:
$ sudo sysctl -p
$ sudo yenidən başladın
Addım 5: DHCP və DNS (hissə 1)
Mənim üçün bu prosesin iki ağrılı hissəsi var idi … DHCP və DNS qurmaq və firewall qaydalarını qurmaq. Beləliklə, burada birinci hissə ilə gedirik. GK saytını izləyirsinizsə, 10 -cu addımdayıq.
Bunu etmək üçün ISP yönlendiricinizdən (və ya mövcud firewall) bir neçə məlumat lazımdır:
- Routerin daxili IP ünvanı
- RPi4 -ün marşrutlaşdırıcının interfeysi üçün istifadə edə biləcəyiniz bir IP ünvanı
- Bir ad serveri üçün IP (və ya iki)
- LAN bağlantısı üçün interfeys adı (məsələn, eth0 və ya eth1)
- ISP bağlantısı üçün interfeys adı (məsələn, LAN üçün istifadə etmədiyiniz hər şey)
RPi4 -ə statik bir IP ünvanı vermək üçün yönləndiricinin parametrlərini də dəyişdirməyiniz lazım ola bilər (yuxarıdakı 2 -ci maddə). Ən azından bunu etdim.
Əvvəlcə dhcpcd.conf faylını dəyişdirək …
$ sudo vi /etc/dhcpcd.conf
Bu sətirləri ləğv edin:
israrlı seçim rapid_commitoption domain_name_servers, domain_name, domain_search, host_nameoption interface_mtu
Hər bir şəbəkə interfeysi üçün şəbəkə detallarını təyin etməlisiniz. Belə bir şeyə baxmalıdırlar:
# ISP interfeysi üçün statik
interfeys eth1 statik ip_address = 192.168.1.statik yönləndiricilər = 192.168.1.254 statik domain_name_servers = 8.8.8.8 8.8.4.4 metrik 100 # LAN interfeysi interfeysi üçün statik eth0 statik ip_address = 10.210.212.statik yönləndiricilər = 10.210.212.1 statik domain_name_servers = 8.8.8.8 8.8.4.4 #interface wlan0 #statik ip_address = 10.210.212. #statik yönləndiricilər = 10.210.212.1 #statik domain_name_servers = 8.8.8.8 #Bir cihazda bir IP ünvanı məcbur etmək istəyirsinizsə bu bölməyə şərh yazmayın. 'Ev sahibi' sonrakı ad sistem üçün mənasızdır. Cihazın MAC ünvanını və istədiyiniz #IP ünvanını daxil edin. Dhcp aralığında olmadığından əmin olun. Lazım olduğu kimi təkrarlayın. #host [ANYTHING] { # hardware ethernet xx: xx: xx: xx: xx: xx; # sabit ünvan 10.210.212.250; #}
Sizin üçün işləyən nömrələrdən istifadə etməyinizə əmin olun. Yuxarıdakı IP -lər, Google olan ad serverləri istisna olmaqla, mənim şəbəkəm üçündür. Diqqət yetirin ki, İnternet provayderinin metrikini 100 olaraq təyin etdim ki, bunu şəbəkə trafiki üçün ilk dəfə cəhd etsin. Xüsusilə simsiz adapterimə heç bir şey etmədim (wlan0). Bu interfeysi tamamilə söndürmək niyyətindəyəm, buna görə mənim üçün məntiqli oldu.
Ayrıca, bir cihazda (NAS kimi) bir IP ünvanı məcbur etmək istəyirsinizsə, bu alt hissədən istifadə edin. Ev sahibinə sizin üçün mənalı bir ad verin, amma heç vaxt heç bir şey tərəfindən istifadə edilmədiyini bilin. Noktalı vergülləri unutmayın.
Addım 6: DHCP və DNS (2 -ci hissə)
Növbəti addım dnsmasq.conf faylını dəyişdirməkdir …
$ sudo vi /etc/dnsmasq.conf
Bir neçə sətri şərh etməli və bir neçə sətri redaktə etməliyik. Ayrıca dhcpcd.conf faylından bir neçə parametr kopyalamalısınız. Özünüz üçün cavab verməli olduğunuz digər iki sual:
Daxili LAN -a (məsələn, eth0) DHCP və DNS lazımdırmı? LAN üçün hansı DHCP aralığını istəyirsiniz və hər bir icarə müddəti nə qədər olmalıdır?
Bir neçə sətri şərh etmədən başlayın:
saxta-privno-dhcp-interfeysi = wlan0bind-interfeysləri dhcp-ad-uyğunluq = set: wpad-ignore, wpaddhcp-ignore-names = tag: wpad-ignore
Ad serverinizi təyin edin. 'Server =' başlayan xətti axtarın və 'server = 8.8.8.8' kimi bir şey edin.
DHCP aralığınızı təyin edin. Bunun bir çox yolu var. İki son nöqtəli IP, maska və kirayə müddətini verməyi seçdim. Aralığım 10.210.212.20-10.210.212.240 idi, 255.255.255.0 şəbəkə maskası və 12 saatlıq icarə müddəti. Statik bir IP verməyiniz lazım olduğu təqdirdə, bəzi IP -lərinizi aralığınızın yuxarı və aşağı hissələrində tərk etməyi məsləhət görürəm.
'İnterface =' xəttini 'interface = eth0' kimi bir şey olaraq dəyişdirərək DNS və DHCP (LAN) əldə edəcək interfeysi təyin edin. Diqqət yetirin ki, simsiz şəbəkəmə DHCP IP ünvanı verməyin. Yenə də bu interfeysi tamamilə söndürmək niyyətindəyəm, buna görə mənim üçün məntiqli oldu.
Addım 7: DHCP və DNS (3 -cü hissə)
Bu son addım üçün GK -nın göstərişlərindən yayınmaq…
Bu anda RPi -ni yenidən başlatmağa getdiyim zaman, dnsmasq prosesi aktiv deyildi. Bir az ətrafa girəndə et0 və eth1 şəbəkə interfeyslərimin dnsmasq başlamazdan əvvəl aktiv olmadığını gördüm, buna görə də dnsmasq başlanğıcda uğursuz olardı. Bir klaviatura və siçanı RPi -yə bağlamalı və dnsmasq -ı əl ilə yenidən başlamalı idim. Başsız quraşdırma ilə bu ideal deyil. Ayarlarda (məsələn, bağlama interfeysini deaktiv edin) və digər şeylərdə müxtəlif dəyişikliklər etməyi söyləyən bir çox yazı oxudum. Heç biri işləmədi. Sonda, hər 2 dəqiqədə bir işləyən və dnsmasq -ın vəziyyətini yoxlayan bir shell skript yazmağa qərar verdim. Çalışmırdısa, başlayın. Düşünürəm ki, bu vəziyyət təkcə mənim üçün deyil. Beləliklə, burada etməlisiniz:
Aşağıdakı kodu RPi'nizdə 'dns_masq_keepalive.sh' adlı bir fayl halına gətirin.
#!/bin/bash
# Fayl: dns_masq_keepalive.sh # Avqust 2019 # Dnsmasqın işlədiyinə əmin olmaq üçün bunu crontab -e (*/2 * * * * /etc/dns_masq_keepalive.sh) ilə istifadə edin. # Dhcpcd.conf -da qeyd olunan bütün interfeyslər başlamazdan əvvəl işə başlamazsa, xidmət özünü dayandıracaq. Bu problemi həll edir. # Bu növbəti sətir, içərisində 'dnsmasq' sözü olan bütün aktiv işləri qaytaracaq. Beləliklə, bu # faylın adına 'dnsmasq' daxil etməyin, əks halda hər dəfə qaytaracaq və heç vaxt yenidən başlamazsınız. dns_running = $ (ps -e | grep dnsmasq) echo $ dns_running əgər [-z "$ dns_running"] sonra #echo No DNSMasq sudo /etc/init.d/dnsmasq yenidən başladın #else #echo DNSMasq Running fi
Lazım gələrsə kəsin və yapışdırın. Nə etsəniz də, adına 'dnsmasq' daxil etməyin. Skript 'dnsmasq' sözünü axtarır və skriptin adı varsa, xidmətin işlədiyini güman edəcək. Ayrıca, '.sh' ilə bitən faylın adını dəyişdirin. İntructables mənə '.sh' faylını yükləməyimə icazə vermir-bu yaxşıdır. Qalan təlimatlar, faylın: /etc/dns_masq_keepalive.sh ünvanında olduğunu ehtimal edir.
İkincisi, faylın icrası üçün icazələri təyin edin:
$ sudo chmod u+x /etc/dns_masq_keepalive.sh
İndi proqramı hər gün 2 dəqiqədən bir işə salmaq üçün crontab sistemindən istifadə edəcəyik. Crontab başladın:
$ sudo crontab -e
Vi və ya başqa bir şeydən istifadə edərək redaktə etməyinizi istəməlidir. Hər kəs işləyəcək. Düzəliş edə bildikdən sonra, faylın sonuna aşağıdakıları əlavə edin:
*/2 * * * * sudo /etc/dns_masq_keepalive.sh
'*/2' də boşluq yoxdur, ancaq ulduzlar arasındakı boşluqlar. Saxla və çıx. İşin planlaşdırıldığını və ya buna bənzər bir şey olduğunu söyləməlidir.
Addım 8: Firewall
Növbəti ağrılı proses təhlükəsizlik duvarıdır (GK -nın addımı 11). Raspbian tanınmış iptables sistemindən istifadə edir. GK -nın bloqu ora çatmağınıza kömək etmək üçün üç fayl təqdim edir … firewall.simple, firewall.advanced və firewall.flows. GK -ya hörmətlə yanaşın, ancaq özünüzü asanlaşdırın və yalnız firewall.simple ilə gedin. Iptables sistemini və qaydalarını anlamaq üçün çox vaxt sərf etdim. Etdiyimə şadam, amma ağrılı idi. Beləliklə, sizə kömək etmək üçün əlavə edilmiş iki faylı verirəm … firewall. simple və firewall.clear. Bu faylların hər ikisini /etc qovluğuna kopyalayın və icra oluna bilməsi üçün icazələri dəyişdirin:
$ sudo chmod u+x /etc/firewall.sadə
$ sudo chmod u+x /etc/firewall.clear
Hər hansı bir təhlükəsizlik duvarı qaydaları qurmadan əvvəl, bir masa üstü/dizüstü kompüterinizi RPi eth0 portuna qoşun və bir IP ünvanı aldığını və DNS işlədiyini təsdiq edin. Bunun ən asan yolu ümumi bir sayt və sonra bilinən bir IP ünvanı sınamaqdır. Ayrıca RPi və ISP yönlendiricinizi ping edin. Nəticələr alsanız, hər şey yaxşıdır və indi qarşılaşdığınız hər hansı bir şəbəkə problemi, ehtimal ki, təhlükəsizlik duvarı problemlərinin nəticəsi olacaq.
Təqdim olunan ilk fayl əvvəlcə GK firewall.simple faylı olaraq başladı (təşəkkürlər, yenə də GK!). Bu sistem üçün işləməsi üçün bir çox dəyişiklik etdim. Ən azından HTTP, HTTPS, DNS, DHCP, ping, daxili SSH, daxili VNC və plex imkan verməlidir. Plex -də hər mümkün cihaz üçün bütün açıq portlar olmaya bilər, amma bunu düzəltmək üçün bir çox yazı var. Faylın yuxarı hissəsində şəbəkə konfiqurasiyanıza dəyişdirməyiniz lazım olan dəyərlər var.
İkinci fayl, firewall.clear, təhlükəsizlik duvarı qaydalarınızı sınayarkən istifadə üçün nəzərdə tutulmuşdur. 'Sudo /etc/firewall.clear' işlədərkən bütün təhlükəsizlik duvarı qaydaları silinəcək və sistem İnternetə tam bağlı olmalıdır. Beləliklə, bir şəbəkə xidmətini (dns kimi) firewall. sadə qaydaları ilə işlədə bilmirsinizsə, ancaq firewall.clear -ı işə saldıqdan sonra işə başlayırsa, bir qayda probleminiz olduğunu bilirsiniz. Bu, yalnız qaydalarınızı sınayarkən vacib olacaq.
Beləliklə, orada təhlükəsizlik duvarı qaydaları var, bunları RPi başladıqda başlamağa məcbur etməliyik. Bunu etmək üçün /etc/rc.local faylını düzəldəcəyik:
$ sudo vi /etc/rc.local
İçəri daxil olduqdan sonra faylın sonuna aşağıdakıları əlavə edin:
echo "iptables qaydaları yüklənir" /etc/firewall.simple >>/dev/null
Snort müdaxilə aşkarlama sistemini əlavə etməyi seçsəniz, bu faylı yenidən redaktə etməlisiniz. Hələlik onu saxla və yenidən başladın.
$ sudo yenidən başladın
Addım 9: Syslog
İki addım qaldı…
Bu asan bir işdir. Hələ də oradasınızsa və GK -nın blogunu izləsəniz, bu 12 -ci addımdır. Syslog faylı ilə bağlı dediklərini tam olaraq etməlisiniz. İşdə qısaldılmış addımlar:
2 aylıq syslog məlumatlarını saxlayın …
$ sudo vi /etc/logrotate.conf
Ölçmə olaraq 'bir həftəni' istifadə etməli və sonra onlardan 12 -ni saxlamalıyıq. Bu faylda aşağıdakı iki sətrə ehtiyacınız var. İnanıram ki, mövcud xətləri dəyişdirməlisiniz.
həftəlik turate 12
Bunu yadda saxla.
Addım 10: Snort ilə müdaxilənin aşkarlanması
GK -nın konfiqurasiya etdiyi son şey snort sistemidir. Bunu da məsləhət görürəm. Onun qaydalarına əməl edə bilərsiniz və mən hamısını bir neçə kiçik dəyişikliklə bura kopyalamaq fikrində deyiləm. Onun təlimatları ArchLinux distroları üçündür. Burada istifadə etdiyimiz Raspbian paylanması üçün bir neçə dəyişiklik. Qalan təlimatlar yaxşı işləyir.
Birincisi, snort yükləmək və qurmaq üçün sudo pacman -S snort istifadə etməyin. Aşağıdakıları edin:
$ sudo apt-get snort yükləyin
İkincisi, sudo snort -version ilə xırıltı yoxlaya bilməzsiniz. Quraşdırmanı yoxlayın:
$ sudo snort -V
Nəhayət, başlanğıcda işə salınması üçün rc.conf faylını dəyişdirməyin, rc.local faylını redaktə edin (yenidən) …
$ sudo vi /etc/rc.local
Faylın sonuna aşağıdakı sətirləri əlavə edin:
echo "Qışqırıq yüklənir"
#/usr/sbin/snort -D -u snort -g snort -c /etc/snort/snort.conf -i eth0 -l/var/log/snort
İndi yenidən başladın və hamısı sehrli işləməlidir.
$ sudo yenidən başladın
Addım 11: Zövq alın
Bu belə olmalıdır!
Əvvəla, Guillaume Kaddouch'a kifayət qədər təşəkkür edə bilmərəm! Buna ilham verdi.
İkincisi, hələ də klaviatura, video və siçan bağlantısını kəsməmisinizsə, edə bilərsiniz. Lazım gəldikdə geri qayıtmaq üçün SSH və VNC istifadə edin.
Sonda bu 100% mükəmməl olmaya bilər. Zəhmət olmasa dəyişikliklər/təkliflər/tövsiyələrlə geri göndərin. Məqsədim bunun müzakirənin başlanğıcı və bir çox insanın zövq alması olardı!
Təşəkkürlər !!
PS… Şəkil, FLIRC alüminium korpusun içərisində bir qədər dəyişdirilmiş və zip ilə bağlanmış köhnə Intel fanatı olan bir RPi4-dir. Maraqlandığınız halda fanın altında da termal pasta var. İnternetdə oxşar bir şey tapdım (https://www.reddit.com/r/raspberry_pi/comments/9bdgrr/it_turns_out_putting_a_heatsink_on_the_flirc_case/) və özüm də sınamaq qərarına gəldim.
Addım 12: Changelog
Bu təlimat verənə dəyişikliklər edildiyi üçün bunları burada sənədləşdirəcəyəm. Bir probleminiz varsa, köhnə təlimatları və ya faylları tutub tutmadığınızı yoxlayın.
25 sentyabr 2019:
- Firewall -da sabit DHCP qaydaları. Sadə
- Təlimatlarda sabit DHCP aralığı (fayllar düzgün idi)
- DHCP təlimatlarına sabit IP təyinatları əlavə edildi
13 oktyabr 2019
- Çoxlu səhvlər düzəldildi
- Lazım gələrsə, dəyişdirmək üçün bir test SD kartına sahib olmaq üçün ikinci bir pi yaratdım
Tövsiyə:
Şəbəkənizi UTM Firewall Free ilə qoruyun: 4 addım
Şəbəkənizi UTM Firewall Pulsuz ilə qoruyun: Bu təlimat, ev şəbəkənizdə bir Sophos UTM quraşdırılması və işləməsi üçün əsasları əhatə edəcək. Bu pulsuz və çox güclü bir proqram paketidir. Ən aşağı ortaq məxrəci vurmağa çalışıram, buna görə də aktiv kataloq inteqrasiyasına girməyəcəyəm, uzaqdan
FireWall -a MC Server əlavə edin: 12 addım
FireWall -a MC Server əlavə edin: 1. " wf.msc " tapşırıq çubuğunun solundakı axtarış çubuğuna daxil olun. Denetim Masasına gedin, Windows (Defender) Firewall'ı açın və soldakı menyudan Ətraflı Ayarlar seçin
OrangePi R1 ilə Körpü Firewall: 4 Addım
OrangePi R1 ilə Bridge Firewall: Başqa bir Portağal Pi almaq məcburiyyətində qaldım :) Bunun səbəbi, SIP telefonumun gecə yarısı qəribə nömrələrdən zəng vurmağa başladığı və VoIP provayderimin liman taramaları səbəbiylə səsləndiyi üçün idi. Başqa bir səbəb - marşrutlaşdırıcıların sındırıldığını çox tez -tez eşitmişdim
Firewall/Proxy Serverdən qaçmaq: 3 addım
Firewall/Proxy Serverin Ətraf Mühafizəsi: Bir çox digər tələbə gəldi və məndən firewall və vəkillərə necə girəcəyimi soruşdu. Məktəbdəki İT adamları, proxy istifadə edən şagirdlər haqqında daha ağıllı olurlar. Bir müddət bu mövzuda düşündüm və həllim var. Niyə öz veb səhifələrinizi yaratmırsınız
Netscreen Firewall -ı necə yedəkləmək olar: 8 addım
Netscreen Təhlükəsizlik Divarını Necə Yedəkləmək olar: Bu təlimat, ScreenOS ilə işləyən bir şəbəkə təhlükəsizlik divarının ehtiyat nüsxələrini avtomatlaşdırmaq üçün istifadə edilə bilən bir skript göstərir