OrangePi R1 ilə Körpü Firewall: 4 Addım

2024 Müəllif: John Day | [email protected]. Son dəyişdirildi: 2024-01-30 07:47

Başqa bir Portağal Pi almalı oldum:) Bunun səbəbi, SIP telefonumun gecə yarısı qəribə nömrələrdən zəng çalmağa başlamasından və VoIP provayderimin liman taramalarından qaynaqlandığı üçün idi. Başqa bir səbəb - marşrutlaşdırıcıların sındırıldığını çox eşitmişdim və idarə etməyimə icazə verilməyən bir yönlendiricim var (Altibox/Norveç). Ev şəbəkəmdə nə baş verdiyini də maraqlandım. Buna görə TCP/IP ev şəbəkəsinə şəffaf bir körpü təhlükəsizlik duvarı qurmağa qərar verdim. Bir PC ilə sınadım, sonra OPi R1 - daha az səs -küy və daha az enerji istehlakı almağa qərar verdim. Belə bir hardware təhlükəsizlik divarına sahib olmaq üçün öz səbəbiniz varsa - bu düşündüyünüzdən daha asandır! Bir soyuducu və layiqli bir mikro SD kart almağı unutmayın.

Addım 1: OS və Kabelləşmə

Armbian qurdum:

Ehtimal etdiyiniz kimi, seriya konsoluna daxil olmaq üçün USB TTL çeviricisini istifadə etdim, buna ehtiyac yox idi, standart şəbəkə konfiqurasiyası DHCP -ni qəbul edir.

Dönüştürücüyə verilən yeganə şərh - bir çox dərslərdə VCC bağlantısı təklif edilmir. Mənim üçün yalnız enerji təchizatı qoşulduqda işləmişdir (3.3V lövhədə yeganə kvadrat pindir). Və enerji təchizatı açılmadan əvvəl USB -yə qoşulmasaydı, çox qızacaqdı. Güman edirəm ki, R1 -də OPi Zero ilə uyğun pinout var, R1 sxemlərini tapmaqda çətinlik çəkirəm.

Armbian'ı yüklədikdən sonra kök şifrəsini və bəzi yeniləmə/təkmilləşdirmə materiallarını dəyişdikdən sonra iki interfeys tapdım ('ifconfig -a') - eth0 və enxc0742bfffc6e. Bunu yoxlayın, çünki indi onlara ehtiyacınız olacaq - ən zəhmli şey R1 -ni Ethernet körpüsünə çevirmək üçün yalnız/etc/network/interfeys faylını tənzimləməyinizdir. Armbian -ın interfeyslər də daxil olmaqla əvvəlcədən konfiqurasiya edilmiş fayl versiyaları ilə gəlməsi məni heyrətləndirdi.r1switch - bizə lazım olan kimi səslənir, amma işləmir.

Başqa bir vacib şey Ethernet portlarının düzgün müəyyən edilməsi idi - enxc0742bfffc6e seriyalı pinlərə yaxın olanı idi.

R1 -in İnternetlə əlaqəsini kəsməzdən əvvəl (tamam, bu daha yaxşı konfiqurasiya oluna bilərdi) bir şeyi quraşdırın:

sudo apt-get iptables-inadkar yükləyin

Addım 2:/etc/network/interfeyslər

Yerli şəbəkənizi eth0 -a dəyişdirsəniz, aşağıdakı interfeys faylına ehtiyacınız olacaq (həmişə sudo cp interfaces.default interfeysləri ilə orijinal versiyasına qayıda bilərsiniz; yenidən başladın):

avtomatik br0iface br0 inet təlimatı

körpü_portları eth0 enxc0742bfffc6e

körpü_stp söndürüldü

körpü_fd 0

körpü_maxxanı 0

körpü_maxajı 0

Addım 3: İptables

Yenidən başladıqdan sonra R1 şəbəkəyə şəffaf olmalı və kabel bağlayıcısı kimi işləməlidir. İndi pis adamlar üçün həyatı daha da çətinləşdirək - firewall qaydalarını konfiqurasiya edin (kəsilmiş xətlər şərhlərdir; şəbəkə ünvanlarını DHCP konfiqurasiyanıza uyğunlaşdırın!):

# hamısını yandırın və qapıları bağlayın

iptables -Fiptables -P INPUT DROP

iptables -P İLƏ DAMLA

iptables -Çıxış DROP

# ancaq daxili şəbəkənin çölə çıxmasına icazə verin

iptables -A INPUT -m physdev --physdev -bridged --physdev -in eth0 -s 192.168.10.0/24 -j ACCEPT

iptables -A İLƏ -m physdev -physdev -köprülü --physdev -in eth0 -s 192.168.10.0/24 -j QƏBUL ET

# DHCP -nin körpüdən keçməsinə icazə verin

iptables -A INPUT -i br0 -p udp --dport 67:68 --sport 67:68 -j QƏBUL ET

iptables -A FORWARD -i br0 -p udp --dport 67:68 --sport 67:68 -j QABUL ET

# bütün qurulmuş trafik yönləndirilməlidir

iptables -A İLƏ -M -keçid -ctstate ESTABLISHED, RELATED -j ACCEPT

# yalnız yerli brauzer üçün - darkstat kimi izləmə vasitələrinə giriş

iptables -A GİRİŞ -i lo -j Qəbul iptables -A Çıxış -o lo -j QƏBUL ET

#saxtakarlıq bloku

iptables -A FORWARD -m physdev --physdev -bridged --physdev -in enxc0742bfffc6e -s 192.168.10.0/24 -m limit -limit 5/min -j LOG --log -level 7 --log -prefix NETFİLTER

iptables -A İLƏ -m physdev -physdev -köprülü --physdev -in enxc0742bfffc6e -s 192.168.10.0/24 -j Rədd et

Addım 4: Son mülahizələr

Bir həftə sonra - mükəmməl işləyir. Düzəldəcəyim (və burada təqdim edəcəyim) yeganə şey şəbəkə monitorinqi və ssh vasitəsilə girişdir. Yenə deyirəm - interfeys faylını əlavə etdiyim məzmuna dəyişdirmək R1 cihazını IP şəbəkəsindən ayıracaq - yalnız serial işləyəcək.

6 iyun 2018: körpü etmək o qədər də çox iş deyil, amma R1 çox çox istilik yayır. Sadə bir soyuducu çox qızdırır - qəribədir və bəyənmirəm. Bəlkə də yaxşıdır, bəlkə də kiminsə pərəstişkarından başqa bir həlli var.

18 Avqust 2018: 'armbianmonitor -m' 38 Selsi göstərir ki, bu da mənim şəxsi anlayışımdan xeyli aşağıdır. Saatı bir qədər azaldanda əhəmiyyətli bir dəyişiklik (aşağı) hiss etdim:

echo 1000000>/sys/devices/system/cpu/cpu0/cpufreq/scaling_max_freq

BTW - Ev WLAN -a qoşulmağı bacardım, amma R1 DHCP vasitəsilə heç bir IP almadı, statik təyinat deoları da işləmir. Bu, serialdan başqa bir inzibati interfeysə sahib olmaq üçün ilk cəhdim idi. Başqa bir fikir, hələ də Ethernet limanlarından birinə təyin edilmiş bir IP -nin olmasıdır. Bir neçə aydan sonra buna qayıdacağam.