Ura Firewall Me OrangePi R1: 4 hapa

2024 Autor: John Day | [email protected]. E modifikuara e fundit: 2024-01-30 12:24

Më duhej të blija një Orange Pi tjetër:) Kjo sepse telefoni im SIP filloi të binte në mes të natës nga numra të çuditshëm dhe ofruesi im VoIP sugjeroi që ishte për shkak të skanimeve të portit. Një arsye tjetër - kisha dëgjuar shumë shpesh për rrëzimin e ruterave dhe kam një ruter që nuk më lejohet ta administroj (Altibox/Norvegji). Isha gjithashtu kurioz se çfarë po ndodhte në rrjetin tim të shtëpisë. Kështu që vendosa të krijoj një urë urë, transparente për rrjetin shtëpiak TCP/IP. E testova me një kompjuter, pastaj vendosa të blija OPi R1 - më pak zhurmë dhe më pak konsum të energjisë. Nëse keni arsyen tuaj për të pasur një firewall të tillë harduerik - kjo është më e lehtë nga sa mendoni! Mos harroni të blini një lavaman dhe një kartë të mirë mikro SD.

Hapi 1: OS & Cabling

Unë instalova Armbian:

Siç e keni vënë re ndoshta kam përdorur konvertues USB TTL për të pasur qasje në tastierën seriale, e cila nuk ishte e nevojshme, konfigurimi i paracaktuar i rrjetit merr DHCP.

Komenti i vetëm për konvertuesin - në shumë mësime nuk sugjerohet asnjë lidhje VCC. Për mua ai funksionoi vetëm kur furnizimi me energji ishte i lidhur (3.3V është kunja e vetme katrore në bord). Dhe do të mbinxehej nëse nuk lidhej me USB para se të ndizte furnizimin me energji elektrike. Mendoj se R1 ka pinout të pajtueshëm me OPi Zero, kam probleme me gjetjen e skemave R1.

Pas fillimit të Armbian, ndryshimit të fjalëkalimit rrënjë dhe disa azhurnime/azhurnime, gjeta dy ndërfaqe ('ifconfig -a') - eth0 dhe enxc0742bfffc6e. Kontrolloni atë sepse do t'ju duhen tani - gjëja më e mrekullueshme është se për ta kthyer R1 tuaj në një urë Ethernet ju duhet vetëm të rregulloni skedarin/etc/network/interfaces. Unë u mahnita që Armbian vjen me disa versione të parakonfiguruara të skedarit duke përfshirë interfaces.r1switch - tingëllon si ajo që na nevojitet, por nuk funksionon.

Një gjë tjetër e rëndësishme ishte identifikimi i duhur i porteve Ethernet - enxc0742bfffc6e ishte ai pranë kunjave serikë.

Para se ta bëni R1 të humbasë kontaktin me Internetin (në rregull, kjo mund të ishte konfiguruar më mirë) thjesht instaloni një gjë:

sudo apt-get install iptables-persistent

Hapi 2:/etc/network/interfaces

Nëse e kaloni rrjetin tuaj lokal në eth0, atëherë keni nevojë për skedarin e mëposhtëm të ndërfaqeve (gjithmonë mund të ktheheni në versionin orig me sudo cp interfaces. Ndërfaqet e parazgjedhura; ristartoni):

manual auto br0iface br0 inet

urë_porte eth0 enxc0742bfffc6e

ura_stp fiket

urë_fd 0

urë_maxwait 0

urë_maksazh 0

Hapi 3: Iptables

Pas rindezjes, R1 juaj duhet të jetë transparent për rrjetin dhe të funksionojë si një lidhës kabllor. Tani le ta bëjmë jetën më të vështirë për të këqijtë atje - konfiguroni rregullat e mureve të zjarrit (linjat e ndërprera janë komente; rregulloni adresat e rrjetit në konfigurimin tuaj DHCP!):

# ndezni të gjitha dhe mbyllni dyert

iptables -Fiptables -P PIKA HYRJE

iptables -P PARA PARA

iptables -P HOTA E PARASURES

# por lejoni që rrjeti i brendshëm të dalë jashtë

iptables -A HYRJE -m physdev -physdev -është -urë -fysdev -në eth0 -s 192.168.10.0/24 -j Pranoj

iptables -A PWRPAR -m physdev -physdev -is -bridged --physdev -in eth0 -s 192.168.10.0/24 -j Pranoj

# lejo DHCP të kalojë nëpër urë

iptables -A INPUT -i br0 -p udp --dport 67:68 --sport 67:68 -j Pranoj

iptables -A PWRPAR -i br0 -p udp --dport 67:68 -sport 67:68 -j Pranoj

# i gjithë trafiku i vendosur duhet të përcillet

iptables -NJW PWRPAR -m conntrack --ststate E THEMELUAR, E LIDHUR -j Pranoj

# vetëm për shfletuesin lokal - qasje në mjetet e monitorimit si darkstat

iptables -A HYRJE -i ja -j Pranoj iptables -A OUTPUT -o ja -j Pranoj

mashtrim #bllok

iptables -A FORWARD -m physdev --physdev -is -bridged --physdev -in enxc0742bfffc6e -s 192.168.10.0/24 -m limit -limit 5/min -j LOG -log -level 7 --log -parashtesë NETFILTER

iptables -A PWRPAR -m physdev -physdev -is -bridged --physdev -in enxc0742bfffc6e -s 192.168.10.0/24 -j REFUZIM

Hapi 4: Konsideratat përfundimtare

Pas një jave - funksionon në mënyrë perfekte. E vetmja gjë që do të krijoj (dhe dorëzoj këtu) është monitorimi i rrjetit dhe qasja përmes ssh. E përsëris - ndryshimi i skedarit të ndërfaqeve në përmbajtjen që kam bashkangjitur do të shkëpusë pajisjen R1 nga rrjeti IP - vetëm seriali do të funksionojë.

6 qershor 2018: ura nuk është shumë punë për të bërë, por R1 lëshon shumë nxehtësi, shumë. Një lavaman i thjeshtë nxehet shumë - i çuditshëm dhe nuk më pëlqen. Ndoshta është në rregull, ndoshta dikush ka një zgjidhje tjetër përveç një tifoz.

18 gusht 2018: 'armbianmonitor -m' tregon 38 gradë Celsius, që është shumë nën perceptimin tim personal. Ndjeva një ndryshim të rëndësishëm (poshtë) kur pakësova pak orën:

echo 1000000>/sys/devices/system/cpu/cpu0/cpufreq/scaling_max_freq

BTW - Unë kam arritur të lidhem me WLAN -in e shtëpisë sime, por R1 nuk ka marrë asnjë IP përmes DHCP, as deoset e caktimit statik nuk funksionojnë. Kjo ishte përpjekja ime e parë për të pasur një ndërfaqe administrative, përveç asaj serike. Një ide tjetër është që të keni akoma një IP të caktuar në një nga portat e ethernet. Unë do të kthehem në këtë në disa muaj.