Sillan palomuuri OrangePi R1: 4 askelta

2024 Kirjoittaja: John Day | [email protected]. Viimeksi muokattu: 2024-01-30 09:02

Minun piti ostaa toinen Orange Pi:) Tämä johtui siitä, että SIP -puhelimeni alkoi soida keskellä yötä outoista numeroista ja VoIP -palveluntarjoajani ehdotti, että se johtui porttiskannauksista. Toinen syy - olin kuullut liian usein reitittimien hakkeroinnista, ja minulla on reititin, jota en saa hallita (Altibox/Norja). Olin myös utelias, mitä kotiverkossani tapahtui. Joten päätin perustaa silta-palomuurin, joka on läpinäkyvä TCP/IP-kotiverkolle. Testasin sen PC: llä, ja sitten päätin ostaa OPi R1: n - vähemmän melua ja vähemmän virrankulutusta. Jos sinulla on oma syy saada tällainen laitteistopalomuuri - se on helpompaa kuin luulet! Älä unohda ostaa jäähdytyselementtiä ja kunnollista micro SD -korttia.

Vaihe 1: Käyttöjärjestelmä ja kaapelointi

Asensin Armbianin:

Kuten olet ehkä huomannut, käytin USB TTL -muunninta päästäkseni sarjakonsoliin, mikä ei ollut välttämätöntä, oletusverkkomääritykset olettavat DHCP: tä.

Ainoa kommentti muuntimelle - monissa opetusohjelmissa ei ehdoteta VCC -yhteyttä. Minulle se toimi vain, kun virtalähde oli kytketty (3,3 V on ainoa neliön pin ulos piirilevyssä). Ja se ylikuumeni, jos sitä ei liitetty USB: hen ennen virtalähteen kytkemistä. Luulen, että R1: llä on pinout yhteensopiva OPi Zeron kanssa, minulla on vaikeuksia löytää R1 -kaavioita.

Käynnistettyäni Armbianin, vaihtanut pääsalasanan ja joitakin päivitys-/päivitystietoja löysin kaksi käyttöliittymää ('ifconfig -a') - eth0 ja enxc0742bfffc6e. Tarkista se, koska tarvitset niitä nyt - mahtavinta on, että R1: n muuttaminen Ethernet -siltaksi tarvitsee vain säätää/etc/network/interfaces -tiedostoa. Olin hämmästynyt siitä, että Armbianin mukana tulee joitakin ennalta määritettyjä versioita tiedostosta, mukaan lukien rajapinnat. R1switch - kuulostaa siltä, mitä tarvitsemme, mutta se ei toimi.

Toinen tärkeä asia oli Ethernet -porttien oikea tunnistaminen - enxc0742bfffc6e oli lähellä sarjaliittimiä.

Ennen kuin saat R1: n menettämään yhteyden Internetiin (OK, tämä olisi voitu konfiguroida paremmin), asenna yksi asia:

sudo apt-get install iptables-persistent

Vaihe 2:/etc/network/interfaces

Jos vaihdat lähiverkkoasetukseksi eth0, tarvitset seuraavan rajapintatiedoston (voit aina palata alkuperäiseen versioon sudo cp interfaces.default interfaces; käynnistä uudelleen):

auto br0iface br0 inet käsikirja

bridge_ports eth0 enxc0742bfffc6e

bridge_stp pois päältä

bridge_fd 0

bridge_maxwait 0

bridge_maxage 0

Vaihe 3: Iptables

Uudelleenkäynnistyksen jälkeen R1: n pitäisi olla läpinäkyvä verkolle ja toimia kuten kaapeliliitin. Tehkäämme nyt vaikeammaksi pahojen ihmisten elämä - määritä palomuurisäännöt (tiivistetyt rivit ovat kommentteja; säädä verkko -osoitteet DHCP -määrityksesi mukaan!):

# väläytä kaikki ja sulje ovet

iptables -Fiptables -P INPUT DROP

iptables -P FORWARD DROP

iptables -P OUTPUT DROP

# mutta anna sisäisen verkon mennä ulos

iptables -A INPUT -m physdev --physdev -is -bridged --physdev -in eth0 -s 192.168.10.0/24 -j HYVÄKSY

iptables -A FORWARD -m physdev --physdev -is -bridged --physdev -in eth0 -s 192.168.10.0/24 -j HYVÄKSY

# anna DHCP: n mennä sillan läpi

iptables -A INPUT -i br0 -p udp --portti 67:68 --urheilu 67:68 -j HYVÄKSY

iptables -A FORWARD -i br0 -p udp --portti 67:68 --urheilu 67:68 -j HYVÄKSY

# kaikki vakiintunut liikenne tulee välittää eteenpäin

iptables -A FORWARD -m conntrack -valtio PERUSTETTU, LIITTYVÄ -j HYVÄKSY

# vain paikalliselle selaimelle - pääsy valvontatyökaluihin, kuten darkstat

iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT

#estohuijaus

iptables -A FORWARD -m physdev --physdev -is -bridge NETFILTER

iptables -A FORWARD -m physdev --physdev -is -bridged --physdev -in enxc0742bfffc6e -s 192.168.10.0/24 -j REJECT

Vaihe 4: Viimeiset näkökohdat

Viikon kuluttua - se toimii täydellisesti. Ainoa mitä teen (ja lähetän tänne) on verkon valvonta ja pääsy ssh: n kautta. Toistan - liitäntätiedoston muuttaminen liittämääni sisältöön irrottaa R1 -laitteen IP -verkosta - vain sarja toimii.

6. kesäkuuta 2018: siltaaminen ei ole niin paljon työtä, mutta R1 lähettää paljon lämpöä, aivan liikaa. Yksinkertainen jäähdytyselementti kuumenee hyvin - outoa ja en pidä siitä. Ehkä se on ok, ehkä jollain on jokin muu ratkaisu kuin tuuletin.

18. elokuuta 2018: 'armbianmonitor -m' näyttää 38 celsiusastetta, mikä on paljon alle henkilökohtaisen käsitykseni. Tunsin merkittävän muutoksen (alas), kun pienensin kelloa hieman:

echo 1000000>/sys/devices/system/cpu/cpu0/cpufreq/scaling_max_freq

BTW - Olen onnistunut muodostamaan yhteyden kotini WLAN -verkkoon, mutta R1 ei ole saanut IP -osoitetta DHCP: n kautta. Tämä oli ensimmäinen yritykseni saada muu kuin sarjaliikenne. Toinen idea on, että jollekin ethernet -portille on edelleen määritetty IP -osoite. Palaan tähän muutaman kuukauden kuluttua.