Tilta ugunsmūris ar OrangePi R1: 4 soļi

2024 Autors: John Day | [email protected]. Pēdējoreiz modificēts: 2024-01-30 10:56

Man bija jāpērk vēl viens Orange Pi:) Tas notika tāpēc, ka mans SIP tālrunis nakts vidū sāka zvanīt no dīvainiem numuriem, un mans VoIP pakalpojumu sniedzējs ierosināja, ka tas ir saistīts ar portu skenēšanu. Vēl viens iemesls - es pārāk bieži biju dzirdējis par maršrutētāju uzlaušanu, un man ir maršrutētājs, kuru man nav atļauts administrēt (Altibox/Norvēģija). Man arī bija interesanti, kas notiek manā mājas tīklā. Tāpēc es nolēmu izveidot tilta ugunsmūri, kas ir caurspīdīgs TCP/IP mājas tīklam. Es to pārbaudīju ar datoru, pēc tam nolēmu iegādāties OPi R1 - mazāk trokšņa un mazāks enerģijas patēriņš. Ja jums ir savs iemesls šāda aparatūras ugunsmūra izveidei - tas ir vieglāk, nekā jūs domājat! Neaizmirstiet iegādāties siltuma izlietni un pienācīgu micro SD karti.

1. darbība: OS un kabeļi

Es instalēju Armbian:

Kā jūs, iespējams, pamanījāt, es izmantoju USB TTL pārveidotāju, lai piekļūtu seriālajai konsolei, kas nebija nepieciešams, noklusējuma tīkla konfigurācija pieņem DHCP.

Vienīgais komentārs pārveidotājam - daudzās apmācībās nav ieteikts VCC savienojums. Man tas darbojās tikai tad, kad bija pievienots barošanas avots (3.3V ir vienīgā kvadrātveida tapa uz tāfeles). Un tas pārkarsīs, ja pirms barošanas avota ieslēgšanas tas nebūs pievienots USB. Es domāju, ka R1 ir pinout saderīgs ar OPi Zero, man ir problēmas atrast R1 shēmas.

Pēc Armbian palaišanas, saknes paroles maiņas un dažām atjaunināšanas/jaunināšanas lietām es atklāju divas saskarnes ('ifconfig -a') - eth0 un enxc0742bfffc6e. Pārbaudiet to, jo tie jums būs nepieciešami tūlīt - pats satriecošākais ir tas, ka, lai pārvērstu R1 par Ethernet tiltu, jums ir tikai jāpielāgo/etc/network/interfaces fails. Es biju pārsteigts, ka Armbian nāk ar dažām iepriekš konfigurētām faila versijām, ieskaitot saskarnes. R1switch - izklausās pēc tā, kas mums vajadzīgs, bet tas nedarbojas.

Vēl viena svarīga lieta bija pareiza Ethernet portu identifikācija - enxc0742bfffc6e bija tas, kas atradās blakus seriālajām tapām.

Pirms liekat R1 zaudēt kontaktu ar internetu (labi, to varēja konfigurēt labāk), vienkārši instalējiet vienu lietu:

sudo apt-get install iptables-persistent

2. darbība:/etc/network/interfaces

Ja pārslēdzat vietējo tīklu uz eth0, jums ir nepieciešams šāds saskarņu fails (jūs vienmēr varat atgriezties sākotnējā versijā, izmantojot sudo cp interfaces. Noklusējuma saskarnes; pārstartējiet):

auto br0iface br0 inet rokasgrāmata

bridge_ports eth0 enxc0742bfffc6e

bridge_stp off

tilts_fd 0

tilts_maxwait 0

tilts_maksa 0

3. darbība: Iptables

Pēc pārstartēšanas R1 tīklam jābūt caurspīdīgam un jādarbojas kā kabeļa savienotājam. Tagad apgrūtināsim slikto puišu dzīvi - konfigurējiet ugunsmūra noteikumus (jauktas līnijas ir komentāri; tīkla adreses pielāgojiet savai DHCP konfigurācijai!):

# mirgo visas un aizver durvis

iptables -Fiptables -P INPUT DROP

iptables -P FORWARD DROP

iptables -P OUTPUT DROP

# bet ļauj iekšējam tīklam iet ārā

iptables -A INPUT -m physdev -physdev -is -bridged -physdev -in eth0 -s 192.168.10.0/24 -j ACCEPT

iptables -A FORWARD -m physdev -physdev -is -bridged -physdev -in eth0 -s 192.168.10.0/24 -j ACCEPT

# ļaujiet DHCP iet caur tiltu

iptables -A INPUT -i br0 -p udp --port 67:68 -sport 67:68 -j ACCEPT

iptables -A FORWARD -i br0 -p udp --dport 67:68 --ports 67:68 -j ACCEPT

# jāpārsūta visa izveidotā satiksme

iptables -A FORWARD -m conntrack -valsts, kas izveidota, saistīta -j PIEKRĪT

# tikai vietējai pārlūkprogrammai - piekļuve uzraudzības rīkiem, piemēram, darkstat

iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT

#bloķēšana

iptables -A FORWARD -m physdev -physdev -is -bridge NETFILTER

iptables -A FORWARD -m physdev -physdev -is -bridged -physdev -in enxc0742bfffc6e -s 192.168.10.0/24 -j REJECT

4. darbība. Noslēguma apsvērumi

Pēc nedēļas - tas darbojas perfekti. Vienīgais, ko es izdomāšu (un iesniegšu šeit), ir tīkla uzraudzība un piekļuve caur ssh. Es atkārtoju - mainot saskarņu failu uz pievienoto saturu, R1 ierīce tiks atvienota no IP tīkla - darbosies tikai sērijas.

2018. gada 6. jūnijs: pāreja nav tik daudz darāmā, bet R1 izstaro daudz siltuma, pārāk daudz. Vienkārša siltuma izlietne kļūst ļoti karsta - dīvaini un man tas nepatīk. Varbūt tas ir labi, varbūt kādam ir cits risinājums, nevis ventilators.

2018. gada 18. augusts: “armbianmonitor -m” rāda 38 Celsija grādus, kas ir daudz zemāk par manu personīgo uztveri. Es jutu būtiskas izmaiņas (uz leju), kad nedaudz samazināju pulksteni:

echo 1000000>/sys/devices/system/cpu/cpu0/cpufreq/scaling_max_freq

BTW - Man ir izdevies izveidot savienojumu ar mājas WLAN, bet R1 nav saņēmis nevienu IP, izmantojot DHCP, nedarbojas arī statiskā piešķiršana. Tas bija mans pirmais mēģinājums izveidot administratīvu saskarni, izņemot sērijas. Vēl viena ideja ir tāda, ka kādam no Ethernet portiem joprojām ir jāpiešķir IP. Pēc dažiem mēnešiem es pie tā atgriezīšos.