Преградете защитната стена с OrangePi R1: 4 стъпки

2024 Автор: John Day | [email protected]. Последно модифициран: 2024-01-30 07:53

Трябваше да си купя друг Orange Pi:) Това беше така, защото SIP телефонът ми започна да звъни посред нощ от странни номера и моят VoIP доставчик предложи това, което се дължи на сканиране на портове. Друга причина - чувал съм твърде често за рутери, които са хакнати и имам рутер, който нямам право да администрирам (Altibox/Норвегия). Също така ми беше любопитно какво се случва в домашната ми мрежа. Затова реших да настроя мост-защитна стена, прозрачна за домашната мрежа на TCP/IP. Тествах го с компютър, след което реших да купя OPi R1 - по -малко шум и по -ниска консумация на енергия. Ако имате собствена причина да имате такава хардуерна защитна стена - това е по -лесно, отколкото си мислите! Не забравяйте да закупите радиатор и прилична микро SD карта.

Стъпка 1: ОС и окабеляване

Инсталирах Armbian:

Както може би сте забелязали, използвах USB TTL конвертор за достъп до серийна конзола, което не беше необходимо, мрежовата конфигурация по подразбиране приема DHCP.

Единственият коментар към конвертора - в много уроци не се предлага VCC връзка. При мен работи само когато е свързано захранване (3.3V е единственият квадратен извод на платката). И щеше да прегрее, ако не е свързан с USB преди да се включи захранването. Предполагам, че R1 има разпечатка, съвместима с OPi Zero, имам проблеми с намирането на R1 схеми.

След зареждане на Armbian, смяна на root парола и някои неща за актуализация/надграждане намерих два интерфейса ('ifconfig -a') - eth0 и enxc0742bfffc6e. Проверете го, защото сега ще ви трябват - най -страхотното е, че за да превърнете вашия R1 в Ethernet мост, трябва само да настроите/etc/network/interfaces файл. Бях изненадан, че Armbian идва с някои предварително конфигурирани версии на файла, включително interfaces.r1switch - звучи като това, от което се нуждаем, но не работи.

Друго важно нещо беше правилната идентификация на Ethernet портове - enxc0742bfffc6e беше един в близост до серийни пинове.

Преди да накарате R1 да загуби контакт с интернет (добре, това можеше да бъде конфигурирано по -добре), просто инсталирайте едно:

sudo apt-get install iptables-persistent

Стъпка 2:/etc/network/interfaces

Ако превключите локалната си мрежа на eth0, тогава имате нужда от следния интерфейсен файл (винаги можете да се върнете към оригиналната версия с sudo cp интерфейси. Интерфейси по подразбиране; рестартирайте):

auto br0iface br0 inet ръководство

bridge_ports eth0 enxc0742bfffc6e

bridge_stp изключен

bridge_fd 0

bridge_maxwait 0

bridge_maxage 0

Стъпка 3: Iptables

След рестартиране вашият R1 трябва да е прозрачен за мрежата и да работи като кабелен конектор. Сега нека направим живота по -труден за лошите хора - конфигурирайте правилата за защитни стени (хешираните редове са коментари; коригирайте мрежовите адреси към вашата DHCP конфигурация!):

# мига всички и затваря врати

iptables -Fiptables -P INPUT DROP

iptables -P НАПРЕД

iptables -P ИЗХОД ДРОП

# но позволяват на вътрешната мрежа да излиза навън

iptables -A INPUT -m physdev --physdev -is -bridge -physdev -in eth0 -s 192.168.10.0/24 -j ACCEPT

iptables -A НАПРЕД НА -m physdev --physdev -е мостово --physdev -in eth0 -s 192.168.10.0/24 -j ПРИЕМАМ

# позволете на DHCP да премине през моста

iptables -A INPUT -i br0 -p udp --dport 67:68 --sport 67:68 -j ACCEPT

iptables -A НАПРЕД НА -i br0 -p udp --dport 67:68 --sport 67:68 -j ПРИЕМАМ

# целият установен трафик трябва да бъде препратен

iptables -A FORWARD -m conntrack --ctstate УСТАНОВЕН, СВЪРЗАН -j ACCEPT

# само за локален браузър - достъп до инструменти за наблюдение като darkstat

iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT

#блокиране на измама

iptables -A НАПРЕД НА -m physdev --physdev -е мостово --physdev -in enxc0742bfffc6e -s 192.168.10.0/24 -m ограничение -ограничение 5/min -j LOG -log -ниво 7 --log -префикс NETFILTER

iptables -A НАПРЕД -m physdev --physdev -е мостово --physdev -in enxc0742bfffc6e -s 192.168.10.0/24 -j ОТХВЪРЛЯНЕ

Стъпка 4: Последни съображения

След седмица - работи перфектно. Единственото нещо, което ще измисля (и изпратя тук), е мониторинг на мрежата и достъп чрез ssh. Повтарям - промяната на интерфейсния файл към съдържанието, което съм приложил, ще отдели устройството R1 от IP мрежата - само сериен ще работи.

6 юни 2018 г.: преодоляването не е толкова много работа, но R1 излъчва много топлина, твърде много. Един обикновен радиатор става много горещ - странно и не ми харесва. Може би е добре, може би някой има решение, различно от фен.

18 август 2018 г.: „armbianmonitor -m“показва 38 по Целзий, което е далеч под моето лично възприятие. Усетих значителна промяна (надолу), когато намалих малко часовника:

echo 1000000>/sys/devices/system/cpu/cpu0/cpufreq/scaling_max_freq

BTW - Успях да се свържа с домашната си WLAN, но R1 не е получила никакъв IP чрез DHCP, статичните дезодации също не работят. Това беше първият ми опит да имам административен интерфейс, различен от сериен. Друга идея е все още да има IP, присвоен на един от Ethernet портовете. Ще се върна към това след няколко месеца.