Bridge Firewall OrangePi R1- ով `4 քայլ

2024 Հեղինակ: John Day | [email protected]. Վերջին փոփոխված: 2024-01-30 09:49

Ես ստիպված էի գնել մեկ այլ Orange Pi:) Սա այն պատճառով, որ իմ SIP հեռախոսը սկսեց զանգել գիշերվա կեսին տարօրինակ թվերից, և իմ VoIP մատակարարը հուշեց, որ դա պայմանավորված է նավահանգստի սկանավորումներով: Մեկ այլ պատճառ. Ես շատ հաճախ էի լսել երթուղիչների կոտրման մասին, և ես ունեմ երթուղիչ, որը ինձ թույլ չեն տալիս կառավարել (Altibox/Նորվեգիա): Ինձ նաև հետաքրքիր էր, թե ինչ է կատարվում իմ տան ցանցում: Այսպիսով, ես որոշեցի ստեղծել կամուրջ-firewall, թափանցիկ TCP/IP տան ցանցին: Ես փորձարկեցի այն ԱՀ -ով, հետո որոշեցի գնել OPi R1 - ավելի քիչ աղմուկ և ավելի քիչ էներգիայի սպառում: Եթե դուք ունեք ձեր սեփական պատճառը `ունենալ նման ապարատային firewall - դա ավելի հեշտ է, քան կարծում եք: Մի մոռացեք գնել ջերմատաքացուցիչ և արժանապատիվ միկրո SD քարտ:

Քայլ 1: OS և միացում

Տեղադրեցի Armbian- ը ՝

Ինչպես երևի նկատել եք, ես օգտագործել եմ USB TTL կերպափոխիչ ՝ սերիական վահանակին մուտք ունենալու համար, որն անհրաժեշտ չէր, ցանցի լռելյայն կազմաձևը ենթադրում է DHCP:

Փոխարկիչի միակ մեկնաբանությունը. Շատ ձեռնարկներում VCC միացում չի առաջարկվում: Ինձ համար այն աշխատում էր միայն այն ժամանակ, երբ էլեկտրամատակարարումը միացված էր (3.3V- ը տախտակի միակ քառակուսի կապն է): Եվ այն պետք է գերտաքանա, եթե միացված չլիներ USB- ին ՝ նախքան հոսանքի աղբյուրը միացնելը: Ենթադրում եմ, որ R1- ը համատեղելի է OPi Zero- ի հետ, ես խնդիրներ ունեմ R1 սխեմաներ գտնելու հետ:

Armbian- ը գործարկելուց, արմատային գաղտնաբառի փոփոխությունից և որոշ թարմացում/թարմացումներից հետո ես գտա երկու ինտերֆեյս ('ifconfig -a') `eth0 և enxc0742bfffc6e: Ստուգեք այն, քանի որ դրանք ձեզ հիմա պետք կգան. Ամենազարմանալին այն է, որ ձեր R1- ը Ethernet կամրջի վերածելու համար անհրաժեշտ է միայն կարգավորել/etc/network/interfaces ֆայլը: Ես հիացած էի, որ Արմբիանը գալիս է ֆայլի որոշ նախապես կազմաձևված տարբերակներով, ներառյալ interfaces.r1switch - հնչում է այն, ինչ մեզ պետք է, բայց այն չի աշխատում:

Մեկ այլ կարևոր բան Ethernet նավահանգիստների ճիշտ նույնականացումն էր.

Նախքան R1- ը ինտերնետի հետ կապը կորցնելը (լավ, սա կարող էր ավելի լավ կազմաձևվել) պարզապես տեղադրեք մի բան.

sudo apt-get install iptables-persistent

Քայլ 2./etc/network/interfaces

Եթե ձեր տեղական ցանցը տեղափոխում եք eth0, ապա ձեզ անհրաժեշտ է հետևյալ միջերեսների ֆայլը (միշտ կարող եք վերադառնալ orig տարբերակին sudo cp interfaces.default interfaces; reboot):

auto br0iface br0 inet ձեռնարկ

Bridge_ports eth0 enxc0742bfffc6e

Bridge_stp- ն անջատված է

կամուրջ_ֆդ 0

Bridge_maxwait 0

կամուրջ_մաքսաժ 0

Քայլ 3: Iptables

Վերագործարկվելուց հետո ձեր R1- ը պետք է թափանցիկ լինի ցանցի համար և աշխատի մալուխային միակցիչի պես: Այժմ եկեք ավելի բարդացնենք այնտեղի վատ տղաների կյանքը. Կազմաձևեք firewalls- ի կանոնները (հեշ գծերը մեկնաբանություններ են. Ցանցի հասցեները հարմարեցրեք ձեր DHCP կոնֆիգուրացիային):

# բռնկեք բոլորը և փակեք դռները

iptables -Fiptables -P INPUT DROP

iptables -P FORWARD DROP

iptables -P Ելքի կաթիլ

# բայց թույլ տվեք ներքին ցանցին դուրս գալ դրսում

iptables -A INPUT -m physdev --physdev -is -bridged --physdev -in eth0 -s 192.168.10.0/24 -j ԸՆԴՈՆԵԼ

iptables -A FORWARD -m physdev --physdev -is -bridged --physdev -in eth0 -s 192.168.10.0/24 -j ԸՆԴՈՆԵԼ

# թույլ տվեք DHCP- ին անցնել կամրջով

iptables -A INPUT -i br0 -p udp --port 67:68 -սպորտ 67:68 -j ԸՆԴՈՆԵԼ

iptables -A FORWARD -i br0 -p udp --port 67:68 -սպորտ 67:68 -j ԸՆԴՈՆԵԼ

# բոլոր հաստատված երթևեկությունը պետք է փոխանցվի

iptables -A FORWARD -m conntrack --ctstate ՀԱՍՏԱՏՎԱ, ԿԱՊՎԱj- j ընդունում

# պարզապես տեղական զննարկչի համար. մուտք դեպի darkstat- ի նման մոնիտորինգի գործիքներ

iptables -A INPUT -i lo -j ԸՆԴՈՆԵԼ iptables -A Ելք -o lo -j ԸՆԴՈՆԵԼ

#բլոկի խաբեություն

iptables -A FORWARD -m physdev --physdev -is -bridged -physdev -in enxc0742bfffc6e -s 192.168.10.0/24 -m սահմանաչափ -սահման 5/րոպե -j LOG -լոգ -մակարդակ 7 -լոգ -նախածանց ETԱՆETԱՌՈ

iptables -A FORWARD -m physdev --physdev -is -bridged --physdev -in enxc0742bfffc6e -s 192.168.10.0/24 -j ՄԵՐJՈՄ

Քայլ 4: Վերջնական նկատառումներ

Մեկ շաբաթ անց `այն հիանալի է աշխատում: Միակ բանը, որ ես կկազմեմ (և կներկայացնեմ այստեղ), ցանցի մոնիտորինգ և մուտք է ssh- ի միջոցով: Կրկնում եմ `ինտերֆեյսերի ֆայլը իմ կցած բովանդակությանը փոխելը կհեռացնի R1 սարքը IP ցանցից. Միայն սերիալը կաշխատի:

Հունիս 6th 2018. Կամրջելը այնքան էլ աշխատանք չէ, բայց R1- ը շատ ջերմություն է արձակում, չափազանց շատ: Պարզ տաքացուցիչը շատ է տաքանում ՝ տարօրինակ և ինձ դուր չի գալիս: Միգուցե ամեն ինչ կարգին է, գուցե ինչ -որ մեկն այլ լուծում ունի, քան երկրպագուն:

Օգոստոս 18, 2018. Ես զգալի փոփոխություն զգացի (ներքև), երբ մի փոքր կրճատեցի ժամացույցը.

echo 1000000>/sys/devices/system/cpu/cpu0/cpufreq/scaling_max_freq

BTW - Ինձ հաջողվել է միանալ իմ տան WLAN- ին, սակայն R1- ը DHCP- ով որևէ IP չի ստացել, ստատիկ առաջադրանքի դեոները նույնպես չեն գործում: Դա իմ առաջին փորձն էր ունենալ վարչական միջերես, բացի սերիականից: Մեկ այլ գաղափար այն է, որ դեռ պետք է IP- ն նշանակվի ethernet նավահանգիստներից մեկին: Ես դրան կվերադառնամ մի քանի ամսից: