Bridge -brannmur med OrangePi R1: 4 trinn

2024 Forfatter: John Day | [email protected]. Sist endret: 2024-01-30 11:24

Jeg måtte kjøpe en annen Orange Pi:) Dette var fordi SIP -telefonen begynte å ringe midt på natten fra merkelige tall, og VoIP -leverandøren min foreslo at dette skyldtes portskanninger. En annen grunn - jeg hadde hørt for ofte om rutere som ble hacket, og jeg har en ruter jeg ikke har lov til å administrere (Altibox/Norge). Jeg var også nysgjerrig på hva som foregikk i hjemmenettverket mitt. Så jeg bestemte meg for å sette opp en bro-brannmur, gjennomsiktig for TCP/IP hjemmenettverk. Jeg testet den med en PC, så bestemte jeg meg for å kjøpe OPi R1 - mindre støy og mindre strømforbruk. Hvis du har din egen grunn til å ha en slik maskinvare -brannmur - er det enklere enn du tror! Ikke glem å kjøpe en kjøleribbe og et anstendig micro SD -kort.

Trinn 1: OS og kabling

Jeg installerte Armbian:

Som du kanskje har lagt merke til brukte jeg USB TTL -omformer for å ha tilgang til seriell konsoll, noe som ikke var nødvendig, forutsetter standard nettverkskonfigurasjon DHCP.

Den eneste kommentaren til omformeren - i mange opplæringsprogrammer foreslås ingen VCC -tilkobling. For meg fungerte det bare når strømforsyningen var tilkoblet (3,3V er den eneste firkantpinnen på tavlen). Og det skulle overopphetes hvis det ikke ble koblet til USB før strømforsyningen ble slått på. Jeg antar at R1 har pinout -kompatibel med OPi Zero, jeg har problemer med å finne R1 -skjemaer.

Etter oppstart av Armbian, endring av rotpassord og noen oppdaterings-/oppgraderingsfunn fant jeg to grensesnitt ('ifconfig -a') - eth0 og enxc0742bfffc6e. Sjekk det fordi du trenger dem nå - det mest fantastiske er at for å gjøre R1 til en Ethernet -bro trenger du bare å justere/etc/network/interfaces -filen. Jeg ble overrasket over at Armbian kommer med noen forhåndskonfigurerte versjoner av filen, inkludert interfaces.r1switch - høres ut som det vi trenger, men det fungerer ikke.

En annen viktig ting var riktig identifisering av Ethernet -porter - enxc0742bfffc6e var den i nærheten av serielle pinner.

Før du får R1 til å miste kontakten med Internett (OK, dette kunne ha blitt konfigurert bedre) bare installer en ting:

sudo apt-get install iptables-persistent

Trinn 2:/etc/network/interfaces

Hvis du bytter ditt lokale nettverk til eth0 enn du trenger følgende grensesnittfil (du kan alltid komme tilbake til orig -versjonen med sudo cp interfaces.default grensesnitt; start på nytt):

auto br0iface br0 inet manual

bridge_ports eth0 enxc0742bfffc6e

bridge_stp av

bridge_fd 0

bridge_maxwait 0

bridge_maxage 0

Trinn 3: Iptables

Etter omstart bør R1 være gjennomsiktig for nettverket og fungere som en kabelkontakt. La oss gjøre livet vanskeligere for skurkene der ute - konfigurer brannmurregler (hashed -linjer er kommentarer; juster nettverksadresser til DHCP -konfigurasjonen din!):

# blits alt og lukk dører

iptables -Fiptables -P INPUT DROP

iptables -P FREMSLÅ DROP

iptables -P OUTPUT DROP

# men la det interne nettverket gå utenfor

iptables -A INPUT -m physdev --physdev -is -bridged --physdev -in eth0 -s 192.168.10.0/24 -j ACCEPT

iptables -A FORWARD -m physdev --physdev -is -bridged --physdev -in eth0 -s 192.168.10.0/24 -j ACCEPT

# la DHCP gå gjennom broen

iptables -A INNGANG -i br0 -p udp --port 67:68 -sport 67:68 -j GODTAK

iptables -A FORWARD -i br0 -p udp --dport 67:68 -sport 67:68 -j GODTAK

# all etablert trafikk bør videresendes

iptables -A FREMT -m contrack --ctstate ESTABLISHED, RELATED -j ACCEPT

# bare for lokal nettleser - tilgang til overvåkingsverktøy som darkstat

iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT

#blokkering

iptables -A FORWARD -m physdev --physdev -is -bridged --physdev -in enxc0742bfffc6e -s 192.168.10.0/24 -m limit --limit 5/min -j LOG --logg -nivå 7 --log -prefiks NETFILTER

iptables -A FORWARD -m physdev --physdev -is -bridged --physdev -in enxc0742bfffc6e -s 192.168.10.0/24 -j AVVIS

Trinn 4: Avsluttende betraktninger

Etter en uke - fungerer det perfekt. Det eneste jeg vil gjøre opp (og sende inn her) er nettverksovervåking og tilgang via ssh. Jeg gjentar - endring av grensesnittfil til innholdet jeg har vedlagt, vil koble R1 -enheten fra IP -nettverket - bare seriell fungerer.

6. juni 2018: bro er ikke så mye arbeid å gjøre, men R1 avgir mye varme, altfor mye. En enkel kjøleribbe blir veldig varm - merkelig og jeg liker det ikke. Kanskje det er ok, kanskje noen har en annen løsning enn en vifte.

18. august 2018: 'armbianmonitor -m' viser 38 Celsius, som er langt under min personlige oppfatning. Jeg følte en betydelig endring (ned) da jeg reduserte klokken litt:

echo 1000000>/sys/devices/system/cpu/cpu0/cpufreq/scaling_max_freq

BTW - Jeg har klart å koble til mitt hjemlige WLAN, men R1 har ikke mottatt noen IP via DHCP, statisk tildelingsdeos fungerer heller ikke. Det var mitt første forsøk på å ha et administrativt grensesnitt, annet enn et serielt. En annen idé er å fortsatt ha en IP tilordnet en av ethernet -portene. Jeg kommer tilbake til dette om noen måneder.