OrangePi R1 менен Bridge Firewall: 4 кадам

2024 Автор: John Day | [email protected]. Акыркы өзгөртүү: 2024-01-30 10:41

Мен дагы бир Orange Pi сатып алышым керек эле:) Бул менин SIP телефонум түн ортосунда кызыктай номерлерден шыңгырай баштагандан жана менин VoIP провайдерим порт сканерлөөнүн айынан болгон. Дагы бир себеп - роутерлердин хакерлик чабуулга кабылганын мен көп укчумун жана менде башкарууга уруксат берилбеген роутер бар (Altibox/Норвегия). Мен дагы үй тармагымда эмне болуп жатканына кызыгып көрдүм. Ошентип, мен TCP/IP үй тармагына ачык болгон көпүрө-брандмауэр орнотууну чечтим. Мен аны PC менен сынап көрдүм, андан кийин OPi R1 сатып алууну чечтим - азыраак ызы -чуу жана аз энергия керектөө. Эгерде сизде мындай жабдыктын брандмауэрине ээ болуунун өз себеби болсо - бул сиз ойлогондон да оңой! Жылыткычты жана татыктуу микро SD картаны сатып алууну унутпаңыз.

1 -кадам: OS & Кабелдик

Мен Armbian орноттум:

Сиз байкагандай, мен USB TTL конвертерин сериялык консолго кирүү үчүн колдонгонмун, бирок бул зарыл эмес болчу, демейки тармак конфигурациясы DHCPге кирет.

Конвертерге бир гана комментарий - көптөгөн окуу куралдарында VCC байланышы сунушталбайт. Мен үчүн ал электр менен камсыздоо туташканда гана иштечү (3.3V тактадагы жалгыз чарчы пин). Жана электр менен камсыздоо күйгүзүлгөнгө чейин USB менен туташпаса, ал ысып кетмек. Менимче, R1дин pinout OPi Zero менен шайкеш келет, менде R1 схемаларын табууда кыйынчылыктар бар.

Armbian жүктөлгөндөн кийин, түпнуска сырсөзүн жана кээ бир жаңыртуу/жаңыртуу нерселерин өзгөртүп, мен эки интерфейсти таптым ('ifconfig -a') - eth0 жана enxc0742bfffc6e. Муну текшериңиз, анткени сиз аларга азыр керек болосуз - эң таң калыштуусу, R1'иңизди Ethernet көпүрөсүнө буруш үчүн/etc/network/interfaces файлын жөндөө гана керек. Армбиян интерфейстерди камтыган файлдын алдын ала конфигурацияланган версиялары менен келгенине таң калдым.

Дагы бир маанилүү нерсе Ethernet портторун туура аныктоо болду - enxc0742bfffc6e сериялык казыктарга жакын болчу.

R1ди Интернет менен байланышты үзүүдөн мурун (макул, бул жакшыраак конфигурацияланса болмок) бир нерсени орнотуңуз:

sudo apt-get iptables-туруктуу орнотуу

2 -кадам:/etc/network/interfaces

Эгер сиз жергиликтүү тармагыңызды eth0го которсоңуз, анда сизге төмөнкү интерфейстер файлы керек болот (ар дайым sudo cp interfaces.default интерфейстери менен оригиналдуу версиясына кайта аласыз; өчүрүп күйгүзүңүз):

auto br0iface br0 inet manual

bridge_ports eth0 enxc0742bfffc6e

bridge_stp өчүк

bridge_fd 0

bridge_maxwait 0

bridge_maxage 0

3 -кадам: Iptables

Кайра жүктөөдөн кийин R1 тармагыңыз үчүн ачык болушу керек жана кабелдик туташтыргыч сыяктуу иштеши керек. Эми келгиле, ал жердеги жаман адамдардын жашоосун татаалдаштыралы - брандмауэр эрежелерин конфигурациялаңыз (сызыктар комментарийлер; DHCP конфигурацияңызга тармак даректерин тууралаңыз!):

# бардыгын жарк эттирип, эшиктерди жабыңыз

iptables -Fiptables -P INPUT DROP

iptables -P FORWARD DROP

iptables -P OUTPUT DROP

# бирок ички тармактын сыртка чыгуусуна уруксат бериңиз

iptables -A INPUT -m physdev --physdev -is -bridged --physdev -in eth0 -s 192.168.10.0/24 -j ACCEPT

iptables -A FORWARD -m physdev --physdev -is -bridged --physdev -in eth0 -s 192.168.10.0/24 -j КАБЫЛ АЛУУ

# DHCPге көпүрөдөн өтүүгө уруксат бериңиз

iptables -A INPUT -i br0 -p udp --dport 67:68 --спорт 67:68 -j КАБЫЛ АЛУУ

iptables -A FORWARD -i br0 -p udp --dport 67:68 --sport 67:68 -j КАБЫЛ АЛУУ

# бардык белгиленген трафик жөнөтүлүшү керек

iptables -A FORWARD -m conntrack --ctstate ESTABLISHED, REELATED -j ACCEPT

# жөн гана жергиликтүү браузер үчүн - darkstat сыяктуу мониторинг куралдарына кирүү

iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT

#алдамчылыкка бөгөт коюу

iptables -A FORWARD -m physdev --physdev -is -bridged --physdev -in enxc0742bfffc6e -s 192.168.10.0/24 -m limit --limit 5/min -j LOG --log -level 7 --log -prefix NETFILTER

iptables -A FORWARD -m physdev --physdev -bridged --physdev -in enxc0742bfffc6e -s 192.168.10.0/24 -j REJECT

4 -кадам: Акыркы ойлор

Бир жумадан кийин - бул кемчиликсиз иштейт. Мен түзө турган жалгыз нерсе (жана бул жерде тапшырам) - бул тармак мониторинги жана ssh аркылуу кирүү. Кайталап айтам - интерфейстер файлын мен тиркеген мазмунга өзгөртүү R1 түзмөгүн IP тармагынан ажыратат - сериал гана иштейт.

6 -июнь 2018 -жыл: көпүрө жасоо анча деле көп жумуш эмес, бирок R1 өтө көп жылуулукту бөлүп чыгарат. Жөнөкөй жылыткыч абдан ысып кетет - кызык жана мага жакпайт. Балким, бул туура, балким кимдир бирөөнүн күйөрмандан башка чечими бардыр.

Август 18th 2018: 'armbianmonitor -m' 38 Цельсийди көрсөтөт, бул менин жеке кабыл алуумдан бир топ төмөн. Мен саатты бир аз кыскартканымда (ылдый) олуттуу өзгөрүүнү сездим:

echo 1000000>/sys/devices/system/cpu/cpu0/cpufreq/scaling_max_freq

BTW - Мен үй WLANга туташууга жетиштим, бирок R1 DHCP аркылуу эч кандай IP алган жок, статикалык дайындоо деосу да иштебейт. Бул менин административдик интерфейске ээ болууга болгон биринчи аракетим, сериялык интерфейсинен башка. Дагы бир идея дагы эле Ethernet портторунун бирине дайындалган IP болушу керек. Мен буга бир нече айдан кийин кайтып келем.