חומת אש של גשר עם OrangePi R1: 4 שלבים

2024 מְחַבֵּר: John Day | [email protected]. שונה לאחרונה: 2024-01-30 09:16

הייתי צריך לקנות עוד אורנג 'פי:) זה היה בגלל שטלפון ה- SIP שלי התחיל לצלצל באמצע הלילה ממספרים מוזרים וספק ה- VoIP שלי הציע שזה נובע מסריקות יציאות. סיבה נוספת - שמעתי לעתים קרובות מדי על פריצת נתבים, ויש לי נתב שאסור לי לנהל (Altibox/נורבגיה). הייתי גם סקרן מה קורה ברשת הביתית שלי. אז החלטתי להקים חומת אש של גשר, שקופה לרשת הביתית TCP/IP. בדקתי את זה עם מחשב, ואז החלטתי לקנות OPi R1 - פחות רעש ופחות צריכת חשמל. אם יש לך סיבה משלך להיות חומת אש מסוג חומרה כזו - זה קל יותר משאתה חושב! אל תשכח לקנות גוף קירור וכרטיס מיקרו SD הגון.

שלב 1: מערכת הפעלה וכבלים

התקנתי את Armbian:

כפי שאולי שמתם לב השתמשתי בממיר TTL USB כדי לקבל גישה לקונסולה הטורית, מה שלא היה הכרחי, הגדרת ברירת המחדל של הרשת מניחה DHCP.

ההערה היחידה לממיר - בהדרכות רבות לא מוצע חיבור VCC. בשבילי זה עבד רק כשמחובר ספק כוח (3.3V הוא הסיכה המרובעת היחידה על הלוח). וזה עומד להתחמם יתר על המידה אם לא מחובר ל- USB לפני הפעלת ספק הכוח. אני מניח של- R1 יש pinout תואם ל- OPi Zero, יש לי בעיות במציאת סכמות R1.

לאחר אתחול ארמביאן, שינוי סיסמת שורש וכמה דברים לעדכון/שדרוג מצאתי שני ממשקים ('ifconfig -a') - eth0 ו- enxc0742bfffc6e. בדוק את זה כי תזדקק להם כעת - הדבר המדהים ביותר הוא שכדי להפוך את ה- R1 שלך לגשר אתרנט אתה רק צריך להתאים/etc/network/interfaces. נדהמתי מכך שארמביאן מגיעה עם כמה גרסאות שהוגדרו מראש של הקובץ כולל interfaces.r1switch - נשמע כמו מה שאנחנו צריכים אבל זה לא עובד.

דבר חשוב נוסף היה זיהוי נכון של יציאות אתרנט - enxc0742bfffc6e היה זה ליד פינים סדרתיים.

לפני שתגרום ל- R1 לאבד את הקשר עם האינטרנט (בסדר, אפשר היה להגדיר זאת טוב יותר) פשוט התקן דבר אחד:

sudo apt-get install iptables-persistent

שלב 2:/etc/network/interfaces

אם אתה מעביר את הרשת המקומית ל- eth0 מה שאתה צריך את קובץ הממשקים הבא (אתה תמיד יכול לחזור לגירסת orig עם ממשקי sudo cp interfaces.default; אתחול מחדש):

אוטומטי br0iface br0 inet ידני

bridge_ports eth0 enxc0742bfffc6e

bridge_stp כבוי

bridge_fd 0

bridge_maxwait 0

bridge_maxage 0

שלב 3: Iptables

לאחר אתחול ה- R1 שלך אמור להיות שקוף לרשת ולעבוד כמו מחבר כבלים. כעת, בואו נעשה את החיים קשים יותר עבור הרעים שם בחוץ - הגדר כללי חומות אש (שורות hashed הן הערות; התאם את כתובות הרשת לתצורת DHCP שלך!):

# הבזק הכל וסגור דלתות

iptables -Fiptables -P INPUT DROP

iptables -P הורדה קדימה

iptables -T OPPUT DROP

# אך אפשר לרשת הפנימית לצאת החוצה

iptables -A INPUT -m physdev --physdev -is -bridged --physdev -in eth0 -s 192.168.10.0/24 -j ACCEPT

iptables -A FORWARD -m physdev --physdev -is -bridged --physdev -in eth0 -s 192.168.10.0/24 -j ACCEPT

# אפשר DHCP לעבור דרך הגשר

iptables -A INPUT -i br0 -p udp --port 67:68 -ספורט 67:68 -j קבל

iptables -A FORWARD -i br0 -p udp --port 67:68 -ספורט 67:68 -j קבל

# יש להעביר את כל התעבורה המבוססת

iptables -A קדימה- m conntrack -המדינה הוקמה, קשורה -j קבלה

# רק לדפדפן מקומי - גישה לכלי ניטור כמו darkstat

iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT

#זיוף בלוקים

iptables -A FORWARD -m physdev --physdev -is -bridged --physdev -in enxc0742bfffc6e -s 192.168.10.0/24 -m limit -limit 5/min -j LOG -log -level 7 -log -prefix NETFILTER

iptables -A FORWARD -m physdev --physdev -is -bridged --physdev -in enxc0742bfffc6e -s 192.168.10.0/24 -j דחה

שלב 4: שיקולים אחרונים

אחרי שבוע - זה עובד בצורה מושלמת. הדבר היחיד שאמציא (ואשלח כאן) הוא ניטור רשת וגישה באמצעות ssh. אני חוזר - שינוי קובץ הממשקים לתוכן שצירפתי ינתק את מכשיר ה- R1 מרשת ה- IP - רק סדרתי יעבוד.

6 ביוני 2018: גישור הוא לא כל כך הרבה עבודה אבל R1 פולט הרבה חום, יותר מדי. גוף קירור פשוט מתחמם מאוד - מוזר ואני לא אוהב את זה. אולי זה בסדר, אולי למישהו יש פתרון חוץ ממאוורר.

18 באוגוסט 2018: 'armbianmonitor -m' מציג 38 צלזיוס, וזה הרבה מתחת לתפיסה האישית שלי. הרגשתי שינוי משמעותי (למטה) כשהורדתי מעט את השעון:

echo 1000000>/sys/devices/system/cpu/cpu0/cpufreq/scaling_max_freq

BTW - הצלחתי להתחבר לרשת ה- WLAN הביתית שלי אבל R1 לא קיבל שום IP באמצעות DHCP, וגם מערכת ההקצאה הסטטית לא עובדת. זה היה הניסיון הראשון שלי לקבל ממשק ניהולי, מלבד ממשק סידורי. רעיון נוסף הוא שעדיין תוקצה IP לאחת מיציאות ה- Ethernet. אני אחזור לזה בעוד כמה חודשים.