สะพานไฟร์วอลล์ด้วย OrangePi R1: 4 ขั้นตอน

2024 ผู้เขียน: John Day | [email protected]. แก้ไขล่าสุด: 2024-01-30 13:06

ฉันต้องซื้อ Orange Pi อีกเครื่องหนึ่ง:) นี่เป็นเพราะโทรศัพท์ SIP ของฉันเริ่มดังขึ้นตอนกลางดึกจากหมายเลขแปลก ๆ และผู้ให้บริการ VoIP ของฉันแนะนำว่าเป็นเพราะการสแกนพอร์ต อีกเหตุผลหนึ่ง - ฉันได้ยินมาว่าเราเตอร์ถูกแฮ็กบ่อยเกินไป และฉันมีเราเตอร์ที่ไม่ได้รับอนุญาตให้จัดการ (Altibox/นอร์เวย์) ฉันยังสงสัยว่าเกิดอะไรขึ้นในเครือข่ายในบ้านของฉัน ดังนั้นฉันจึงตัดสินใจตั้งค่าบริดจ์ไฟร์วอลล์ โปร่งใสสำหรับเครือข่ายภายในบ้าน TCP/IP ฉันทดสอบกับพีซีแล้วจึงตัดสินใจซื้อ OPi R1 - เสียงรบกวนน้อยลงและใช้พลังงานน้อยลง หากคุณมีเหตุผลของตัวเองที่จะมีฮาร์ดแวร์ไฟร์วอลล์ นั่นง่ายกว่าที่คุณคิด! อย่าลืมซื้อแผ่นระบายความร้อนและการ์ด micro SD ที่ดี

ขั้นตอนที่ 1: ระบบปฏิบัติการ & การเดินสาย

ฉันติดตั้ง Armbian แล้ว:

ตามที่คุณอาจสังเกตเห็นว่าฉันใช้ตัวแปลง USB TTL เพื่อเข้าถึงคอนโซลซีเรียล ซึ่งไม่จำเป็น การกำหนดค่าเครือข่ายเริ่มต้นจะถือว่า DHCP

ความคิดเห็นเดียวสำหรับตัวแปลง - ในบทช่วยสอนจำนวนมากไม่แนะนำให้เชื่อมต่อ VCC สำหรับฉันมันใช้งานได้เฉพาะเมื่อเชื่อมต่อแหล่งจ่ายไฟ (3.3V เป็นพินสี่เหลี่ยมเดียวบนบอร์ด) และจะร้อนเกินไปหากไม่ได้เชื่อมต่อกับ USB ก่อนเปิดแหล่งจ่ายไฟ ฉันเดาว่า R1 มีพินเอาต์ที่เข้ากันได้กับ OPi Zero ฉันมีปัญหาในการค้นหาแผนผัง R1

หลังจากบูท Armbian การเปลี่ยนรหัสผ่านรูทและการอัปเดต/อัปเกรดบางอย่างฉันพบสองอินเทอร์เฟซ ('ifconfig -a') - eth0 และ enxc0742bfffc6e ตรวจสอบเพราะว่าคุณต้องการตอนนี้ สิ่งที่ยอดเยี่ยมที่สุดคือการเปลี่ยน R1 ของคุณเป็นอีเทอร์เน็ตบริดจ์ คุณจะต้องปรับไฟล์ /etc/network/interfaces เท่านั้น ฉันประหลาดใจที่ Armbian มาพร้อมกับไฟล์บางเวอร์ชันที่กำหนดค่าไว้ล่วงหน้ารวมถึง interfaces.r1switch - ฟังดูเหมือนสิ่งที่เราต้องการ แต่มันใช้งานไม่ได้

สิ่งสำคัญอีกประการหนึ่งคือการระบุพอร์ตอีเทอร์เน็ตที่เหมาะสม - enxc0742bfffc6e เป็นพอร์ตที่อยู่ใกล้กับพินอนุกรม

ก่อนที่คุณจะทำให้ R1 ขาดการติดต่อกับอินเทอร์เน็ต (โอเค การกำหนดค่านี้น่าจะดีกว่า) เพียงแค่ติดตั้งสิ่งหนึ่ง:

sudo apt-get install iptables-persistent

ขั้นตอนที่ 2: /etc/network/interfaces

หากคุณเปลี่ยนเครือข่ายท้องถิ่นเป็น eth0 มากกว่าที่คุณต้องการไฟล์อินเทอร์เฟซต่อไปนี้ (คุณสามารถกลับไปใช้เวอร์ชัน orig ได้เสมอด้วยอินเทอร์เฟซ sudo cp interfaces.default; รีบูต):

อัตโนมัติ br0iface br0 inet คู่มือ

bridge_ports eth0 enxc0742bfffc6e

bridge_stp ปิด

สะพาน_fd 0

bridge_maxwait 0

bridge_maxage 0

ขั้นตอนที่ 3: Iptables

หลังจากรีบูต R1 ของคุณควรโปร่งใสต่อเครือข่ายและทำงานเหมือนขั้วต่อสายเคเบิล ตอนนี้ ให้เราทำให้ชีวิตยากขึ้นสำหรับผู้ร้ายที่นั่น - กำหนดค่ากฎไฟร์วอลล์ (บรรทัดที่แฮชคือความคิดเห็น ปรับที่อยู่เครือข่ายให้เป็นการกำหนดค่า DHCP ของคุณ!):

#แฟลชทุกบานแล้วปิดประตู

iptables -Fiptables -P INPUT DROP

iptables -P ไปข้างหน้า DROP

iptables -P OUTPUT DROP

#แต่ให้โครงข่ายภายในออกนอก

iptables -A INPUT -m physdev --physdev-is-bridged --physdev-in eth0 -s 192.168.10.0/24 -j ยอมรับ

iptables -A FORWARD -m physdev --physdev-is-bridged --physdev-in eth0 -s 192.168.10.0/24 -j ยอมรับ

#อนุญาตให้ DHCP ผ่านสะพาน

iptables -A INPUT -i br0 -p udp --dport 67:68 --sport 67:68 -j ACCEPT

iptables -A FORWARD -i br0 -p udp -dport 67:68 -sport 67:68 -j ACCEPT

# ควรส่งต่อการรับส่งข้อมูลที่กำหนดไว้ทั้งหมด

iptables -A FORWARD -m conntrack --ctstate ESTABLISHED, RELATED -j ACCEPT

# สำหรับเบราว์เซอร์ในพื้นที่ - เข้าถึงเครื่องมือตรวจสอบเช่น darkstat

iptables -A INPUT -i lo -j ยอมรับ iptables -A OUTPUT -o lo -j ยอมรับ

#ปิดกั้นการปลอมแปลง

iptables -A FORWARD -m physdev --physdev-is-bridged --physdev-in enxc0742bfffc6e -s 192.168.10.0/24 -m limit --limit 5/min -j LOG --log-level 7 --log-prefix NETFILTER

iptables -A FORWARD -m physdev --physdev-is-bridged --physdev-in enxc0742bfffc6e -s 192.168.10.0/24 -j REJECT

ขั้นตอนที่ 4: ข้อพิจารณาขั้นสุดท้าย

หลังจากผ่านไปหนึ่งสัปดาห์ - มันทำงานได้อย่างสมบูรณ์ สิ่งเดียวที่ฉันจะทำขึ้น (และส่งที่นี่) คือการตรวจสอบเครือข่ายและการเข้าถึงผ่าน ssh ฉันทำซ้ำ - การเปลี่ยนไฟล์อินเทอร์เฟซเป็นเนื้อหาที่ฉันแนบจะถอดอุปกรณ์ R1 ออกจากเครือข่าย IP - เฉพาะซีเรียลเท่านั้นที่ใช้งานได้

6 มิถุนายน 2018: การเชื่อมไม่ใช่งานที่ต้องทำมากนัก แต่ R1 ปล่อยความร้อนออกมามาก มากเกินไป ฮีตซิงก์ธรรมดาจะร้อนมาก - แปลก & ฉันไม่ชอบมัน บางทีมันอาจจะโอเค อาจมีใครบางคนมีวิธีแก้ปัญหาอื่นที่ไม่ใช่แฟน

18 ส.ค. 2018: 'armbianmonitor -m' แสดงอุณหภูมิ 38 องศาเซลเซียส ซึ่งต่ำกว่าการรับรู้ส่วนตัวของฉันมาก ฉันรู้สึกถึงการเปลี่ยนแปลงที่สำคัญ (ลดลง) เมื่อฉันลดนาฬิกาลงเล็กน้อย:

เสียงสะท้อน 1000000 > /sys/devices/system/cpu/cpu0/cpufreq/scaling_max_freq

BTW - ฉันจัดการเพื่อเชื่อมต่อกับ WLAN ที่บ้านของฉันแล้ว แต่ R1 ไม่ได้รับ IP ใด ๆ ผ่าน DHCP การกำหนดแบบคงที่ deos ไม่ทำงานเช่นกัน นั่นเป็นความพยายามครั้งแรกของฉันที่จะมีอินเทอร์เฟซการดูแลระบบ นอกเหนือจากอินเทอร์เฟซแบบอนุกรม อีกแนวคิดหนึ่งคือยังคงมี IP ที่กำหนดให้กับพอร์ตอีเธอร์เน็ตพอร์ตใดพอร์ตหนึ่ง ฉันจะกลับมาที่นี่ในอีกไม่กี่เดือน