Bridge Firewall med OrangePi R1: 4 trin

2024 Forfatter: John Day | [email protected]. Sidst ændret: 2024-01-30 08:28

Jeg var nødt til at købe en anden Orange Pi:) Dette var fordi min SIP -telefon begyndte at ringe midt om natten fra mærkelige numre, og min VoIP -udbyder foreslog, at det skyldtes havnescanninger. En anden grund - jeg havde for ofte hørt om routere, der blev hacket, og jeg har en router, jeg ikke må administrere (Altibox/Norge). Jeg var også nysgerrig efter, hvad der foregik i mit hjemmenetværk. Så jeg besluttede at oprette en bridge-firewall, gennemsigtig for TCP/IP hjemmenetværk. Jeg testede det med en pc, så besluttede jeg at købe OPi R1 - mindre støj og mindre strømforbrug. Hvis du har din egen grund til at have sådan en hardware firewall - det er lettere end du tror! Glem ikke at købe en køleplade og et anstændigt micro SD -kort.

Trin 1: OS og kabelføring

Jeg installerede Armbian:

Som du måske har bemærket, brugte jeg USB TTL -konverter til at have adgang til seriel konsol, hvilket ikke var nødvendigt, standard netværkskonfigurationen forudsætter DHCP.

Den eneste kommentar til konverteren - i mange tutorials foreslås ingen VCC -forbindelse. For mig fungerede det kun, da strømforsyningen var tilsluttet (3,3V er den eneste firkantede pin på kortet). Og det ville blive overophedet, hvis det ikke blev tilsluttet USB, før strømforsyningen blev tændt. Jeg formoder, at R1 har pinout kompatibel med OPi Zero, jeg har problemer med at finde R1 -skemaer.

Efter opstart af Armbian, ændring af root -adgangskode og nogle opdaterings-/opgraderings ting fandt jeg to grænseflader ('ifconfig -a') - eth0 og enxc0742bfffc6e. Tjek det, fordi du får brug for dem nu - det mest fantastiske er, at du kun skal justere/etc/network/interfaces -fil for at vende din R1 til en Ethernet -bro. Jeg blev overrasket over, at Armbian kommer med nogle forudkonfigurerede versioner af filen, herunder interfaces.r1switch - lyder som det, vi har brug for, men det virker ikke.

En anden vigtig ting var korrekt identifikation af Ethernet -porte - enxc0742bfffc6e var den i nærheden af serielle ben.

Inden du får R1 til at miste kontakten med internettet (OK, dette kunne have været konfigureret bedre), skal du bare installere en ting:

sudo apt-get install iptables-persistent

Trin 2:/etc/network/interfaces

Hvis du skifter dit lokale netværk til eth0, end du har brug for følgende grænsefladefil (du kan altid vende tilbage til orig -versionen med sudo cp interfaces.default interfaces; genstart):

auto br0iface br0 inet manual

bridge_ports eth0 enxc0742bfffc6e

bridge_stp off

bridge_fd 0

bridge_maxwait 0

bridge_maxage 0

Trin 3: Iptables

Efter genstart skal din R1 være gennemsigtig for netværket og fungere som et kabelstik. Lad os nu gøre livet vanskeligere for de onde derude - konfigurer firewalls -regler (hashlinjer er kommentarer; juster netværksadresser til din DHCP -konfiguration!):

# flash alle og luk døre

iptables -Fiptables -P INPUT DROP

iptables -P FREMSÆT DROP

iptables -P OUTPUT DROP

# men lad det interne netværk gå udenfor

iptables -A INPUT -m physdev --physdev -is -bridged --physdev -in eth0 -s 192.168.10.0/24 -j ACCEPT

iptables -A FORWARD -m physdev --physdev -is -bridged --physdev -in eth0 -s 192.168.10.0/24 -j ACCEPT

# lad DHCP gå gennem broen

iptables -A INPUT -i br0 -p udp --port 67:68 -sport 67:68 -j ACCEPT

iptables -A FORWARD -i br0 -p udp --dport 67:68 --sport 67:68 -j ACCEPT

# al etableret trafik skal videresendes

iptables -A FREMT -m contrack --ctstate ESTABLISHED, RELATED -j ACCEPT

# kun til lokal browser - adgang til overvågningsværktøjer som darkstat

iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT

#blokforfalskning

iptables -A FORWARD -m physdev --physdev -is -bridged --physdev -in enxc0742bfffc6e -s 192.168.10.0/24 -m limit --limit 5/min -j LOG --log -level 7 --log -prefix NETFILTER

iptables -A FORWARD -m physdev --physdev -is -bridged --physdev -in enxc0742bfffc6e -s 192.168.10.0/24 -j AFVIS

Trin 4: Afsluttende overvejelser

Efter en uge - fungerer det perfekt. Det eneste, jeg vil finde på (og indsende her) er netværksovervågning og adgang via ssh. Jeg gentager - ændring af grænsefladefil til det indhold, jeg har vedhæftet, vil løsne R1 -enheden fra IP -netværk - kun seriel fungerer.

6. juni 2018: brobygning er ikke så meget arbejde, men R1 udsender meget varme, alt for meget. En simpel kølelegeme bliver meget varm - mærkeligt & jeg kan ikke lide det. Måske er det ok, måske har nogen en anden løsning end en fan.

18. august 2018: 'armbianmonitor -m' viser 38 Celsius, hvilket er langt under min personlige opfattelse. Jeg følte en betydelig ændring (ned), da jeg reducerede uret lidt:

echo 1000000>/sys/devices/system/cpu/cpu0/cpufreq/scaling_max_freq

BTW - Jeg har formået at oprette forbindelse til mit hjemlige WLAN, men R1 har ikke modtaget nogen IP via DHCP, statisk tildelingsdeos fungerer heller ikke. Det var mit første forsøg på at have en administrativ grænseflade, bortset fra en seriel. En anden idé er stadig at have en IP tildelt til en af ethernetporte. Jeg vender tilbage til dette om et par måneder.