Raspberry Pi4 Firewall: 12 مرحله

2024 نویسنده: John Day | [email protected]. آخرین اصلاح شده: 2024-01-30 08:54

با انتشار Raspbery Pi 4 (RPi4) جدید ، تصمیم گرفتم خودم را به یک فایروال خانگی تبدیل کنم. پس از سرگردان شدن در اینترنت ، یک مقاله عالی در این زمینه توسط گیوم کادوش (https://networkfilter.blogspot.com/2012/08/building-your-piwall-gateway-firewall.html) پیدا کردم. مقاله شگفت انگیز است ، و شما باید آن را قبل از ادامه مطلب بخوانید-این روند شرح داده شده در اینجا را آسان تر می کند. نکته این است که آن مقاله در سال 2012 نوشته شده است و بر اساس توزیع ArchLinux است. هیچ چیزی در مقابل ArchLinux وجود ندارد ، اما من می خواستم این را با استفاده از معمول ترین رسپبیان بسازم. RPi4 می تواند الزامات پردازش را انجام دهد. بنابراین ، متشکرم ، گیوم ، برای الهام بخش !! این دستورالعمل به پست اصلی گیوم (به اختصار "GK") اشاره می کند ، احتمالاً می خواهید هر دو صفحه در مرورگر شما باز باشد.

چند نکته مهم در مورد فایروال من:

• من جک داخلی (eth0) داخلی دارم که به LAN می رود
• روتر ISP روی آداپتور TRENDnet (eth1) قرار دارد
• من به طور فعال آداپتور بی سیم را غیرفعال کرده ام (wlan0)
• این تضمین نمی شود که شما را 100 there به آنجا برساند … امیدوارم حداقل 99:):) بنابراین لطفاً نظرات/نظرات خود را ارائه دهید
• این اولین دستورالعمل من است. متأسفیم برای هر چیزی که از هنجارهای مناسب دستورالعمل پیروی نمی کند.

حالا بیایید کمی تفریح کنیم…

تدارکات

• تمشک پای 4

  • من از نسخه 4 گیگابایتی استفاده کردم ، با خیال راحت نسخه دیگری را امتحان کنید
  • مورد (من FLIRC را دوست دارم ، اما تماس شماست)
  • آداپتور برق
• کارت MicroSD ، 32 گیگابایت یا بیشتر (من از کارت 64 گیگابایتی استفاده کردم)
• دانگل TRENDnet USB3.0 گیگابیت اترنت (مدل: TU3-ETG)
• چند کابل شبکه RJ45
• صفحه کلید و موس USB
• کابل Micro-HDMI به HDMI (که به مانیتور HDMI متصل است)

هنگامی که قادر به راه اندازی SSH و VNC هستید ، صفحه کلید ، ویدئو و ماوس می توانند حذف شوند.

مرحله 1: راه اندازی اولیه RPi

اولین کاری که باید انجام دهید این است که RPi4 خود را به عنوان یک سیستم جدید راه اندازی کنید. توزیع کامل Raspbian (Raspbian Buster با نرم افزار رومیزی و توصیه شده) را بارگیری و نصب کنید. شما باید چند بار راه اندازی مجدد کنید تا بتواند گسترش یابد و از کارت MicroSD کامل استفاده کند.

هنگام بوت شدن ، باید به س questionsالات مربوط به محل ، شبکه ، صفحه کلید و ماوس پاسخ دهید. به شبکه متصل شوید و اجازه دهید به روز شود.

همچنین اجازه می دهیم تا همه چیز به درستی به روز شود و چند ابزار مفید دریافت کنید که بعداً به اشکال زدایی کمک می کند:

$ sudo apt-get update

$ sudo apt-get dist-upgrade $ sudo apt-get install htop $ sudo apt-get install tcpdump

نه vim را نصب کردم ، نه هیچ یک از مراحل GK 8 (پیکربندی vim). من فقط از ویرایشگر vi استفاده کردم زیرا به هر حال اکثر این ویژگی ها را دارد. این همچنین باعث صرفه جویی در وقت و تلاش می شود.

پس از اتمام کار ، اجازه دهید RPi4 را طوری تنظیم کنیم که بتوانیم مانیتور را داغ وصل کنیم. هدف من این بود که آن را بدون سر و صدا اجرا کنم ، اما اگر من نیاز به اتصال یک مانیتور داشته باشم ، تشخیص داده می شود.

$ sudo vi /boot/config.txt

در آن فایل:

اظهارنظر (حذف نماد # #جلو): hdmi_force_hotplug = 1

اظهار نظر: hdmi_drive = 2

به صورت اختیاری ، اضافه کنید: enable_hdmi_sound

مرحله 2: شبکه سازی

اگر سایت GK را دنبال می کنید ، این مرحله 3 است. اما به خاطر داشته باشید ، من بسیاری از اولین مراحل او را به ترتیب دقیق دنبال نکردم.

هنگامی که برای اولین بار این کار را شروع کردم ، RPi را مستقیماً به روتر ISP خود وصل کردم ("در کنار شبکه موجود من"). این به من اجازه داد تا بدون تأثیر بر شبکه با پیکربندی بازی کنم. RPi4 داخلی RJ45 را به روتر خود وصل کنید (یا در صورت تمایل بی سیم). با Raspbian ، ساده ترین راه برای انجام این کار استفاده از GUI است. از روی میز کار ، روی نماد تمشک> تنظیمات برگزیده> پیکربندی رزبری پای کلیک کنید. حتما SSH و VNC را فعال کنید. با این کار کلاینت سرور Real-VNC نصب می شود. من دریافتم که اگر سعی کنید با سرویس گیرنده Tight VNC ارتباط برقرار کنید ، این حالت مناسب است و به پیکربندی بیشتری نیاز دارد. بنابراین ، در این مرحله کلاینت Real-VNC را بر روی دسکتاپ/لپ تاپ اصلی خود (نه RPi4 خود) نصب کنید.

SSH خارج از جعبه کار نمی کند (مرحله 7 GK). ما باید برخی از تنظیمات را تغییر دهیم. ابتدا ، اجازه دهید فایل پیکربندی ssh را تغییر دهیم. در اینجا تغییراتی که ایجاد کردم آمده است. به خاطر داشته باشید که من تأثیر هر تغییری را در اینجا مطالعه نکرده ام. من آنچه را که سایت GK پیشنهاد کرده بود انجام دادم. برخی از این تغییرات ممکن است لازم نباشد.

$ sudo vi/etc/ssh/sshd_config

در آن فایل ، خطوط زیر را کامنت نکنید:

HostKey/etc/ssh/ssh_host_rsa_keyHostKey/etc/ssh/ssh_host_ecdsa_keySyslogFacility AUTHLogLevel INFOStrictModes yesPubkeyAuthentication yesHostBasedAuthentication no

Rhosts را نادیده بگیرید بله

PrintMotd noPrintLastLog yesTCPKeepAlive بله

و خطوط زیر را اضافه کنید:

پروتکل 2UsePrivilegeSeparation بله KeyRegenerationInterval 3600ServerKeyBits 768RSA احراز هویت بله Rhosts RSA احراز هویت شماره

و خطوط زیر را اصلاح کنید:

پورت 15507 LoginGraceTime 60PermitRoot شماره ورود

بیایید سریع در مورد اولین اصلاح صحبت کنیم … پورت 15507. SSH معمولاً روی پورت 22 اجرا می شود. GK آن را به 15507 منتقل کرد-نمی دانم چرا. شما می توانید به هر طریقی آن را تغییر دهید یا ندهید … اگر می خواهید آن را تغییر دهید ، باید "-p 15507" را به هر دستور SSH که می خواهید با آن ارتباط برقرار کنید ، اضافه کنید. اگر تصمیم دارید آن را رد کنید ، مراقب مکانهای دیگری باشید که 15507 در این دستورالعمل ذکر شده است و آنها را نادیده بگیرید ، به ویژه قوانین فایروال!

در نهایت برای این مرحله ، اجازه دهید آدرس IP RPi4 را دریافت کنیم تا بدانیم به چه چیزی متصل شویم:

$ ipconfig -a

اتصال شبکه فعال (احتمالاً در eth0 یا wlan0) را پیدا کرده و آن آدرس IP را بنویسید. اکنون آنچه برای اتصال از راه دور به RPi4 نیاز دارید را در اختیار دارید. بیایید قبل از ادامه راه اندازی مجدد کنیم:

راه اندازی مجدد $ sudo

مرحله 3: یک کاربر دیگر

بهتر است از نام کاربری پیش فرض RPi (pi) استفاده نکنید ، و مطمئناً باید رمز عبور را تغییر دهید. برای ایمن بودن ، اجازه دهید یک حساب کاربری دیگر اضافه کنید که می توانید از راه دور از آن استفاده کنید و به آن ادامه دهید (مرحله 6 GK). با بازگشت به RPi ، اجازه دهید یک کاربر جدید اضافه کرده و مجوزهایی را برای کاربر به SSH تنظیم کرده و دستور sudo را صادر کنید:

$ sudo useradd -m -g users -G sudo، netdev -s /bin /bash [USERNAME]

$ sudo passwd [USERNAME]

با خیال راحت از سیستم خارج شوید یا راه اندازی مجدد کنید و از حساب جدید ایجاد شده در آینده استفاده کنید.

مرحله 4: فایل Syctl

مرحله بعدی اصلاح فایل /etc/sysctl.conf (مرحله 9 GK) است. از این فایل برای تغییر چند تنظیمات هسته استفاده می شود. ما دقیقاً همان کاری را انجام می دهیم که GK می گوید. در اینجا مجموعه ای از مراحل ساده شده است.

$ sudo vi /etc/sysctl.conf

در آن فایل ، خطوط زیر را کامنت نکنید:

net.ipv4.conf.default.rp_filter = 1net.ipv4.conf.all.rp_filter = 1net.ipv4.tcp_syncookies = 1

net.ipv4.ip_forward = 1

net.ipv4.conf.all.accept_redirects = 0net.ipv4.conf.all.send_redirects = 0net.ipv4.conf.all.accept_source_route = 0net.ipv4.conf.all.log_martians = 1

و خطوط زیر را اضافه کنید:

net.ipv4.icmp_echo_ignore_broadcasts = 1net.ipv4.icmp_ignore_bogus_error_responses = 1net.ipv4.conf.eth0.accept_redirects = 0vm.min_free_kbytes = 8192

با این تنظیمات جدید سرویس را راه اندازی مجدد کرده و راه اندازی مجدد کنید:

$ sudo sysctl -p

راه اندازی مجدد $ sudo

مرحله 5: DHCP و DNS (قسمت 1)

برای من ، دو قسمت دردناک در این فرایند وجود داشت … راه اندازی DHCP و DNS و تنظیم قوانین فایروال. بنابراین ، در اینجا به قسمت اول می پردازیم. اگر سایت GK را دنبال می کنید ، ما در مرحله 10 هستیم.

برای انجام این کار ، به چند قطعه اطلاعات از روتر ISP خود (یا دیوار آتش فعلی) نیاز دارید:

• آدرس IP داخلی روتر
• یک آدرس IP که می توانید برای رابط RPi4 به روتر استفاده کنید
• IP های سرور نام (یا دو)
• نام رابط اتصال LAN (به عنوان مثال ، eth0 یا eth1)
• نام رابط اتصال ISP (به عنوان مثال ، هر چیزی که برای LAN استفاده نکرده اید)

همچنین ممکن است لازم باشد تنظیمات روتر را تغییر دهید تا آدرس IP ثابت به RPi4 داده شود (گلوله 2 ، بالا). حداقل ، من این کار را کردم.

ابتدا ، اجازه دهید فایل dhcpcd.conf را تغییر دهیم…

$ sudo vi /etc/dhcpcd.conf

این سطرها را کامنت نگذارید:

persistentoption Rapid_commitoption domain_name_servers، domain_name، domain_search، host_nameoption interface_mtu

برای هر رابط شبکه ، باید جزئیات شبکه را تنظیم کنید. آنها باید چیزی شبیه به این باشند:

# ثابت برای رابط به ISP

رابط eth1 static ip_address = 192.168.1.static routers = 192.168.1.254 static_name_server server = 8.8.8.8 8.8.4.4 metric 100 # ثابت برای رابط به رابط LAN eth0 static ip_address = 10.210.212.static routers = 10.210.212.1 static domain_name_servers = 8.8.8.8 8.8.4.4 #interface wlan0 #static ip_address = 10.210.212. #static routers = 10.210.212.1 #static_server_name_servers = 8.8.8.8 #اگر می خواهید آدرس IP را بر روی یک دستگاه مجبور کنید این قسمت را کامنت نکنید. نام "میزبان" برای سیستم بی معنی است. آدرس MAC دستگاه و همچنین آدرس #IP مورد نظر را وارد کنید. مطمئن شوید خارج از محدوده dhcp است. در صورت لزوم تکرار کنید. #host [ANYTHING] { # سخت افزار اترنت xx: xx: xx: xx: xx: xx؛ # آدرس ثابت 10.210.212.250؛ #}

حتماً از اعدادی استفاده کنید که برای شما مناسب است. IP های بالا برای شبکه من است ، به استثنای سرورهای نام که Google هستند. توجه کنید که من همچنین معیار ISP را روی 100 تنظیم کرده ام تا مجبور شوید اولین بار برای ترافیک شبکه ، پیش فرض باشد. من همچنین به طور خاص هیچ کاری با آداپتور بی سیم خود (wlan0) انجام ندادم. من قصد دارم آن رابط را به طور کامل خاموش کنم ، بنابراین برای من منطقی بود.

همچنین ، اگر می خواهید آدرس IP را بر روی یک دستگاه (مانند NAS) مجبور کنید ، از آن قسمت پایین استفاده کنید. برای میزبان نامی بگذارید که برای شما معنی دار است ، اما بدانید که هرگز توسط هیچ چیزی استفاده نمی شود. نقطه ویرگول را فراموش نکنید.

مرحله 6: DHCP و DNS (قسمت 2)

مرحله بعدی اصلاح فایل dnsmasq.conf است…

$ sudo vi /etc/dnsmasq.conf

ما باید چند خط را کامنت گذاری کنیم و چند خط را ویرایش کنیم. همچنین باید تعدادی تنظیمات را از فایل dhcpcd.conf کپی کنید. دو س otherال دیگر که باید برای خود پاسخ دهید عبارتند از:

آیا LAN داخلی (به عنوان مثال eth0) به DHCP و DNS نیاز دارد؟ محدوده DHCP را برای LAN خود می خواهید و مدت زمان اجاره هر اجاره چقدر است؟

با اظهارنظر چند خط شروع کنید:

جعلی-خصوصی-dhcp-interface = wlan0bind-interfacesdhcp-name-match = set: wpad-ignore، wpaddhcp-ignore-names = tag: wpad-ignore

سرور نام خود را تنظیم کنید. به دنبال خطی باشید که "server =" شروع می شود و آن را شبیه به "server = 8.8.8.8" کنید.

محدوده DHCP خود را تنظیم کنید. راه های زیادی برای این کار وجود دارد. من دو IP پایانی نهایی ، ماسک و مدت اجاره را انتخاب کردم. محدوده من 10.210.212.20-10.210.212.240 بود ، با ماسک خالص 255.255.255.0 و زمان اجاره 12 ساعت. توصیه می کنم در صورت نیاز به دادن IP ثابت به چیزی ، برخی از IP ها را در بالا و پایین محدوده خود بگذارید.

با تغییر خط 'interface =' تا چیزی شبیه به 'interface = eth0] رابطی را که DNS و DHCP (LAN) دریافت می کند ، تنظیم کنید. توجه کنید که من به طور خاص به آن گفتم آدرس IP DHCP را به شبکه بی سیم من اختصاص ندهید. دوباره ، من قصد دارم آن رابط را به طور کامل خاموش کنم ، بنابراین برای من منطقی بود.

مرحله 7: DHCP و DNS (قسمت 3)

انحراف از دستورالعمل های GK برای این آخرین مرحله…

هنگامی که من برای راه اندازی مجدد RPi خود در این مرحله رفتم ، روند dnsmasq فعال نبود. کمی بهم ریختم و متوجه شدم که رابط های شبکه eth0 و eth1 من هر دو قبل از شروع dnsmasq فعال نبوده اند ، بنابراین dnsmasq در شروع خراب می شود. من باید یک صفحه کلید و ماوس را به RPi متصل کرده و dnsmasq را به صورت دستی راه اندازی مجدد کنم. این با تنظیم بدون سر ایده آل نیست. من تعدادی پست را خواندم که می گفتند تغییرات مختلفی در تنظیمات ایجاد می شود (به عنوان مثال ، غیرفعال کردن bind-interface) و موارد دیگر. هیچ کدام کار نکرد. در پایان ، من تصمیم گرفتم به سادگی یک اسکریپت پوسته بنویسم که هر 2 دقیقه اجرا می شود و وضعیت dnsmasq را بررسی می کنم. اگر اجرا نمی شد ، آن را شروع کنید. من تصور می کنم که این وضعیت منحصر به من نیست. بنابراین ، در اینجا کاری است که باید انجام دهید:

کد زیر را به فایلی به نام 'dns_masq_keepalive.sh' در RPi خود تبدیل کنید.

#!/bin/bash

# فایل: dns_masq_keepalive.sh # آگوست 2019 # برای اطمینان از اجرای dnsmasq از crontab -e (*/2 * * * * /etc/dns_masq_keepalive.sh) استفاده کنید. اگر # همه رابط های ذکر شده در dhcpcd.conf قبل از شروع به کار نباشند ، سرویس خود به خود متوقف می شود. این مشکل را برطرف می کند. # این خط بعدی همه مشاغل فعال را با کلمه 'dnsmasq' در آنها باز می گرداند. بنابراین ، "dnsmasq" را در نام این # فایل قرار ندهید ، در غیر این صورت هر بار آن را باز می گرداند و هرگز راه اندازی مجدد نخواهید داشت. dns_running = $ (ps -e | grep dnsmasq) echo $ dns_running if [-z "$ dns_running"] then #echo No DNSMasq sudo /etc/init.d/dnsmasq restart #else #echo DNSMasq در حال اجرا fi

در صورت نیاز آن را برش زده و چسباند. هر کاری می کنید ، "dnsmasq" را در نام قرار ندهید. اسکریپت به دنبال کلمه dnsmasq است و اگر اسکریپت آن را در نام داشته باشد ، فرض می کند که سرویس در حال اجرا است. همچنین نام فایل را تغییر دهید تا با '.sh' خاتمه یابد. Intructables به من اجازه نمی دهد یک فایل.sh را بارگذاری کنم-که خوب است. دستورالعمل های باقی مانده فرض می کنند که فایل در آدرس /etc/dns_masq_keepalive.sh وجود دارد.

دوم ، مجوزهایی را روی فایل تنظیم کنید تا بتوان آن را اجرا کرد:

$ sudo chmod u+x /etc/dns_masq_keepalive.sh

اکنون ما از سیستم crontab استفاده می کنیم تا برنامه هر 2 دقیقه در روز اجرا شود. شروع crontab:

$ sudo crontab -e

باید از شما بخواهد با استفاده از vi یا چیز دیگری ویرایش کنید. هر کار خواهد کرد. پس از ویرایش ، موارد زیر را به انتهای فایل اضافه کنید:

*/2 * * * * sudo /etc/dns_masq_keepalive.sh

در '*/2' فاصله وجود ندارد ، اما فاصله بین ستاره ها وجود دارد. ذخیره نموده و خارج شوید. باید به شما بگوید که کار برنامه ریزی شده است یا چیزی شبیه آن.

مرحله 8: فایروال

فرایند دردناک بعدی فایروال است (مرحله 11 GK). Raspbian از سیستم iptables شناخته شده استفاده می کند. وبلاگ GK سه فایل را برای کمک به شما در اختیار شما قرار می دهد … firewall.simple ، firewall.advanced و firewall.flows. به GK احترام بگذارید ، اما کار را برای خودتان آسان کنید و فقط با firewall.simple بروید. من زمان زیادی را صرف کشف سیستم و قوانین iptables کردم. خوشحالم که این کار را کردم ، اما دردناک بود. بنابراین ، من دو فایل پیوست را به شما می دهم تا به شما کمک کند … firewall.simple و firewall.clear. هر دو این فایلها را در پوشه /etc خود کپی کرده و مجوزها را تغییر دهید تا قابل اجرا شوند:

$ sudo chmod u+x /etc/firewall.simple

$ sudo chmod u+x /etc/firewall.clear

قبل از تنظیم هرگونه فایروال ، یک دسکتاپ/لپ تاپ را به درگاه RPi eth0 خود وصل کرده و تأیید کنید که آدرس IP دریافت می کند و DNS در حال اجرا است. ساده ترین راه برای انجام این کار این است که یک سایت عمومی و سپس یک آدرس IP شناخته شده را پینگ کنید. همچنین روتر RPi و ISP خود را پینگ کنید. اگر به نتیجه رسیدید ، همه چیز خوب است و هرگونه مشکل شبکه ای که اکنون با آن روبرو می شوید احتمالاً ناشی از مشکلات فایروال است.

اولین پرونده ارائه شده در ابتدا به عنوان فایل ساده Gw's firewall.s شروع شد (با تشکر ، دوباره GK!). من تعدادی تغییر ایجاد کردم تا بتوانم برای این سیستم کار کنم. باید حداقل HTTP ، HTTPS ، DNS ، DHCP ، پینگ ، SSH داخلی ، VNC داخلی و پلکس را مجاز کند. Plex ممکن است همه پورت های باز برای هر دستگاه ممکن را نداشته باشد ، اما تعدادی پست برای رفع آن وجود دارد. در بالای فایل مقادیری وجود دارد که باید آنها را به پیکربندی شبکه خود تغییر دهید.

فایل دوم ، firewall.clear ، برای آزمایش قوانین فایروال مورد استفاده قرار می گیرد. وقتی sudo /etc/firewall.clear را اجرا می کنید ، تمام قوانین فایروال پاک می شود و سیستم باید به طور کامل به اینترنت متصل شود. بنابراین ، اگر نمی توانید سرویس شبکه (مانند dns) را با فایروال کار کنید. قوانین ساده ای در کار است ، اما پس از اجرای firewall.clear شروع به کار می کند ، می دانید که مشکل قانون دارید. این فقط در هنگام آزمایش قوانین شما بسیار مهم خواهد بود.

بنابراین ، ما قوانین فایروال را داریم ، باید آنها را مجبور کنیم که با شروع RPi شروع شوند. برای انجام این کار ، فایل /etc/rc.local را ویرایش می کنیم:

$ sudo vi /etc/rc.local

پس از وارد شدن موارد زیر را به انتهای فایل اضافه کنید:

echo "Loading iptables rules" /etc/firewall.simple >>/dev/null

اگر می خواهید سیستم تشخیص نفوذ خروپف را اضافه کنید ، باید دوباره این فایل را ویرایش کنید. فعلاً فقط آن را ذخیره کرده و راه اندازی مجدد کنید.

راه اندازی مجدد $ sudo

مرحله 9: Syslog

دو قدم مانده…

این یکی راحته. اگر هنوز آنجا هستید و وبلاگ GK را دنبال می کنید ، این مرحله 12 است. شما باید دقیقاً آنچه را که او در مورد فایل syslog می گوید انجام دهید. در اینجا مراحل خلاصه شده آمده است:

2 ماه اطلاعات syslog را حفظ کنید…

$ sudo vi /etc/logrotate.conf

ما باید به آن بگوییم که از "یک هفته" به عنوان اندازه گیری استفاده کند و سپس 12 مورد از آنها را نگه دارد. در این فایل به دو خط زیر نیاز دارید. من معتقدم شما باید خطوط موجود را تغییر دهید.

هفتگی 12

آن را ذخیره کنید.

مرحله 10: تشخیص نفوذ با Snort

آخرین چیزی که GK پیکربندی می کند سیستم snort است. این را نیز توصیه می کنم. شما می توانید از قوانین او پیروی کنید ، و من قصد ندارم همه آنها را در اینجا با چند تغییر جزئی کپی کنم. دستورالعمل های او برای توزیع ArchLinux است. در اینجا چند تغییر برای توزیع Raspbian که در اینجا استفاده می کنیم وجود دارد. بقیه دستورالعمل ها خوب کار می کنند.

اول ، برای بارگیری و نصب snort از sudo pacman -S snort استفاده نکنید. موارد زیر را انجام دهید:

$ sudo apt-get install snort

دوم ، شما نمی توانید snort را با sudo snort -version تأیید کنید. نصب را با موارد زیر تأیید کنید:

$ sudo snort -V

در نهایت ، برای اجرای آن در هنگام راه اندازی ، فایل rc.conf را تغییر ندهید ، فایل rc.local را ویرایش کنید (دوباره)…

$ sudo vi /etc/rc.local

خطوط زیر را به انتهای فایل اضافه کنید:

پژواک "بارگیری خرخر"

#/usr/sbin/snort -D -u snort -g snort -c /etc/snort/snort.conf -i eth0 -l/var/log/snort

اکنون ، راه اندازی مجدد کنید و همه باید به طرز جادویی کار کنند.

راه اندازی مجدد $ sudo

مرحله 11: لذت ببرید

این باید باشد!

اول از همه ، من نمی توانم به اندازه کافی از گیوم کادوش تشکر کنم! او این را الهام بخشید.

دوم ، اگر قبلاً صفحه کلید ، ویدئو و موس خود را قطع نکرده اید ، می توانید. در صورت نیاز از SSH و VNC برای بازگشت مجدد استفاده کنید.

در پایان ، این ممکن است 100 perfect کامل نباشد. لطفاً با تغییرات/پیشنهادات/توصیه ها ارسال کنید. هدف من این است که این شروع بحث باشد و بسیاری از افراد از آن لذت ببرند!

با تشکر!!

PS … تصویر یک RPi4 است که درون یک قاب آلومینیومی FLIRC قرار دارد و یک فن قدیمی اینتل کمی تغییر کرده و در بالای آن با زیپ بسته شده است. در زیر فن نیز خمیر حرارتی وجود دارد ، فقط در صورت تعجب. من چیزی مشابه در اینترنت (https://www.reddit.com/r/raspberry_pi/comments/9bdgrr/it_turns_out_putting_a_heatsink_on_the_flirc_case/) پیدا کردم و تصمیم گرفتم خودم آن را امتحان کنم.

مرحله 12: تغییرات

با ایجاد تغییرات در این دستورالعمل ، من آنها را در اینجا مستند می کنم.اگر مشکلی دارید ، اینجا را بررسی کنید تا ببینید دستورالعمل ها یا فایل های قدیمی را گرفته اید یا خیر.

25 سپتامبر 2019:

• قوانین DHCP را در firewall.simple ثابت کرد
• محدوده DHCP در دستورالعمل ها ثابت شد (فایل ها درست بودند)
• تکالیف IP ثابت به دستورالعمل DHCP اضافه شده است

13 اکتبر 2019

• چندین اشتباه تایپی برطرف شد
• یک pi دوم ایجاد کرد تا در صورت نیاز یک SDcard آزمایشی برای تعویض داشته باشم