پل فایروال با OrangePi R1: 4 مرحله

2024 نویسنده: John Day | [email protected]. آخرین اصلاح شده: 2024-01-30 08:56

مجبور شدم Orange Pi دیگری بخرم:) این به این دلیل بود که تلفن SIP من در نیمه شب از شماره های عجیب شروع به زنگ زدن کرد و ارائه دهنده VoIP من پیشنهاد کرد که این به دلیل اسکن پورت است. دلیل دیگر - من بارها در مورد هک شدن روترها شنیده بودم و روتری دارم که اجازه استفاده از آن را ندارم (Altibox/نروژ). همچنین کنجکاو بودم که در شبکه خانگی من چه می گذرد. بنابراین تصمیم گرفتم یک فایروال پل ، شفاف برای شبکه خانگی TCP/IP ، راه اندازی کنم. من آن را با رایانه شخصی آزمایش کردم ، سپس تصمیم گرفتم OPi R1 بخرم - نویز کم و مصرف برق کمتر. اگر دلیل خود را برای داشتن چنین فایروال سخت افزاری دارید - این آسانتر از آن است که فکر می کنید! خرید هیت سینک و کارت میکرو SD مناسب را فراموش نکنید.

مرحله 1: سیستم عامل و کابل کشی

من Armbian را نصب کردم:

همانطور که شاید متوجه شده اید من برای دسترسی به کنسول سریال از مبدل USB TTL استفاده کردم ، که لازم نبود ، پیکربندی پیش فرض شبکه DHCP را فرض می کند.

تنها نظر برای مبدل - در بسیاری از آموزشها هیچ اتصال VCC پیشنهاد نمی شود. برای من فقط وقتی منبع تغذیه وصل بود کار می کرد (3.3V تنها پین مربعی است که روی برد وجود دارد). و اگر قبل از روشن شدن منبع تغذیه به USB متصل نشود ، بیش از حد گرم می شود. من حدس می زنم R1 دارای pinout سازگار با OPi Zero است ، من در پیدا کردن طرح های R1 مشکل دارم.

پس از راه اندازی Armbian ، تغییر رمز عبور ریشه و برخی از موارد به روز رسانی/ارتقا ، دو رابط ('ifconfig -a') - eth0 و enxc0742bfffc6e پیدا کردم. آن را بررسی کنید زیرا اکنون به آنها احتیاج دارید - عالی ترین چیز این است که برای تبدیل R1 خود به یک پل اترنت فقط باید فایل/etc/network/interfaces را تنظیم کنید. من بسیار شگفت زده شدم که Armbian با برخی از نسخه های از پیش تنظیم شده فایل از جمله interfaces.r1switch همراه است - به نظر می رسد آنچه ما نیاز داریم اما کار نمی کند.

نکته مهم دیگر شناسایی صحیح درگاه های اترنت بود - enxc0742bfffc6e یکی از پین های سری بود.

قبل از اینکه R1 ارتباط خود را با اینترنت قطع کنید (خوب ، این می توانست بهتر پیکربندی شود) فقط یک مورد را نصب کنید:

sudo apt-get install iptables-persistent

مرحله 2:/etc/network/interfaces

اگر شبکه محلی خود را به eth0 تغییر دهید نسبت به فایل اینترفیس های زیر نیاز دارید (همیشه می توانید با استفاده از sudo cp interfaces.default interfaces ؛ راه اندازی مجدد به نسخه اصلی بازگردید):

کتابچه راهنمای auto br0iface br0 inet

Bridge_ports eth0 enxc0742bfffc6e

Bridge_stp خاموش

bridge_fd 0

bridge_maxwait 0

Bridge_maxage 0

مرحله 3: Iptables

پس از راه اندازی مجدد R1 شما باید برای شبکه شفاف باشد و مانند یک اتصال دهنده کابل کار کند. اکنون اجازه دهید زندگی افراد بد را دشوارتر کنیم - قوانین فایروال را پیکربندی کنید (خطوط هش شده نظر هستند ؛ آدرس شبکه را با پیکربندی DHCP خود تنظیم کنید!):

# همه را فلاش بزنید و درها را ببندید

iptables -Fiptables -P INPUT DROP

iptables -P FORWARD DROP

iptables -P OUTPUT DROP

# اما اجازه دهید شبکه داخلی خارج شود

iptables -A INPUT -m physdev --physdev -is -bridged --physdev -in eth0 -s 192.168.10.0/24 -j پذیرش

iptables -A FORWARD -m physdev --physdev -is -bridged --physdev -in eth0 -s 192.168.10.0/24 -j پذیرش

# اجازه دهید DHCP از طریق پل عبور کند

iptables -A INPUT -i br0 -p udp --dport 67:68 -ورزش 67:68 -j پذیرش

iptables -A FORWARD -i br0 -p udp --dport 67:68 -ورزش 67:68 -j پذیرش

# تمام ترافیک ایجاد شده باید ارسال شود

iptables -A FORWARD -m conntrack --ctstate تأسیس ، مرتبط -j پذیرش

# فقط برای مرورگر محلی - دسترسی به ابزارهای نظارتی مانند darkstat

iptables -A INPUT -i lo -j ACPECTT iptables -A OUTPUT -o lo -j ACCEPT

جعل #بلوک

iptables -A FORWARD -m physdev -physdev -is -bridged --physdev -in enxc0742bfffc6e -s 192.168.10.0/24 -m محدودیت -محدودیت 5/دقیقه -j LOG -سطح -7 پیشوند -log NETFILTER

iptables -A FORWARD -m physdev -physdev -is -bridged --physdev -in enxc0742bfffc6e -s 192.168.10.0/24 -j REJECT

مرحله 4: ملاحظات نهایی

پس از یک هفته - کاملاً کار می کند. تنها چیزی که من تشکیل می دهم (و در اینجا ارسال می کنم) نظارت و دسترسی به شبکه از طریق ssh است. تکرار می کنم - تغییر فایل رابط ها به محتوایی که پیوست کرده ام دستگاه R1 را از شبکه IP جدا می کند - فقط سریال کار می کند.

6 ژوئن 2018: پل زدن کار چندان زیادی نیست اما R1 گرمای زیادی از خود ساطع می کند ، بسیار زیاد. یک گرمکن ساده بسیار داغ می شود - عجیب و من آن را دوست ندارم. شاید خوب باشد ، شاید کسی راه حلی غیر از فن داشته باشد.

18 اوت 2018: "armbianmonitor -m" 38 درجه سانتیگراد را نشان می دهد ، که بسیار کمتر از تصور شخصی من است. وقتی ساعت را کمی کاهش دادم ، تغییر قابل توجهی (پایین) احساس کردم:

echo 1000000>/sys/devices/system/cpu/cpu0/cpufreq/scaling_max_freq

BTW - من توانستم به WLAN خانه خود متصل شوم ، اما R1 هیچگونه IP از طریق DHCP دریافت نکرده است ، تنظیمات تخصیص استاتیک نیز کار نمی کند. این اولین تلاش من برای داشتن یک رابط مدیریتی غیر از یک سریال بود. ایده دیگر این است که هنوز IP به یکی از پورت های اترنت اختصاص داده شده است. چند ماه دیگر به این موضوع برمی گردم.