Premostite vatrozid s OrangePi R1: 4 koraka

2024 Autor: John Day | [email protected]. Zadnja promjena: 2024-01-30 09:36

Morao sam kupiti još jedan Orange Pi:) To je bilo zato što je moj SIP telefon počeo zvoniti usred noći od čudnih brojeva i moj VoIP davatelj je predložio da je to zbog skeniranja portova. Drugi razlog - prečesto sam čuo o ruterima koji su hakirani, a imam usmjerivač kojim ne smijem upravljati (Altibox/Norveška). Također sam bio znatiželjan što se događa u mojoj kućnoj mreži. Stoga sam odlučio postaviti bridge-firewall, transparentan za TCP/IP kućnu mrežu. Testirao sam ga s računalom, a zatim sam odlučio kupiti OPi R1 - manje buke i manja potrošnja energije. Ako imate vlastiti razlog za takav hardverski vatrozid - to je lakše nego što mislite! Ne zaboravite kupiti hladnjak i pristojnu mikro SD karticu.

Korak 1: OS i kabliranje

Instalirao sam Armbian:

Kao što ste možda primijetili, koristio sam USB TTL pretvarač za pristup serijskoj konzoli, što nije bilo potrebno, zadana mrežna konfiguracija pretpostavlja DHCP.

Jedini komentar pretvarača - u mnogim vodičima nije predložena VCC veza. Za mene je radio samo kad je napajanje spojeno (3.3V je jedini kvadratni pin na ploči). Pregrijat će se ako nije spojen na USB prije nego što je napajanje uključeno. Pretpostavljam da R1 ima pinout kompatibilan s OPi Zero, imam problema s pronalaženjem R1 shema.

Nakon dizanja Armbian -a, mijenjanja root lozinke i nekih stvari o ažuriranju/nadogradnji našao sam dva sučelja ('ifconfig -a') - eth0 i enxc0742bfffc6e. Provjerite jer će vam sada trebati - najstrašnije je to što za pretvaranje vašeg R1 u Ethernet most trebate samo prilagoditi datoteku/etc/network/sučelja. Bio sam šokiran da Armbian dolazi s nekim unaprijed konfiguriranim verzijama datoteke, uključujući sučelja.r1switch - zvuči kao ono što nam treba, ali ne radi.

Druga važna stvar bila je pravilna identifikacija Ethernet portova - enxc0742bfffc6e je bio jedan blizu serijskih pinova.

Prije nego što učinite da R1 izgubi kontakt s internetom (u redu, ovo se moglo bolje konfigurirati) samo instalirajte jednu stvar:

sudo apt-get install iptables-persistent

Korak 2:/etc/network/sučelja

Ako lokalnu mrežu prebacite na eth0, potrebna vam je sljedeća datoteka sučelja (uvijek se možete vratiti na izvornu verziju pomoću sudo cp sučelja. Zadana sučelja; ponovno podizanje sustava):

auto br0iface br0 inet priručnik

bridge_ports eth0 enxc0742bfffc6e

most_stp isključen

bridge_fd 0

bridge_maxwait 0

most_maksaža 0

Korak 3: Iptables

Nakon ponovnog pokretanja, vaš bi R1 trebao biti proziran za mrežu i raditi poput priključka za kabel. Ajmo sada otežati život lošim momcima - konfigurirajmo pravila vatrozida (raspršeni redovi su komentari; prilagodite mrežne adrese svojoj DHCP konfiguraciji!):

# bljeskajte sve i zatvorite vrata

iptables -Fiptables -P ULAZNI ULAZ

iptables -P NAPRIJED DROP

iptables -P IZLAZNA KAPA

# ali dopustite da interna mreža izađe van

iptables -A ULAZ -m physdev --physdev -je premošćen --physdev -in eth0 -s 192.168.10.0/24 -j PRIHVATI

iptables -A NAPRIJED -m physdev --physdev -je premošćen --physdev -in eth0 -s 192.168.10.0/24 -j PRIHVATI

# dopustiti DHCP -u da prođe kroz most

iptables -A ULAZ -i br0 -p udp --dport 67:68 --sport 67:68 -j PRIHVATI

iptables -A NAPRIJED -i br0 -p udp --dport 67:68 --sport 67:68 -j PRIHVATI

# sav uspostavljeni promet treba proslijediti

iptables -A NAPRIJED -m ugovor

# samo za lokalni preglednik - pristup alatima za nadzor poput darkstata

iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT

#blokiranje lažiranja

iptables -A NAPRIJED -m physdev --physdev -je premošćen --physdev -in enxc0742bfffc6e -s 192.168.10.0/24 -m limit -ograničenje 5/min -j LOG -log -razina 7 --log -prefiks NETFILTER

iptables -A NAPRIJED -m physdev --physdev -je premošten --physdev -in enxc0742bfffc6e -s 192.168.10.0/24 -j ODBACI

Korak 4: Završna razmatranja

Nakon tjedan dana - radi savršeno. Jedino što ću izmisliti (i poslati ovdje) je nadzor mreže i pristup putem ssh -a. Ponavljam - promjena datoteke sučelja na sadržaj koji sam priložio odvojit će R1 uređaj od IP mreže - samo će serijski raditi.

6. lipnja 2018.: premošćivanje nije toliko puno posla, ali R1 emitira mnogo topline, previše. Jednostavan hladnjak jako se zagrijava - čudno i to mi se ne sviđa. Možda je to ok, možda netko ima rješenje osim obožavatelja.

18. kolovoza 2018.: 'armbianmonitor -m' pokazuje 38 Celzijevih stupnjeva, što je daleko ispod moje osobne percepcije. Osjetio sam značajnu promjenu (dolje) kad sam malo smanjio sat:

echo 1000000>/sys/devices/system/cpu/cpu0/cpufreq/scaling_max_freq

BTW - Uspio sam se spojiti na svoju kućnu WLAN, ali R1 nije primio nikakav IP putem DHCP -a, niti deos statičkog dodjeljivanja ne radi. To je bio moj prvi pokušaj da imam administrativno sučelje, osim serijskog. Druga ideja je imati IP dodijeljen jednom od ethernet portova. Vratit ću se ovome za nekoliko mjeseci.