OrangePi R1 ile Köprü Güvenlik Duvarı: 4 Adım

2024 Yazar: John Day | [email protected]. Son düzenleme: 2024-01-30 13:20

Başka bir Orange Pi almak zorunda kaldım:) Bunun nedeni, SIP telefonumun gece yarısı garip numaralardan çalmaya başlaması ve VoIP sağlayıcımın bunun port taramalarından kaynaklandığını öne sürmesiydi. Başka bir neden - Yönlendiricilerin saldırıya uğradığını çok sık duymuştum ve yönetmeme izin verilmeyen bir yönlendiricim var (Altibox/Norveç). Ayrıca ev ağımda neler olup bittiğini merak ediyordum. Bu yüzden TCP/IP ev ağına şeffaf bir köprü güvenlik duvarı kurmaya karar verdim. Bir PC ile test ettim, sonra OPi R1 almaya karar verdim - daha az gürültü ve daha az güç tüketimi. Böyle bir donanım güvenlik duvarına sahip olmak için kendi nedeniniz varsa - bu düşündüğünüzden daha kolay! Bir soğutucu ve iyi bir mikro SD kart almayı unutmayın.

Adım 1: İşletim Sistemi ve Kablolama

Armbian'ı kurdum:

Belki fark etmişsinizdir ki, gerekli olmayan seri konsola erişmek için USB TTL dönüştürücü kullandım, varsayılan ağ yapılandırması DHCP'yi varsayar.

Dönüştürücüye yapılan tek yorum - birçok eğitimde VCC bağlantısı önerilmez. Benim için yalnızca güç kaynağı bağlıyken çalıştı (3.3V, karttaki tek kare pimdir). Güç kaynağı açılmadan önce USB'ye bağlanmazsa aşırı ısınacaktı. Sanırım R1'in OPi Zero ile uyumlu pin çıkışı var, R1 şemalarını bulmakta zorlanıyorum.

Armbian'ı başlattıktan, root şifresini değiştirdikten ve bazı güncelleme/yükseltme öğelerinden sonra iki arayüz buldum ('ifconfig -a') - eth0 ve enxc0742bfffc6e. Kontrol edin çünkü onlara şimdi ihtiyacınız olacak - en harika şey, R1'inizi bir Ethernet köprüsüne dönüştürmek için sadece /etc/network/interfaces dosyasını ayarlamanız gerektiğidir. Armbian'ın interfaces.r1switch de dahil olmak üzere dosyanın önceden yapılandırılmış bazı sürümleriyle gelmesi beni şaşırttı - ihtiyacımız olan şey gibi geliyor ama çalışmıyor.

Bir diğer önemli şey de Ethernet bağlantı noktalarının doğru tanımlanmasıydı - enxc0742bfffc6e, seri pinlere yakın olandı.

R1'in İnternet ile bağlantısını kesmeden önce (Tamam, bu daha iyi yapılandırılabilirdi) sadece bir şey yükleyin:

sudo apt-get install iptables-kalıcı

Adım 2: /etc/network/interfaces

Yerel ağınızı eth0 olarak değiştirirseniz, aşağıdaki arabirimler dosyasına ihtiyaç duyarsınız (her zaman sudo cp interfaces.default interfaces ile orig sürümüne geri dönebilirsiniz; yeniden başlat):

otomatik br0iface br0 inet kılavuzu

bridge_ports eth0 enxc0742bfffc6e

köprü_stp kapalı

köprü_fd 0

Bridge_maxbekleme 0

köprü_maksimum 0

3. Adım: Iptable'lar

Yeniden başlattıktan sonra R1'iniz ağ için şeffaf olmalı ve bir kablo konektörü gibi çalışmalıdır. Şimdi, dışarıdaki kötü adamlar için hayatı daha zor hale getirelim - güvenlik duvarı kurallarını yapılandırın (karma satırlar yorumlardır; ağ adreslerini DHCP yapılandırmanıza göre ayarlayın!):

# hepsini yak ve kapıları kapat

iptables -Fiptables -P GİRİŞ DURUMU

iptables -P İLERİ DROP

iptables -P ÇIKIŞ DROP

# ancak dahili ağın dışarı çıkmasına izin verin

iptables -A GİRİŞ -m physdev --physdev-is-bridged --physdev-in eth0 -s 192.168.10.0/24 -j KABUL

iptables -A İLERİ -m physdev --physdev-is-bridged --physdev-in eth0 -s 192.168.10.0/24 -j KABUL

# DHCP'nin köprüden geçmesine izin ver

iptables -A GİRİŞ -i br0 -p udp --dport 67:68 --sport 67:68 -j KABUL

iptables -A FORWARD -i br0 -p udp --dport 67:68 --sport 67:68 -j KABUL

# kurulan tüm trafik iletilmelidir

iptables -A FORWARD -m conntrack --ctstate KURULDU, İLGİLİ -j KABUL

# sadece yerel tarayıcı için - darkstat gibi izleme araçlarına erişim

iptables -A GİRDİ -i lo -j KABUL ET iptables -A ÇIKIŞ -o lo -j KABUL

#blok sahtekarlığı

iptables -A İLERİ -m physdev --physdev-is-bridged --physdev-in enxc0742bfffc6e -s 192.168.10.0/24 -m limit --limit 5/min -j LOG --log-level 7 --log-prefix NETFİLTRE

iptables -A İLERİ -m physdev --physdev-is-bridged --physdev-in enxc0742bfffc6e -s 192.168.10.0/24 -j REJECT

4. Adım: Son Hususlar

Bir hafta sonra - mükemmel çalışıyor. Oluşturacağım (ve buraya göndereceğim) tek şey ağ izleme ve ssh üzerinden erişim. Tekrar ediyorum - arayüz dosyasını eklediğim içerikle değiştirmek R1 cihazını IP ağından ayıracaktır - sadece seri çalışacaktır.

6 Haziran 2018: Köprü yapmak o kadar çok iş değil ama R1 çok fazla ısı yayar. Basit bir soğutucu çok ısınıyor - garip ve bundan hoşlanmıyorum. Belki sorun değil, belki birinin fan dışında bir çözümü vardır.

18 Ağustos 2018: 'armbianmonitor -m' kişisel algımın çok altında olan 38 Santigrat gösteriyor. Saati biraz düşürdüğümde önemli bir değişiklik (aşağı) hissettim:

echo 1000000 > /sys/devices/system/cpu/cpu0/cpufreq/scaling_max_freq

BTW - Ev WLAN'ıma bağlanmayı başardım ancak R1, DHCP aracılığıyla herhangi bir IP almadı, statik atama deos'ları da çalışmıyor. Bu, seri arayüz dışında bir yönetim arayüzüne sahip olmak için ilk girişimimdi. Başka bir fikir, hala ethernet bağlantı noktalarından birine atanmış bir IP'ye sahip olmaktır. Birkaç ay sonra buna geri döneceğim.