Talaan ng mga Nilalaman:

Raspberry Pi4 Firewall: 12 Hakbang
Raspberry Pi4 Firewall: 12 Hakbang

Video: Raspberry Pi4 Firewall: 12 Hakbang

Video: Raspberry Pi4 Firewall: 12 Hakbang
Video: Firewall For Your Home Or Office - For Free! How To Set Up Ipfire On Raspberry Pi. ipfire vs pfsense 2024, Nobyembre
Anonim
Raspberry Pi4 Firewall
Raspberry Pi4 Firewall

Sa bagong inilabas na Raspbery Pi 4 (RPi4), nagpasya akong gawing isang firewall na ginagamit sa bahay ang aking sarili. Matapos madapa sa Internet, nakakita ako ng mahusay na artikulo sa paksa ni Guillaume Kaddouch (https://networkfilter.blogspot.com/2012/08/building-your-piwall-gateway-firewall.html). Kamangha-mangha ang artikulo, at dapat mo itong basahin bago magpatuloy - gagawin nitong mas madali ang proseso na inilarawan dito. Ang bagay ay, ang artikulong iyon ay isinulat noong 2012 at batay sa distro ng ArchLinux. Wala laban sa ArchLinux, ngunit nais kong gawin ito gamit ang mas karaniwang pagbuo ng Raspbian. Maaaring hawakan ng RPi4 ang mga kinakailangan sa pagpoproseso. Kaya, salamat, Guillaume, para sa inspirasyon !! Ang itinuturo na ito ay magre-refer pabalik sa Guillaume's ("GK" para sa maikling) orihinal na post, malamang na gugustuhin mong buksan ang parehong mga pahina sa iyong browser.

Isang pares ng mga pangunahing bagay tungkol sa aking firewall:

  • Mayroon akong built-in na ethernet jack (eth0) na papunta sa LAN
  • Ang ISP router ay nasa TRENDnet adapter (eth1)
  • Aktibo kong pinagana ang wireless adapter (wlan0)
  • Hindi ito garantisadong makakapagbigay sa iyo ng 100% doon… sana ay hindi bababa sa 99%:) kaya mangyaring magbigay ng puna / komento
  • Ito ang aking unang itinuturo. Paumanhin para sa anumang hindi sumusunod sa naaangkop na mga maaaring turuan-pamantayan.

Ngayon, magsaya tayo…

Mga gamit

  • Raspberry Pi 4

    • Ginamit ko ang bersyon na 4GB, huwag mag-atubiling subukan ang ibang bersyon
    • Kaso (gusto ko ang FLIRC, ngunit iyon ang tawag sa iyo)
    • Power Adapter
  • MicroSD Card, 32GB o higit pa (Gumamit ako ng isang 64GB card)
  • TRENDnet USB3.0 Gigabit Ethernet Dongle (Model: TU3-ETG)
  • Ang isang pares na RJ45 network cable
  • USB Keyboard at Mouse
  • Isang Micro-HDMI sa HDMI cable (na naka-plug sa isang HDMI monitor)

Ang keyboard, video, at mouse na iyon ay maaaring alisin sa sandaling nagawa mong maitaas ang SSH at VNC.

Hakbang 1: Paunang Pag-setup ng RPi

Paunang Pag-setup ng RPi
Paunang Pag-setup ng RPi

Ang unang bagay na dapat gawin ay makuha ang iyong RPi4 at tumakbo bilang isang bagong system. I-download at i-install ang buong distribusyon ng Raspbian (Raspbian Buster na may desktop at inirekumendang software). Kakailanganin mong i-reboot ng ilang beses upang maaari itong mapalawak at samantalahin ang buong MicroSD card.

Bilang bota, kakailanganin mong sagutin ang mga katanungan tungkol sa lokalidad, network, keyboard, at mouse. Kumonekta sa isang network at payagan itong mag-update.

Hinahayaan din nating kumpirmahin na ang lahat ay na-update nang maayos, at makakuha ng ilang mga utility na maaaring makatulong sa pag-debug sa ibang pagkakataon:

$ sudo apt-get update

$ sudo apt-get dist-upgrade $ sudo apt-get install htop $ sudo apt-get install tcpdump

HINDI ako nag-install ng vim, o gumawa ng alinman sa hakbang 8 ng GK (i-configure ang vim). Ginamit ko lang ang editor ng vi dahil mayroon itong halos lahat ng mga tampok na iyon. Nakatipid din ito ng ilang oras at pagsisikap.

Kapag nakumpleto na iyon, hayaan mong i-set up ang RPi4 upang makapag-hot plug kami ng isang monitor. Ang aking hangarin ay upang patakbuhin itong walang ulo, ngunit kung kailangan kong mag-plug sa isang monitor, makikilala ito.

$ sudo vi /boot/config.txt

Sa file na iyon:

hindi komportable (alisin ang harap # -symbol): hdmi_force_hotplug = 1

hindi komportable: hdmi_drive = 2

opsyonal, idagdag: paganahin_hdmi_sound

Hakbang 2: Networking

Networking
Networking
Networking
Networking

Kung sumusunod ka sa site ng GK, ito ang hakbang 3. Ngunit tandaan, hindi ko nasundan ang marami sa kanyang mga unang hakbang sa eksaktong pagkakasunud-sunod.

Nang una ko itong sinimulan, konektado ko ang RPi nang direkta sa aking ISP router ("sa tabi ng aking umiiral na network"). Pinapayagan akong maglaro kasama ang pagsasaayos nang hindi nakakaapekto sa network. Ikonekta ang built-in na RJ45 na RPi4 sa iyong router (o wireless, kung nais mo). Sa Raspbian, ang pinakamadaling paraan upang magawa ito ay ang paggamit ng GUI. Mula sa desktop, i-click ang Icon ng Raspberry> Mga Kagustuhan> Pag-configure ng Raspberry Pi. Tiyaking paganahin ang SSH at VNC. I-install nito ang client ng Real-VNC server. Nalaman ko na kung susubukan mong kumonekta sa masikip na VNC client, magtapon ito ng mga sukat at mangangailangan ng ilang karagdagang pagsasaayos. Kaya, sa puntong ito i-install ang Real-VNC client sa iyong pangunahing desktop / laptop (hindi ang iyong RPi4).

Hindi gagana ang SSH sa labas ng kahon (hakbang 7 ng GK). Kailangan naming baguhin ang ilang mga pagsasaayos. Una, hinahayaan na baguhin ang ssh config file. Narito ang mga pagbabagong ginawa ko. Tandaan na hindi ko pinag-aralan ang epekto ng bawat pagbabago dito. Ginawa ko ang iminungkahi ng site ng GK. Ang ilan sa mga pagbabagong ito ay maaaring HINDI kinakailangan.

$ sudo vi / etc / ssh / sshd_config

Sa file na iyon, huwag pag-ayusin ang mga sumusunod na linya:

HostKey / etc / ssh / ssh_host_rsa_keyHostKey / etc / ssh / ssh_host_ecdsa_keySyslogFacility AUTHLogLevel INFOStrictModes yesPubkeyAuthentication yesHostBasedAuthentication no

Huwag pansinin ang Rhosts oo

PrintMotd noPrintLastLog yesTCPKeepAlive oo

At idagdag ang mga sumusunod na linya:

Protocol 2UsePrivilegeSeparation yesKeyRegenerationInterval 3600ServerKeyBits 768RSAAuthentcation yesRhostsRSAAuthentication no

At baguhin ang mga sumusunod na linya:

Port 15507LoginGraceTime 60PermitRootLogin blg

Mabilis nating pag-usapan ang unang baguhin … port 15507. Karaniwang tumatakbo ang SSH sa port 22. Inilipat ito ng GK sa 15507 - hindi alam kung bakit. Maaari kang pumunta sa alinmang paraan baguhin ito o hindi … Kung pipiliin mong baguhin ito, kakailanganin mong idagdag ang "-p 15507" sa anumang utos ng SSH na tinangka mong kumonekta. Kung magpasya kang laktawan ito, abangan ang iba pang mga lugar na 15507 ay nabanggit sa mga tagubiling ito at huwag pansinin ang mga ito, partikular ang mga alituntunin sa firewall!

Panghuli para sa hakbang na ito, hinahayaan na makuha ang IP address ng RPi4 upang malaman natin kung ano ang makakonekta:

$ ipconfig -a

Hanapin ang aktibong koneksyon sa network (malamang sa eth0 o wlan0) at isulat ang IP address na iyon. Ngayon mayroon kang kung ano ang kailangan mo upang kumonekta nang malayuan sa RPi4. I-reboot natin bago magpatuloy:

$ sudo reboot

Hakbang 3: Isa pang Gumagamit

Isa pang Gumagamit
Isa pang Gumagamit

Mahusay na huwag gamitin ang default na RPi username (pi), at tiyak na dapat mong baguhin ang password. Upang maging ligtas, hinahayaan na magdagdag ng isa pang account ng gumagamit na maaari mong magamit upang malayuang kumonekta at magpatuloy sa (hakbang 6 ng GK). Bumalik sa RPi, hinahayaan na magdagdag ng isang bagong gumagamit at magtakda ng mga pahintulot para sa gumagamit sa SSH at ilabas ang utos ng sudo:

$ sudo useradd -m -g mga gumagamit -G sudo, netdev -s / bin / bash [USERNAME]

$ sudo passwd [USERNAME]

Huwag mag-atubiling mag-logout o mag-reboot at gamitin ang bagong nilikha na account na pasulong.

Hakbang 4: Syctl File

Syctl File
Syctl File

Susunod na hakbang ay upang baguhin ang /etc/sysctl.conf file (hakbang 9 ni GK). Ginamit ang file na ito upang baguhin ang ilang mga setting ng kernel. Gagawin namin ang eksaktong sinasabi ng GK na dapat gawin. Narito ang isang pinasimple na hanay ng mga hakbang.

$ sudo vi /etc/sysctl.conf

Sa file na iyon, huwag pag-ayusin ang mga sumusunod na linya:

net.ipv4.conf.default.rp_filter = 1net.ipv4.conf.all.rp_filter = 1net.ipv4.tcp_syncookies = 1

net.ipv4.ip_forward = 1

net.ipv4.conf.all.accept_redirects = 0net.ipv4.conf.all.send_redirects = 0net.ipv4.conf.all.accept_source_route = 0net.ipv4.conf.all.log_martians = 1

At idagdag ang mga sumusunod na linya:

net.ipv4.icmp_echo_ignore_broadcasts = 1net.ipv4.icmp_ignore_bogus_error_responses = 1net.ipv4.conf.eth0.accept_redirects = 0vm.min_free_kbytes = 8192

I-restart ang serbisyo sa mga bagong setting na ito at i-reboot:

$ sudo sysctl -p

$ sudo reboot

Hakbang 5: DHCP & DNS (bahagi 1)

DHCP & DNS (bahagi 1)
DHCP & DNS (bahagi 1)

Para sa akin, mayroong dalawang masakit na bahagi sa prosesong ito … Pagse-set up ng DHCP & DNS, at pagse-set up ng mga alituntunin sa firewall. Kaya, narito na tayo sa unang bahagi. Kung sumusunod ka sa site ng GK, nasa hakbang 10 kami.

Upang magawa ito, kakailanganin mo ng kaunting impormasyon mula sa iyong ISP router (o kasalukuyang firewall):

  • Ang panloob na IP address ng router
  • Isang IP address na maaari mong gamitin para sa interface ng RPi4 sa router
  • Ang mga IP para sa isang nameserver (o dalawa)
  • Ang pangalan ng interface para sa koneksyon sa LAN (hal., Eth0 o eth1)
  • Ang pangalan ng interface para sa koneksyon ng ISP (hal., Anuman ang hindi mo ginamit para sa LAN)

Maaaring kailanganin mo ring baguhin ang mga setting ng router upang bigyan ang RPi4 ng isang static IP address (bala 2, sa itaas). Atleast, yun ang ginawa ko.

Una, hinahayaan na baguhin ang dhcpcd.conf file…

$ sudo vi /etc/dhcpcd.conf

Alisan ng puna ang mga linyang ito:

persistentoption mabilis_commitoption domain_name_servers, domain_name, domain_search, host_nameoption interface_mtu

Para sa bawat interface ng network, kailangan mong itakda ang mga detalye sa network. Dapat silang magmukhang ganito:

# Static para sa interface sa ISP

interface eth1 static ip_address = 192.168.1.static router = 192.168.1.254 static domain_name_servers = 8.8.8.8 8.8.4.4 sukatan 100 # Static para sa interface sa LAN interface eth0 static ip_address = 10.210.212.static router = 10.210.212.1 static domain_name_servers = 8.8.8.8 8.8.4.4 #interface wlan0 #static ip_address = 10.210.212. # static router = 10.210.212.1 #static domain_name_servers = 8.8.8.8 #Uncomment ang seksyong ito kung nais mong pilitin ang isang IP address sa isang aparato. Ang pangalan pagkatapos ng 'host' na # ay walang katuturan sa system. Ipasok ang MAC address ng aparato pati na rin ang nais na #IP address. Tiyaking wala ito sa saklaw ng dhcp. Ulitin kung kinakailangan. #host [ANUMANG] {# hardware ethernet xx: xx: xx: xx: xx: xx; # nakapirming address 10.210.212.250; #}

Tiyaking gumamit ng mga numero na gagana para sa iyo. Ang mga IP sa itaas ay para sa aking network, maliban sa mga server ng pangalan na ang Google. Pansinin na itinakda ko rin ang sukatan para sa ISP sa 100 upang pilitin iyon upang maging default unang pagsubok para sa trapiko sa network. Partikular ko ring walang ginawa sa aking wireless adapter (wlan0). Nilalayon kong ganap na patayin ang interface na iyon, kaya't nagkaroon ng kahulugan para sa akin.

Gayundin, kung nais mong pilitin ang isang IP address sa isang aparato (tulad ng isang NAS), gamitin ang seksyon sa ibaba. Bigyan ang host ng isang pangalan na makabuluhan sa iyo, ngunit alam na hindi ito ginagamit ng anuman. Huwag kalimutan ang mga semicolons.

Hakbang 6: DHCP & DNS (bahagi 2)

DHCP & DNS (bahagi 2)
DHCP & DNS (bahagi 2)

Ang susunod na hakbang ay upang baguhin ang dnsmasq.conf file…

$ sudo vi /etc/dnsmasq.conf

Kailangan naming mag-unsment ng ilang mga linya, at i-edit ang ilang mga linya. Kakailanganin mo ring kopyahin ang ilang mga setting mula sa dhcpcd.conf file. Dalawang iba pang mga katanungan na kailangan mong sagutin para sa iyong sarili ay:

Kailangan ba ng panloob na LAN (hal., Eth0) ng DHCP at DNS? Anong saklaw ng DHCP ang nais mo para sa iyong LAN, at gaano katagal dapat ang bawat pag-upa?

Magsimula sa pamamagitan ng pag-aalala ng ilang mga linya:

bogus-privno-dhcp-interface = wlan0bind-interfacesdhcp-name-match = set: wpad-huwag pansinin, wpaddhcp-huwag pansinin-mga pangalan = tag: wpad-huwag pansinin

Itakda ang iyong server ng pangalan. Hanapin ang linya na nagsisimula sa 'server =' at gawin itong tulad ng 'server = 8.8.8.8'.

Itakda ang iyong saklaw ng DHCP. Maraming paraan upang magawa ito. Pinili kong ibigay ang dalawang endpoint IPs, ang maskara, at ang haba ng lease. Ang saklaw ko ay 10.210.212.20-10.210.212.240, na may netmask na 255.255.255.0, at oras ng pag-upa ng 12 oras. Inirerekumenda ko na iwanan mo ang ilang mga IP sa tuktok at ilalim ng iyong saklaw sakaling kailanganin mong bigyan ang isang bagay ng isang static IP.

Itakda ang interface na makakakuha ng DNS at DHCP (ang LAN) sa pamamagitan ng pagbabago ng linya na 'interface =' upang maging isang bagay tulad ng 'interface = eth0). Pansinin na partikular kong sinabi dito HINDI magtalaga ng isang DHCP IP address sa aking wireless network. Muli, balak kong ganap na patayin ang interface na iyon, kaya't nagkaroon ng kahulugan para sa akin.

Hakbang 7: DHCP & DNS (bahagi 3)

DHCP & DNS (bahagi 3)
DHCP & DNS (bahagi 3)

Isang paglilipat mula sa mga tagubilin ng GK para sa huling hakbang na ito …

Kapag nagpunta ako upang muling simulan ang aking RPi sa puntong ito, ang proseso ng dnsmasq ay hindi aktibo. Kaunting paglalakad at nalaman ko na ang aking mga interface ng et0 at eth1 na network ay hindi parehong aktibo bago magsimula ang dnsmasq, kaya't mabibigo ang dnsmasq sa pagsisimula. Gusto kong ikonekta ang isang keyboard at mouse sa RPi at manu-manong i-restart ang dnsmasq. Hindi ito perpekto sa isang walang ulong pag-setup. Nabasa ko ang isang pangkat ng mga post na nagsabing gumawa ng iba't ibang mga pagbabago sa mga setting (hal., Huwag paganahin ang bind-interface) at iba pang mga bagay. Wala ni isa sa mga ito ang gumana. Sa huli, nagpasya akong magsulat lamang ng isang shell script na tatakbo sa bawat 2 minuto at suriin ang katayuan ng dnsmasq. Kung hindi ito tumatakbo, simulan ito. Ipinapalagay ko na ang sitwasyong ito ay hindi natatangi sa akin. Kaya, narito ang kailangan mong gawin:

Gawin ang sumusunod na code sa isang file na tinatawag na 'dns_masq_keepalive.sh' sa iyong RPi.

#! / baseng / bash

# File: dns_masq_keepalive.sh # August 2019 # Gamitin ito gamit ang crontab -e (* / 2 * * * * /etc/dns_masq_keepalive.sh) upang matiyak na tumatakbo ang dnsmasq. Titigil ang serbisyo kung ang # lahat ng mga interface na nabanggit sa dhcpcd.conf ay hindi up bago ito magsimula. Inaayos nito ang problema. # Ang susunod na linya na ito ay ibabalik ang lahat ng mga aktibong trabaho na may salitang 'dnsmasq' sa kanila. Kaya, huwag isama ang 'dnsmasq' sa pangalan ng # file na ito, kung hindi man ay ibabalik ito sa bawat oras at hindi ka magkakaroon ng isang restart. dns_running = $ (ps -e | grep dnsmasq) echo $ dns_running kung [-z "$ dns_running"] pagkatapos ay #echo Walang DNSMasq sudo /etc/init.d/dnsmasq restart #else #echo DNSMasq Running fi

Gupitin at i-paste ito kung kailangan mo. Anuman ang gagawin mo, huwag isama ang 'dnsmasq' sa pangalan. Hahanapin ng script ang salitang 'dnsmasq' at kung ang script ay mayroong ito sa pangalan, ipagpapalagay nito na tumatakbo ang serbisyo. Gayundin, palitan ang pangalan ng file upang magtapos ito sa '.sh'. Hindi ako papayagang mag-upload ng isang '.sh' file - na mabuti. Ipinapalagay ng natitirang mga tagubilin na ang file ay mayroon sa: /etc/dns_masq_keepalive.sh.

Pangalawa, magtakda ng mga pahintulot sa file upang maipatupad ito:

$ sudo chmod u + x /etc/dns_masq_keepalive.sh

Ngayon ay gagamitin namin ang crontab system upang mapatakbo ang programa bawat 2 minuto ng bawat araw. Simulan ang crontab:

$ sudo crontab -e

Dapat itong mag-prompt sa iyo na mag-edit gamit ang vi o iba pa. Anumang gagana Kapag na-edit mo ito, idagdag ang sumusunod sa dulo ng file:

* / 2 * * * * sudo /etc/dns_masq_keepalive.sh

Walang mga puwang sa '* / 2', ngunit mga puwang sa pagitan ng mga asterisk. I-save at mag-quit. Dapat sabihin nito sa iyo na naka-iskedyul ang trabaho, o isang bagay na tulad nito.

Hakbang 8: Ang Firewall

Ang Firewall
Ang Firewall

Ang susunod na masakit na proseso ay ang firewall (hakbang 11 ng GK). Gumagamit ang Raspbian ng kilalang sistemang iptables. Nagbibigay ang blog ng GK ng tatlong mga file upang matulungan kang makarating doon… firewall.simple, firewall.advanced, at firewall.flows. Lahat ng respeto sa GK, ngunit gawing madali sa iyong sarili at pumunta lamang sa firewall. Simple. Gumugol ako ng maraming oras sa pagsubok upang malaman ang iptables system at mga patakaran. Natutuwa akong nagawa ko ito, ngunit ito ay masakit. Kaya, binibigyan kita ng nakalakip na dalawang mga file upang matulungan ka… firewall.simple at firewall.clear. Kopyahin ang parehong mga file na ito sa iyong / etc folder at baguhin ang mga pahintulot upang maipapatupad ang mga ito:

$ sudo chmod u + x /etc/firewall.simple

$ sudo chmod u + x /etc/firewall.clear

Bago ka mag-set up ng anumang mga alituntunin sa firewall, mag-plug ng isang desktop / laptop sa iyong RPi eth0 port at kumpirmahing nakakakuha ito ng isang IP address at tumatakbo ang DNS. Ang pinakamadaling paraan upang gawin ito ay upang subukan at i-ping ang isang pangkalahatang site at pagkatapos ay isang kilalang IP address. I-ping din ang iyong RPi at ISP router. Kung nakakuha ka ng mga resulta, mabuti ang lahat at ang anumang mga problema sa network na nakasalamuha mo ngayon ay maaaring isang resulta ng mga isyu sa firewall.

Ang unang file na ibinigay noong una ay nagsimula bilang firewall ng GK. Simpleng file (salamat, muli, GK!). Gumawa ako ng isang bungkos ng mga pagbabago upang gumana ito para sa sistemang ito. Dapat itong payagan para sa hindi bababa sa HTTP, HTTPS, DNS, DHCP, ping, panloob na SSH, panloob na VNC, at plex. Maaaring wala sa Plex ang lahat ng mga bukas na port para sa bawat posibleng aparato, ngunit mayroong isang pangkat ng mga post doon upang ayusin iyon. Sa tuktok ng file ay ang mga halagang kakailanganin mong baguhin sa iyong pagsasaayos ng network.

Ang pangalawang file, firewall.clear, ay inilaan upang magamit sa pagsubok mo sa iyong mga alituntunin sa firewall. Kapag nagpatakbo ka ng 'sudo /etc/firewall.clear' lahat ng mga patakaran ng firewall ay malilinis at ang system ay dapat na ganap na konektado sa Internet. Kaya, kung hindi ka makagawa ng isang serbisyo sa network (tulad ng dns) na gumana sa firewall. Simpleng mga panuntunan sa lugar, ngunit nagsisimula itong gumana pagkatapos mong patakbuhin ang firewall. Malinaw, alam mong mayroon kang problema sa panuntunan. Ito ay magiging kritikal lamang kapag sinusubukan ang iyong mga patakaran.

Kaya, mayroon kaming mga alituntunin sa firewall doon, kailangan nating simulan ang mga ito kapag nagsimula ang RPi. Upang magawa iyon, ie-edit namin ang /etc/rc.local file:

$ sudo vi /etc/rc.local

Sa sandaling nasa loob idagdag ang sumusunod sa dulo ng file:

echo na "Naglo-load ng mga panuntunang iptables" /etc/firewall.simple >> / dev / null

Kung pipiliin mong idagdag ang snort intrusion detection system, kakailanganin mong i-edit muli ang file na ito. Sa ngayon i-save lamang ito, at i-reboot.

$ sudo reboot

Hakbang 9: Syslog

Syslog
Syslog

Dalawang hakbang ang natitira…

Ito ay isang madali. Kung nandiyan ka pa rin, at sumusunod sa blog ni GK, ito ang hakbang 12. Kailangan mong gawin ang eksaktong sinabi niya patungkol sa syslog file. Narito ang mga pinaikling hakbang:

Panatilihin ang 2 buwan na halaga ng data ng syslog…

$ sudo vi /etc/logrotate.conf

Kailangan nating sabihin ito na gamitin ang 'isang linggo' bilang isang pagsukat, at pagkatapos ay panatilihin ang 12 sa kanila. Kailangan mo ang sumusunod na dalawang linya sa file na ito. Naniniwala akong kakailanganin mong baguhin ang mayroon nang mga linya.

lingguhan

I-save ito

Hakbang 10: Pagtuklas ng Intrusion Sa Snort

Pagtuklas ng Intrusion Sa Snort
Pagtuklas ng Intrusion Sa Snort

Ang huling bagay na na-configure ng GK ay ang snort system. Inirerekumenda ko rin ito. Maaari mong sundin ang kanyang mga patakaran, at hindi ko kokopyahin ang lahat ng mga ito dito, na may ilang mga menor de edad na pagbabago. Ang kanyang mga tagubilin ay para sa distro ng ArchLinux. Narito ang ilang mga pagbabago para sa pamamahagi ng Raspbian na ginagamit namin dito. Ang natitirang mga tagubilin ay gumagana nang maayos.

Una, huwag gumamit ng sudo pacman -S snort upang mag-download at mag-install ng snort. Gawin ang sumusunod:

$ sudo apt-get install snort

Pangalawa, hindi mo ma-verify ang snort gamit ang sudo snort -versi. I-verify ang pag-install gamit ang:

$ sudo snort -V

Sa wakas, upang patakbuhin ito sa pagsisimula, huwag baguhin ang rc.conf file, i-edit ang rc.local file (muli)…

$ sudo vi /etc/rc.local

Idagdag ang mga sumusunod na linya sa dulo ng file:

echo na "Naglo-load ng snort"

# / usr / sbin / snort -D -u snort -g snort -c /etc/snort/snort.conf -i eth0 -l / var / log / snort

Ngayon, muling pag-reboot at dapat itong lahat magically gumana.

$ sudo reboot

Hakbang 11: Masiyahan

Tangkilikin
Tangkilikin

Dapat ganun!

Una sa lahat, hindi ko sapat na pasasalamatan si Guillaume Kaddouch! Pinasigla niya ito.

Pangalawa, kung hindi mo pa nadidiskonekta ang iyong keyboard, video, at mouse, maaari mo. Gumamit ng SSH at VNC upang makabalik, kung kinakailangan.

Upang tapusin, maaaring hindi ito perpekto na 100%. Mangyaring mag-post pabalik na may mga pagbabago / mungkahi / rekomendasyon. Ang aking hangarin ay ito ang maging simula ng talakayan at maraming tao ang nasisiyahan!

Salamat !!

PS … Ang larawan ay isang RPi4 sa loob ng isang kaso ng aluminyo FLIRC na may isang lumang Intel fan na bahagyang binago at naka-zip na nakatali sa itaas. May thermal paste din sa ilalim ng fan, kung sakali nagtataka ka. Natagpuan ko ang isang bagay na katulad sa Internet (https://www.reddit.com/r/raspberry_pi/comments/9bdgrr/it_turns_out_putting_a_heatsink_on_the_flirc_case/) at nagpasyang subukan ko ito mismo.

Hakbang 12: Changelog

Habang ginagawa ang mga pagbabago sa itinuturo na ito, idokumento ko ang mga ito rito. Kung sakaling mayroon kang problema, suriin dito upang makita kung kumuha ka ng mga lumang tagubilin o file.

Setyembre 25, 2019:

  • Naayos ang mga panuntunan sa DHCP sa firewall.simple
  • Naayos ang saklaw ng DHCP sa mga tagubilin (tama ang mga file)
  • Nagdagdag ng mga takdang-takdang-IP na pagtatalaga sa mga tagubilin sa DHCP

Oktubre 13, 2019

  • Naayos ang maraming mga typo
  • Nilikha ang isang pangalawang pi upang magkaroon ako ng isang pagsubok na SDcard upang magpalit, kung kinakailangan

Inirerekumendang: