Bridge Firewall Sa OrangePi R1: 4 Hakbang

2024 May -akda: John Day | [email protected]. Huling binago: 2024-01-30 13:14

Kailangan kong bumili ng isa pang Orange Pi:) Ito ay dahil ang aking SIP phone ay nagsimulang mag-ring sa kalagitnaan ng gabi mula sa mga kakaibang numero at ang aking VoIP provider ay nagbigay ng sugat na dahil sa mga pag-scan sa port. Isa pang dahilan - Naririnig ko nang madalas ang tungkol sa mga router na na-hack, at mayroon akong isang router Hindi ako pinapayagan na pangasiwaan (Altibox / Norway). Na-curious din ako kung ano ang nangyayari sa aking network ng bahay. Kaya't nagpasya akong mag-set up ng isang tulay-firewall, transparent sa TCP / IP home network. Sinubukan ko ito sa isang PC, pagkatapos ay nagpasya akong bumili ng OPi R1 - mas kaunting ingay at mas kaunting pagkonsumo ng kuryente. Kung mayroon kang sariling dahilan upang magkaroon ng tulad ng isang firewall ng hardware - mas madali iyon kaysa sa iniisip mo! Huwag kalimutang bumili ng isang heat sink at isang disenteng micro SD card.

Hakbang 1: OS at Cabling

Na-install ko ang Armbian:

Tulad ng napansin mo siguro na gumamit ako ng USB TTL converter upang magkaroon ng access sa serial console, na hindi kinakailangan, ipinapalagay ng default network config ang DHCP.

Ang nag-iisang puna lamang sa converter - sa maraming mga tutorial walang iminungkahing koneksyon sa VCC. Para sa akin ito ay gumagana lamang kapag ang suplay ng kuryente ay konektado (3.3V ay ang tanging square pin out sa board). At ito ay magiging labis na pag-init kung hindi nakakonekta sa USB bago ang power supply ay nakabukas. Sa palagay ko ang R1 ay may pinout na katugma sa OPi Zero, mayroon akong mga problema sa paghahanap ng mga iskema ng R1.

Matapos ang pag-boot sa Armbian, pagpapalit ng root password at ilang pag-update / pag-upgrade ng mga bagay-bagay na nakita ko ang dalawang mga interface ('ifconfig -a') - eth0 at enxc0742bfffc6e. Suriin ito dahil kakailanganin mo ang mga ito ngayon - ang pinaka kahanga-hangang bagay ay upang buksan ang iyong R1 sa isang tulay sa Ethernet kailangan mo lamang ayusin / etc / network / interface ang file. Natuklasan ako na ang Armbian ay may kasamang ilang mga preconfigured na bersyon ng file kasama ang mga interface.r1switch - parang ang kailangan natin ngunit hindi ito gumagana.

Ang isa pang mahalagang bagay ay ang tamang pagkakakilanlan ng mga port ng Ethernet - ang enxc0742bfffc6e ay ang malapit sa mga serial pin.

Bago mo mawala ang contact sa R1 sa Internet (OK, maaaring mas mahusay itong na-configure) i-install lamang ang isang bagay:

sudo apt-get install iptables-persistent

Hakbang 2: / etc / network / interface

Kung ililipat mo ang iyong lokal na network sa eth0 kaysa sa kailangan mo ng mga sumusunod na file ng mga interface (maaari kang laging makabalik sa bersyon ng Orig sa mga interface ng sudo cp. Mga default na interface; reboot):

manual br0iface br0 inet manual

tulay_ports eth0 enxc0742bfffc6e

off ang tulay_stp

tulay_fd 0

tulay_maxwait 0

tulay_maxage 0

Hakbang 3: Iptables

Pagkatapos ng pag-reboot ang iyong R1 ay dapat na maging transparent sa network at gumana tulad ng isang konektor ng cable. Hayaan nating gawing mas mahirap ang buhay para sa mga masasamang tao doon - i-configure ang mga patakaran ng firewall (ang mga linya ng hash ay mga komento; ayusin ang mga address ng network sa iyong pagsasaayos ng DHCP!):

# flash lahat at isara ang mga pinto

iptables -Fiptables -P INPUT DROP

iptables -P FORWARD DROP

iptables -P OUTPUT DROP

# ngunit payagan ang panloob na network na lumabas

iptables -A INPUT -m physdev --physdev-is-bridged --physdev-in eth0 -s 192.168.10.0/24 -j ACCEPT

iptables -A FORWARD -m physdev --physdev-is-bridged --physdev-in eth0 -s 192.168.10.0/24 -j ACCEPT

# payagan ang DHCP na pumunta sa pamamagitan ng tulay

iptables -A INPUT -i br0 -p udp --port 67:68 --sport 67:68 -j ACCEPT

iptables -A FORWARD -i br0 -p udp --dport 67:68 --sport 67:68 -j ACCEPT

# lahat ng itinatag na trapiko ay dapat na ipasa

iptables -A FORWARD -m conntrack --ctstate NAGTATAY, NAKaugnay -j TANGGAPIN

# para lang sa lokal na browser - pag-access sa mga tool sa pagsubaybay tulad ng darkstat

iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT

# block spoofing

iptables -A FORWARD -m physdev --physdev-is-bridged --physdev-in enxc0742bfffc6e -s 192.168.10.0/24 -m limitasyon - Limitahan ang 5 / min -j LOG --log-level 7 --log-unlapi NETFILTER

iptables -A FORWARD -m physdev --physdev-is-bridged --physdev-in enxc0742bfffc6e -s 192.168.10.0/24 -j Tanggihan

Hakbang 4: Pangwakas na Pagsasaalang-alang

Pagkatapos ng isang linggo - ito ay gumagana nang perpekto. Ang tanging bagay na gagawin ko (at isumite dito) ay ang pagsubaybay sa network at pag-access sa pamamagitan ng ssh. Uulitin ko - ang pagbabago ng mga file ng mga interface sa nilalaman na aking na-attach ay makakaalis sa R1 aparato mula sa IP network - serial lamang ang gagana.

Hunyo ika-6 ng 2018: ang bridging ay hindi gaanong gawain upang gawin ngunit ang R1 ay naglalabas ng maraming init, masyadong maraming. Ang isang simpleng heat sink ay naging napakainit - kakaiba at ayoko nito. Siguro ok lang, baka may isang tao na may solusyon maliban sa isang fan.

Aug 18th: Ang 'armbianmonitor -m' ay nagpapakita ng 38 Celsius, na mas mababa sa aking personal na pang-unawa. Naramdaman ko ang isang makabuluhang pagbabago (pababa) nang mabawasan ko nang kaunti ang orasan:

echo 1000000> / sys / aparato / system / cpu / cpu0 / cpufreq / scaling_max_freq

BTW - Nagawa kong kumonekta sa aking tahanan na WLAN ngunit ang R1 ay hindi nakatanggap ng anumang IP sa pamamagitan ng DHCP, hindi rin gagana ang mga static na assignment. Iyon ang aking unang pagtatangka na magkaroon ng isang pang-administratibong interface, maliban sa isang serial. Ang isa pang ideya ay magkaroon pa rin ng isang IP na nakatalaga sa isa sa mga port ng ethernet. Babalik ako rito sa loob ng ilang buwan.