جدار حماية الجسر مع OrangePi R1: 4 خطوات

2024 مؤلف: John Day | [email protected]. آخر تعديل: 2024-01-30 07:40

اضطررت إلى شراء Orange Pi أخرى:) كان هذا لأن هاتفي SIP بدأ في الرنين في منتصف الليل من أرقام غريبة واقتراح مزود VoIP الخاص بي كان ذلك بسبب عمليات مسح المنفذ. سبب آخر - لقد سمعت كثيرًا عن اختراق أجهزة التوجيه ، ولدي جهاز توجيه لا يُسمح لي بإدارته (Altibox / النرويج). كنت أشعر بالفضول أيضًا بشأن ما يحدث في شبكتي المنزلية. لذلك قررت إنشاء جدار حماية جسر يكون شفافًا لشبكة TCP / IP المنزلية. لقد اختبرت ذلك باستخدام جهاز كمبيوتر ، ثم قررت شراء OPi R1 - ضوضاء أقل واستهلاك أقل للطاقة. إذا كان لديك سبب خاص لامتلاك مثل هذا الجدار الناري للأجهزة - فهذا أسهل مما تعتقد! لا تنس شراء المشتت الحراري وبطاقة micro SD مناسبة.

الخطوة 1: نظام التشغيل والكابلات

لقد قمت بتثبيت Armbian:

ربما لاحظت أنني استخدمت محول USB TTL للوصول إلى وحدة التحكم التسلسلية ، وهو ما لم يكن ضروريًا ، يفترض تكوين الشبكة الافتراضي DHCP.

التعليق الوحيد على المحول - في العديد من البرامج التعليمية لا يُقترح اتصال VCC. بالنسبة لي ، كان يعمل فقط عند توصيل مصدر الطاقة (3.3 فولت هو الدبوس المربع الوحيد الموجود على اللوحة). وكان من المقرر أن ترتفع درجة حرارتها إذا لم يتم توصيلها بـ USB قبل تشغيل مصدر الطاقة. أعتقد أن R1 لديه pinout متوافق مع OPi Zero ، لدي مشاكل في العثور على مخططات R1.

بعد تمهيد Armbian ، وتغيير كلمة مرور الجذر وبعض عناصر التحديث / الترقية ، وجدت واجهتين ('ifconfig -a') - eth0 و enxc0742bfffc6e. تحقق من ذلك لأنك ستحتاج إليهم الآن - الشيء الأكثر روعة هو أنه لتحويل R1 الخاص بك إلى جسر Ethernet ، ما عليك سوى ضبط ملف / etc / network / interfaces. لقد اندهشت من أن Armbian يأتي مع بعض الإصدارات المكونة مسبقًا من الملف بما في ذلك interfaces.r1switch - يبدو مثل ما نحتاج إليه ولكنه لا يعمل.

كان الشيء المهم الآخر هو التحديد الصحيح لمنافذ Ethernet - كان enxc0742bfffc6e هو القريب من المسامير التسلسلية.

قبل أن تفقد R1 الاتصال بالإنترنت (حسنًا ، كان من الممكن تكوين هذا بشكل أفضل) فقط قم بتثبيت شيء واحد:

sudo apt-get install iptables-persistent

الخطوة الثانية: / etc / network / interfaces

إذا قمت بتبديل شبكتك المحلية إلى eth0 ، فستحتاج إلى ملف الواجهات التالي (يمكنك دائمًا الرجوع إلى الإصدار الأصلي باستخدام واجهات sudo cp. واجهات افتراضية ؛ إعادة التشغيل):

دليل السيارات br0iface br0 إنت

bridge_ports eth0 enxc0742bfffc6e

bridge_stp قبالة

bridge_fd 0

الجسر_maxwait 0

Bridge_maxage 0

الخطوة 3: Iptables

بعد إعادة التشغيل ، يجب أن يكون جهاز R1 شفافًا للشبكة ويعمل كموصل كابل. الآن دعونا نجعل الحياة أكثر صعوبة بالنسبة للأشرار - تكوين قواعد جدران الحماية (الأسطر المجزأة عبارة عن تعليقات ؛ اضبط عناوين الشبكة لتكوين DHCP الخاص بك!):

# فلاش الكل وأغلق الأبواب

iptables -فيبلاتيس -P INPUT DROP

iptables -P FORWARD DROP

iptables -P OUTPUT DROP

# لكن اسمح للشبكة الداخلية بالخروج

iptables -A INPUT -m physdev --physdev-is-bridged --physdev-in eth0 -s 192.168.10.0/24 -j قبول

iptables -A FORWARD -m physdev --physdev-is-bridged --physdev-in eth0 -s 192.168.10.0/24 -j قبول

# السماح لـ DHCP بالذهاب من خلال الجسر

iptables -A INPUT -i BR0 -p udp --dport 67:68 - الرياضة 67:68 -j قبول

iptables -A FORWARD -i BR0 -p udp --dport 67:68 - الرياضة 67:68 -j قبول

# يجب إعادة توجيه كل حركة المرور المنشأة

iptables -A FORWARD -m conntrack --ctstate ESTABLISHED، ذات الصلة -j ACCEPT

# فقط للمتصفح المحلي - الوصول إلى أدوات المراقبة مثل darkstat

iptables -A INPUT -i lo -j قبول iptables -A OUTPUT -o lo -j ACCEPT

# حظر الانتحال

iptables -A FORWARD -m physdev --physdev-is-bridged --physdev-in enxc0742bfffc6e -s 192.168.10.0/24 -m Limit 5 / min -j LOG --log-level 7 --log-prefix مرشح الشبكة

iptables -A FORWARD -m physdev --physdev-is-bridged --physdev-in enxc0742bfffc6e -s 192.168.10.0/24 -j رفض

الخطوة 4: الاعتبارات النهائية

بعد أسبوع - يعمل بشكل مثالي. الشيء الوحيد الذي سأختلقه (وأرسله هنا) هو مراقبة الشبكة والوصول إليها عبر ssh. أكرر - تغيير ملف الواجهات إلى المحتوى الذي أرفقته سيؤدي إلى فصل جهاز R1 من شبكة IP - سيعمل المسلسل فقط.

6 حزيران (يونيو) 2018: التجسير ليس بالكثير من العمل الذي يتعين القيام به ، لكن R1 ينبعث الكثير من الحرارة ، كثيرًا جدًا. المشتت الحراري البسيط يصبح ساخنًا جدًا - غريب وأنا لا أحبه. ربما يكون الأمر على ما يرام ، ربما يكون لدى شخص ما حل آخر غير المعجبين.

18 أغسطس 2018: عرض "armbianmonitor -m" 38 درجة مئوية ، وهو أقل بكثير من تصوري الشخصي. شعرت بتغير كبير (لأسفل) عندما خفضت الساعة قليلاً:

echo 1000000> / sys / devices / system / cpu / cpu0 / cpufreq / scaling_max_freq

راجع للشغل - لقد تمكنت من الاتصال بشبكة WLAN المنزلية الخاصة بي ولكن R1 لم يتلق أي IP عبر DHCP ، ولا يعمل deos التعيين الثابت أيضًا. كانت هذه محاولتي الأولى للحصول على واجهة إدارية ، بخلاف الواجهة التسلسلية. هناك فكرة أخرى وهي أن يكون لديك عنوان IP مخصص لأحد منافذ إيثرنت. سأعود إلى هذا في غضون بضعة أشهر.