OrangePi R1 бар көпір брандмауэрі: 4 қадам

2024 Автор: John Day | [email protected]. Соңғы өзгертілген: 2024-01-30 10:26

Мен басқа Orange Pi сатып алуым керек болды:) Бұл менің SIP телефоным түн ортасында бөтен нөмірлерден шырылдай бастағандықтан болды және менің VoIP провайдерім порт сканерлеуге байланысты болды. Тағы бір себеп - мен маршрутизаторлардың бұзылғанын жиі еститінмін, менде маршрутизатор бар, оны басқаруға рұқсат жоқ (Altibox/Норвегия). Мен сондай -ақ үй желісінде не болып жатқанын білгім келді. Сондықтан мен TCP/IP үй желісі үшін мөлдір көпір-брандмауэр орнатуды шештім. Мен оны компьютермен сынап көрдім, содан кейін мен OPi R1 сатып алуды шештім - шу мен энергияны аз тұтыну. Егер сізде осындай брандмауэр болудың өзіндік себебі болса - бұл сіз ойлағаннан да оңай! Жылытқыш пен лайықты micro SD картасын сатып алуды ұмытпаңыз.

1 -қадам: ОЖ және кабельдеу

Мен Armbian-ды орнаттым:

Сіз байқаған шығарсыз, мен USB TTL түрлендіргішін сериялық консольге кіру үшін қолдандым, ол қажет емес еді, әдепкі желі конфигурациясы DHCP қабылдайды.

Түрлендіргішке жалғыз түсініктеме - көптеген оқулықтарда VCC байланысы ұсынылмайды. Мен үшін бұл қуат көзі қосылған кезде ғана жұмыс істеді (3.3В - тақтадағы жалғыз шаршы түйреуіш). Егер қуат көзі қосылмағанға дейін USB -ге қосылмаған болса, ол қатты қызып кетуі мүмкін еді. Менің ойымша, R1 -де OPi Zero -мен үйлесімді түйін бар, менде R1 схемасын табуда қиындықтар бар.

Armbian жүктелгеннен кейін, түбірлік құпия сөзді және кейбір жаңарту/жаңартуды өзгерту арқылы мен екі интерфейсті таптым ('ifconfig -a') - eth0 және enxc0742bfffc6e. Оны тексеріңіз, себебі олар сізге қазір қажет болады - ең керемет нәрсе - R1 -ді Ethernet көпіріне айналдыру үшін тек/etc/network/interfaces файлын реттеу қажет. Мен Armbian интерфейстері бар файлдың алдын ала конфигурацияланған нұсқаларымен бірге келетініне таң қалдым.r1switch - бізге қажет сияқты, бірақ ол жұмыс істемейді.

Тағы бір маңызды нәрсе Ethernet портын дұрыс сәйкестендіру болды - enxc0742bfffc6e сериялық түйреуіштердің жанында болды.

R1 Интернетпен байланысын жоғалтпас бұрын (жақсы, бұл жақсы конфигурациялануы мүмкін еді) бір нәрсені орнатыңыз:

sudo apt-get iptables-persistent орнатыңыз

2 -қадам:/etc/network/interfaces

Егер сіз жергілікті желіні eth0 -ге ауыстырсаңыз, сізге келесі интерфейстер файлы қажет болады (әрқашан sudo cp interfaces.default интерфейстерімен бастапқы нұсқасына оралуға болады; қайта жүктеу):

auto br0iface br0 inet нұсқаулығы

bridge_ports eth0 enxc0742bfffc6e

bridge_stp өшірулі

көпір_фд 0

bridge_maxwait 0

көпір_максаж 0

3 -қадам: Iptables

Қайта жүктеуден кейін сіздің R1 желі үшін мөлдір болуы керек және кабель қосқышы сияқты жұмыс істеуі керек. Енді жаман адамдар үшін өмірді қиындатуға рұқсат етіңіз - брандмауэр ережелерін конфигурациялаңыз (хэшті сызықтар түсініктеме; желі адрестерін DHCP конфигурациясына реттеңіз!):

# барлығын жыпылықтап, есікті жабыңыз

iptables -Fiptables -P INPUT DROP

iptables -P FORWARD DROP

iptables -P OUTPUT DROP

# бірақ ішкі желіге сыртқа шығуға рұқсат етіңіз

iptables -A INPUT -m physdev --physdev -a -bridged --physdev -in eth0 -s 192.168.10.0/24 -j ҚАБЫЛДАУ

iptables -A FORWARD -m physdev --physdev -a -bridged --physdev -in eth0 -s 192.168.10.0/24 -j ҚАБЫЛДАУ

# DHCP -ге көпір арқылы өтуге рұқсат етіңіз

iptables -A INPUT -i br0 -p udp --dport 67:68 --спорт 67:68 -j ҚАБЫЛДАУ

iptables -A FORWARD -i br0 -p udp --dport 67:68 --спорт 67:68 -j ҚАБЫЛДАУ

# барлық белгіленген трафик жіберілуі керек

iptables -Алға -m қосылымы -мемлекет орнатылған, Қатысты -j ҚАБЫЛДАУ

# тек жергілікті шолғыш үшін - darkstat сияқты бақылау құралдарына қол жеткізу

iptables -A INPUT -i lo -j ҚАБЫЛДАУ iptables -A OUTPUT -o lo -j ACCEPT

#алдауды блоктау

iptables -A FORWARD -m physdev --physdev -a -bridged --physdev -in enxc0742bfffc6e -s 192.168.10.0/24 -m limit -limit 5/min -j LOG --log -level 7 --log -prefix NETFILTER

iptables -A FORWARD -m physdev --physdev -bridrid --physdev -in enxc0742bfffc6e -s 192.168.10.0/24 -j ҚАБЫЛДАМАУ

4 -қадам: Қорытынды ойлар

Бір аптадан кейін - бұл тамаша жұмыс істейді. Мен жасайтын жалғыз нәрсе (және жіберемін) - бұл желі мониторингі және ssh арқылы кіру. Мен қайталаймын - интерфейстер файлын мен қосқан мазмұнға өзгерту R1 құрылғысын IP желісінен ажыратады - тек сериялық жұмыс істейді.

2018 жылдың 6 маусымы: көпір салу көп жұмыс емес, бірақ R1 тым көп жылу бөледі. Қарапайым жылу қабылдағыш қатты қызады - біртүрлі және маған ұнамайды. Мүмкін, бұл жақсы, мүмкін біреудің желдеткіштен басқа шешімі бар шығар.

18 тамыз 2018 ж: 'armbianmonitor -m' 38 Цельсий көрсетеді, бұл менің жеке қабылдауымнан әлдеқайда төмен. Мен сағатты азайтқан кезде айтарлықтай өзгерісті (төмен) сезіндім:

echo 1000000>/sys/devices/system/cpu/cpu0/cpufreq/scaling_max_freq

BTW - Мен үйдегі WLAN желісіне қосыла алдым, бірақ R1 DHCP арқылы ешқандай IP алған жоқ, статикалық тағайындау деосы да жұмыс істемейді. Бұл менің сериялық интерфейстен басқа әкімшілік интерфейске ие болу үшін жасаған бірінші әрекетім. Тағы бір идея - Ethernet порттарының біріне тағайындалған IP болуы. Мен бұған бірнеше айдан кейін ораламын.