Bridge Firewall z OrangePi R1: 4 kroki

2024 Autor: John Day | [email protected]. Ostatnio zmodyfikowany: 2024-01-30 11:31

Musiałem kupić kolejne Orange Pi:) To dlatego, że mój telefon SIP zaczął dzwonić w środku nocy z dziwnych numerów, a mój operator VoIP zasugerował, że jest to spowodowane skanowaniem portów. Inny powód - zbyt często słyszałem o włamaniu do routerów, a mam router, którym nie mogę administrować (Altibox/Norwegia). Byłem też ciekaw, co się dzieje w mojej sieci domowej. Postanowiłem więc ustawić zaporę mostową, przezroczystą dla domowej sieci TCP/IP. Przetestowałem go z komputerem PC, potem zdecydowałem się na zakup OPi R1 - mniej hałasu i mniejsze zużycie energii. Jeśli masz swój własny powód, aby mieć taki sprzętowy firewall - jest to prostsze niż myślisz! Nie zapomnij kupić radiatora i porządnej karty micro SD.

Krok 1: System operacyjny i okablowanie

Zainstalowałem Armbian:

Jak być może zauważyłeś, użyłem konwertera USB TTL, aby mieć dostęp do konsoli szeregowej, co nie było konieczne, domyślna konfiguracja sieci zakłada DHCP.

Jedyny komentarz do konwertera - w wielu tutorialach nie jest sugerowane połączenie VCC. U mnie działało to tylko po podłączeniu zasilania (3,3V to jedyne wyjście kwadratowe na płytce). I będzie się przegrzewał, jeśli nie zostanie podłączony do USB przed włączeniem zasilania. Chyba R1 ma pinout zgodny z OPi Zero, mam problem ze znalezieniem schematów R1.

Po uruchomieniu Armbiana, zmianie hasła roota i kilku rzeczach związanych z aktualizacją/upgradem znalazłem dwa interfejsy ('ifconfig -a') - eth0 i enxc0742bfffc6e. Sprawdź to, ponieważ będziesz ich teraz potrzebować - najbardziej niesamowitą rzeczą jest to, że aby zmienić swój R1 w most Ethernet, wystarczy dostosować plik /etc/network/interfaces. Byłem zdumiony, że Armbian jest dostarczany z kilkoma prekonfigurowanymi wersjami pliku, w tym interfaces.r1switch - brzmi jak to, czego potrzebujemy, ale nie działa.

Kolejną ważną rzeczą była poprawna identyfikacja portów Ethernet - enxc0742bfffc6e znajdował się w pobliżu pinów szeregowych.

Zanim sprawisz, że R1 straci kontakt z Internetem (OK, można było to lepiej skonfigurować) po prostu zainstaluj jedną rzecz:

sudo apt-get install iptables-persistent

Krok 2: /etc/sieć/interfejsy

Jeśli przełączysz sieć lokalną na eth0, potrzebujesz następującego pliku interfaces (zawsze możesz wrócić do wersji orig za pomocą sudo cp interfaces.default interfaces; restart):

auto br0iface br0 inet instrukcja

bridge_ports eth0 enxc0742bfffc6e

bridge_stp off

most_fd 0

bridge_maxwait 0

bridge_maxage 0

Krok 3: Iptables

Po ponownym uruchomieniu R1 powinien być przezroczysty dla sieci i działać jak złącze kablowe. Teraz utrudnijmy życie złoczyńcom - skonfigurujmy reguły firewalli (linie haszowane to komentarze; dostosuj adresy sieciowe do konfiguracji DHCP!):

# flashuj wszystkie i zamykaj drzwi

iptables -Fiptables -P DROP WEJŚCIA

iptables -P ZRZUT DO PRZODU

iptables -P SPADEK WYJŚCIA

# ale pozwól sieci wewnętrznej wyjść na zewnątrz

iptables -A INPUT -m physdev --physdev-jest zmostkowany --physdev-in eth0 -s 192.168.10.0/24 -j AKCEPTUJ

iptables -A FORWARD -m physdev --physdev-jest zmostkowany --physdev-in eth0 -s 192.168.10.0/24 -j AKCEPTUJ

# zezwól DHCP na przejście przez most

iptables -A INPUT -i br0 -p udp --dport 67:68 --sport 67:68 -j AKCEPTUJ

iptables -A FORWARD -i br0 -p udp --dport 67:68 --sport 67:68 -j AKCEPTUJ

# cały ustalony ruch powinien być przekierowany

iptables -A FORWARD -m conntrack --ctstate USTANOWIONO, POWIĄZANE -j AKCEPTUJ

# tylko dla lokalnej przeglądarki - dostęp do narzędzi monitorujących, takich jak darkstat

iptables -A WEJŚCIE -i lo -j AKCEPTUJ iptables -A WYJŚCIE -o lo -j AKCEPTUJ

#blokuj podszywanie się

iptables -A FORWARD -m physdev --physdev-jest zmostkowany --physdev-in enxc0742bfffc6e -s 192.168.10.0/24 -m limit --limit 5/min -j LOG --poziom-log 7 --przedrostek-log NETFILTER

iptables -A FORWARD -m physdev --physdev-jest-zmostkowany --physdev-in enxc0742bfffc6e -s 192.168.10.0/24 -j ODRZUCAJ

Krok 4: Rozważania końcowe

Po tygodniu – działa idealnie. Jedyne, co wymyślę (i prześlę tutaj) to monitorowanie sieci i dostęp przez ssh. Powtarzam - zmiana pliku interfejsów na zawartość, którą załączyłem, odłączy urządzenie R1 od sieci IP - zadziała tylko serial.

6 czerwca 2018 r.: mostkowanie to niewiele pracy, ale R1 emituje dużo ciepła, zdecydowanie za dużo. Prosty radiator bardzo się nagrzewa - dziwne i nie podoba mi się. Może jest ok, może ktoś ma inne rozwiązanie niż wentylator.

18 sierpnia 2018: 'armbianmonitor -m' pokazuje 38 stopni Celsjusza, co jest znacznie poniżej mojej osobistej percepcji. Poczułem znaczną zmianę (w dół), gdy nieco zmniejszyłem zegar:

echo 1000000 > /sys/devices/system/cpu/cpu0/cpufreq/scaling_max_freq

BTW - Udało mi się połączyć z domową siecią WLAN, ale R1 nie otrzymał żadnego adresu IP przez DHCP, nie działają też statyczne deo przypisania. To była moja pierwsza próba posiadania interfejsu administracyjnego innego niż szeregowy. Innym pomysłem jest przypisanie adresu IP do jednego z portów Ethernet. Wrócę do tego za kilka miesięcy.