Sommario:
- Passaggio 1: sistema operativo e cablaggio
- Passaggio 2: /etc/network/interfaces
- Passaggio 3: Iptables
- Passaggio 4: considerazioni finali
Video: Bridge Firewall con OrangePi R1: 4 passaggi
2024 Autore: John Day | [email protected]. Ultima modifica: 2024-01-30 10:03
Ho dovuto acquistare un altro Orange Pi:) Questo perché il mio telefono SIP ha iniziato a squillare nel cuore della notte da numeri strani e il mio provider VoIP ha suggerito che ciò fosse dovuto alle scansioni delle porte. Un'altra ragione: avevo sentito troppo spesso parlare di router violati e ho un router che non sono autorizzato ad amministrare (Altibox/Norvegia). Ero anche curioso di sapere cosa stava succedendo nella mia rete domestica. Così ho deciso di creare un bridge-firewall, trasparente alla rete domestica TCP/IP. L'ho testato con un PC, poi ho deciso di acquistare OPi R1 - meno rumore e meno consumo energetico. Se hai la tua ragione per avere un tale firewall hardware, è più facile di quanto pensi! Non dimenticare di acquistare un dissipatore di calore e una scheda micro SD decente.
Passaggio 1: sistema operativo e cablaggio
Ho installato Armbian:
Come forse avrai notato ho usato il convertitore USB TTL per avere accesso alla console seriale, che non era necessario, la configurazione di rete predefinita presuppone DHCP.
L'unico commento al convertitore: in molti tutorial non viene suggerita alcuna connessione VCC. Per me ha funzionato solo quando è stata collegata l'alimentazione (3,3 V è l'unico pin out quadrato sulla scheda). E si sarebbe surriscaldato se non fosse stato collegato all'USB prima dell'accensione. Immagino che R1 abbia una piedinatura compatibile con OPi Zero, ho problemi a trovare gli schemi di R1.
Dopo aver avviato Armbian, cambiando la password di root e alcune cose di aggiornamento/aggiornamento ho trovato due interfacce ('ifconfig -a') - eth0 e enxc0742bfffc6e. Controllalo perché ne avrai bisogno ora - la cosa più fantastica è che per trasformare il tuo R1 in un bridge Ethernet devi solo regolare il file /etc/network/interfaces. Sono rimasto stupito dal fatto che Armbian venga fornito con alcune versioni preconfigurate del file tra cui interfaces.r1switch - suona come quello di cui abbiamo bisogno ma non funziona.
Un'altra cosa importante era l'identificazione corretta delle porte Ethernet: enxc0742bfffc6e era quella vicino ai pin seriali.
Prima che R1 perda il contatto con Internet (OK, questo avrebbe potuto essere configurato meglio) basta installare una cosa:
sudo apt-get install iptables-persistent
Passaggio 2: /etc/network/interfaces
Se passi la tua rete locale a eth0 di quanto ti serve il seguente file di interfacce (puoi sempre tornare alla versione originale con sudo cp interfaces.default interfaces; reboot):
auto br0iface br0 inet manuale
bridge_ports eth0 enxc0742bfffc6e
bridge_stp off
bridge_fd 0
bridge_maxwait 0
bridge_maxage 0
Passaggio 3: Iptables
Dopo il riavvio, il tuo R1 dovrebbe essere trasparente alla rete e funzionare come un connettore per cavi. Ora rendiamo la vita più difficile per i malintenzionati là fuori - configura le regole dei firewall (le linee tratteggiate sono commenti; adatta gli indirizzi di rete alla tua configurazione DHCP!):
# lampeggia tutto e chiudi le porte
iptables -Fiptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
# ma consenti alla rete interna di uscire
iptables -A INPUT -m physdev --physdev-is-bridged --physdev-in eth0 -s 192.168.10.0/24 -j ACCEPT
iptables -A FORWARD -m physdev --physdev-is-bridged --physdev-in eth0 -s 192.168.10.0/24 -j ACCEPT
# consenti a DHCP di passare attraverso il bridge
iptables -A INPUT -i br0 -p udp --dport 67:68 --sport 67:68 -j ACCEPT
iptables -A FORWARD -i br0 -p udp --dport 67:68 --sport 67:68 -j ACCEPT
# tutto il traffico stabilito deve essere inoltrato
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED, RELATED -j ACCEPT
# solo per browser locale: accesso a strumenti di monitoraggio come darkstat
iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT
#block spoofing
iptables -A FORWARD -m physdev --physdev-is-bridged --physdev-in enxc0742bfffc6e -s 192.168.10.0/24 -m limit --limit 5/min -j LOG --log-level 7 --log-prefix NETFILTER
iptables -A FORWARD -m physdev --physdev-is-bridged --physdev-in enxc0742bfffc6e -s 192.168.10.0/24 -j REJECT
Passaggio 4: considerazioni finali
Dopo una settimana - funziona perfettamente. L'unica cosa che inventerò (e presenterò qui) è il monitoraggio della rete e l'accesso tramite ssh. Ripeto - la modifica del file delle interfacce con il contenuto che ho allegato staccherà il dispositivo R1 dalla rete IP - funzionerà solo la seriale.
6 giugno 2018: il bridging non è molto lavoro da fare ma R1 emette molto calore, davvero troppo. Un semplice dissipatore di calore diventa molto caldo - strano e non mi piace. Forse va bene, forse qualcuno ha una soluzione diversa da un fan.
18 agosto 2018: 'armbianmonitor -m' mostra 38 gradi Celsius, che è molto al di sotto della mia percezione personale. Ho sentito un cambiamento significativo (in calo) quando ho ridotto un po' l'orologio:
echo 1000000 > /sys/devices/system/cpu/cpu0/cpufreq/scaling_max_freq
A proposito: sono riuscito a connettermi alla mia WLAN domestica ma R1 non ha ricevuto alcun IP tramite DHCP, nemmeno i deo di assegnazione statica funzionano. Questo è stato il mio primo tentativo di avere un'interfaccia amministrativa, diversa da quella seriale. Un'altra idea è quella di avere ancora un IP assegnato a una delle porte ethernet. Tornerò su questo tra qualche mese.
Consigliato:
Proteggi la tua rete con un firewall UTM gratuito: 4 passaggi
Proteggi la tua rete con un firewall UTM gratuito: questa guida tratterà le nozioni di base per installare e far funzionare Sophos UTM sulla rete domestica. Questa è una suite software gratuita e molto potente. Sto cercando di raggiungere il minimo comune denominatore, quindi non entrerò nell'integrazione di Active Directory, remote
Firewall Raspberry Pi4: 12 passaggi
Firewall Raspberry Pi4: con il nuovo Raspbery Pi 4 (RPi4) appena rilasciato, ho deciso di crearmi un firewall per uso domestico. Dopo aver inciampato su Internet, ho trovato un ottimo articolo sull'argomento di Guillaume Kaddouch (https://networkfilter.blogspot.com/2012/08/building
Aggiungere MC Server a FireWall: 12 passaggi
Aggiungere MC Server a FireWall: 1. Digitare "wf.msc" nella barra di ricerca a sinistra della barra delle applicazioni.Alt. Vai al Pannello di controllo, apri Windows (Defender) Firewall e seleziona Impostazioni avanzate dal menu a sinistra
OrangeBOX: dispositivo di archiviazione di backup sicuro basato su OrangePI: 5 passaggi
OrangeBOX: dispositivo di archiviazione di backup sicuro basato su OrangePI: OrangeBOX è una scatola di backup di archiviazione remota all-in-one per qualsiasi server. Il tuo server può essere infettato, corrotto, cancellato e tutti i tuoi dati sono ancora al sicuro su OrangeBOX e chi non vorrebbe una missione impossibile come il dispositivo di backup che hai appena pl
Elusione del firewall/server proxy: 3 passaggi
Elusione del firewall/server proxy: molti altri studenti sono venuti e mi hanno chiesto come superare i firewall ei proxy. Le persone IT a scuola stanno diventando più intelligenti riguardo agli studenti che usano i proxy. Ho pensato a questo problema per un po' di tempo e ho una soluzione. Perché non creare le tue pagine web