Bridge Firewall s OrangePi R1: 4 kroky

2024 Autor: John Day | [email protected]. Naposledy změněno: 2024-01-30 08:22

Musel jsem si koupit další Orange Pi:) Bylo to proto, že můj telefon SIP začal zvonit uprostřed noci z podivných čísel a můj poskytovatel VoIP navrhl, že to bylo kvůli skenování portů. Další důvod - příliš často jsem slyšel o hackerech routerů a mám router, který nesmím spravovat (Altibox/Norsko). Také jsem byl zvědavý, co se děje v mé domácí síti. Rozhodl jsem se tedy nastavit bridge-firewall, transparentní pro domácí síť TCP/IP. Vyzkoušel jsem to na PC, poté jsem se rozhodl koupit OPi R1 - menší hlučnost a menší spotřeba energie. Pokud máte svůj vlastní důvod mít takový hardwarový firewall - je to jednodušší, než si myslíte! Nezapomeňte si koupit chladič a slušnou kartu micro SD.

Krok 1: OS a kabeláž

Nainstaloval jsem si Armbian:

Jak jste si možná všimli, použil jsem převodník USB TTL pro přístup k sériové konzole, což nebylo nutné, výchozí konfigurace sítě předpokládá DHCP.

Jediná poznámka k převaděči - v mnoha tutoriálech není navrženo žádné připojení VCC. Pro mě to fungovalo pouze tehdy, když bylo připojeno napájení (3,3 V je jediný čtvercový kolík na desce). A bude se přehřívat, pokud nebude připojen k USB před zapnutím napájení. Myslím, že R1 má pinout kompatibilní s OPi Zero, mám problémy s nalezením schémat R1.

Po spuštění Armbianu, změně hesla root a některých aktualizací/upgradů jsem našel dvě rozhraní ('ifconfig -a') - eth0 a enxc0742bfffc6e. Zkontrolujte to, protože je teď budete potřebovat - nejúžasnější je, že k přeměně R1 na ethernetový most stačí upravit soubor/etc/network/interfaces. Byl jsem ohromen, že Armbian přichází s některými předkonfigurovanými verzemi souboru včetně rozhraní. R1switch - zní to, co potřebujeme, ale nefunguje to.

Další důležitou věcí byla správná identifikace ethernetových portů - enxc0742bfffc6e byl ten poblíž sériových pinů.

Než R1 uděláte ztrátu kontaktu s internetem (OK, mohlo to být nakonfigurováno lépe), nainstalujte jednu věc:

sudo apt-get install iptables-persistent

Krok 2:/etc/network/interfaces

Pokud přepnete svou místní síť na eth0, potřebujete následující soubor rozhraní (vždy se můžete vrátit k původní verzi pomocí sudo cp interfaces.default interfaces; restart):

auto br0iface br0 inet manuál

bridge_ports eth0 enxc0742bfffc6e

bridge_stp vypnuto

bridge_fd 0

bridge_maxwait 0

most_maxage 0

Krok 3: Iptables

Po restartu by měl být váš R1 transparentní k síti a fungovat jako kabelový konektor. Nyní zlehčíme život padouchům - nakonfigurujte pravidla brány firewall (hašované řádky jsou komentáře; upravte síťové adresy podle konfigurace DHCP!):

# zablikat vše a zavřít dveře

iptables -Fiptables -P VSTUP DROP

iptables -P PŘEDCHÁDZÍCÍ DROP

iptables -P VÝKON DROP

# ale dovolte interní síti jít ven

iptables -A INPUT -m physdev --physdev -is -bridged --physdev -in eth0 -s 192.168.10.0/24 -j ACCEPT

iptables -A FORWARD -m physdev --physdev -is -bridged --physdev -in eth0 -s 192.168.10.0/24 -j ACCEPT

# umožnit DHCP procházet mostem

iptables -A VSTUP -i br0 -p udp --port 67:68 --sport 67:68 -j PŘIJMOUT

iptables -A FORWARD -i br0 -p udp --dport 67:68 --sport 67:68 -j ACCEPT

# veškerý zavedený provoz by měl být přesměrován

iptables -A FORWARD -m conntrack --ctstate ESTABLISHED, SOUVISEJÍCÍ -j PŘIJAT

# jen pro místní prohlížeč - přístup k monitorovacím nástrojům, jako je darkstat

iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT

#block spoofing

iptables -A FORWARD -m physdev --physdev -is -bridged --physdev -in enxc0742bfffc6e -s 192.168.10.0/24 -m limit --limit 5/min -j LOG --log -level 7 --log -prefix SÍŤOVÝ FILTR

iptables -A FORWARD -m physdev --physdev -is -bridged --physdev -in enxc0742bfffc6e -s 192.168.10.0/24 -j ODMÍTNOUT

Krok 4: Závěrečné úvahy

Po týdnu - funguje perfektně. Jediné, co vymyslím (a odešlu zde), je monitorování sítě a přístup přes ssh. Opakuji - změna souboru rozhraní na obsah, který jsem připojil, odpojí zařízení R1 od sítě IP - bude fungovat pouze sériový port.

6. června 2018: přemostění není tolik práce, ale R1 vydává hodně tepla, příliš mnoho. Jednoduchý chladič se velmi zahřívá - zvláštní a nemám to rád. Možná je to v pořádku, možná má někdo jiné řešení než fanoušek.

18. srpna 2018: „armbianmonitor -m“ukazuje 38 stupňů Celsia, což je hluboko pod mým osobním vnímáním. Cítil jsem výraznou změnu (dolů), když jsem trochu snížil hodiny:

echo 1000000>/sys/devices/system/cpu/cpu0/cpufreq/scaling_max_freq

BTW - Podařilo se mi připojit k domácí WLAN, ale R1 neobdržel žádnou IP přes DHCP, nefunguje ani statické přiřazení. To byl můj první pokus mít administrátorské rozhraní, jiné než sériové. Další myšlenkou je mít stále přiřazenou IP k jednomu z ethernetových portů. K tomu se vrátím za několik měsíců.