Mundarija:

OrangePi R1 bilan ko'prikli xavfsizlik devori: 4 qadam
OrangePi R1 bilan ko'prikli xavfsizlik devori: 4 qadam

Video: OrangePi R1 bilan ko'prikli xavfsizlik devori: 4 qadam

Video: OrangePi R1 bilan ko'prikli xavfsizlik devori: 4 qadam
Video: How To Set Orange Pi R1 PLUS LTS As A OpenWrt Network Router? 2024, Iyul
Anonim
OrangePi R1 bilan ko'prikli xavfsizlik devori
OrangePi R1 bilan ko'prikli xavfsizlik devori

Men boshqa Orange Pi sotib olishimga to'g'ri keldi:) Buning sababi shundaki, mening SIP telefonim yarim tunda g'alati raqamlardan jiringlay boshladi va port tekshiruvi tufayli VoIP provayderim taklif qildi. Yana bir sabab - men marshrutizatorlar buzilgani haqida tez -tez eshitganman va menda marshrutizatorni boshqarishga ruxsat yo'q (Altibox/Norvegiya). Men ham uy tarmog'imda nima bo'layotganiga qiziqdim. Shuning uchun men TCP/IP uy tarmog'iga shaffof bo'lgan ko'prikli xavfsizlik devorini o'rnatishga qaror qildim. Men uni kompyuterda sinab ko'rdim, keyin OPi R1 sotib olishga qaror qildim - kamroq shovqin va kam quvvat sarfi. Agar sizda bunday xavfsizlik devori bo'lishi uchun o'z sababingiz bo'lsa - bu siz o'ylagandan osonroq! Issiqlik moslamasini va munosib micro SD -kartani sotib olishni unutmang.

1 -qadam: OS va kabel

OS va kabellar
OS va kabellar

Men Armbian-ni o'rnatdim:

Siz sezganingizdek, men USB TTL konvertorini ketma -ket konsoliga kirish uchun ishlatganman, lekin kerak bo'lmaganda, standart tarmoq konfiguratsiyasi DHCP ni oladi.

Konvertorga yagona izoh - ko'pgina darsliklarda VCC ulanishi taklif qilinmaydi. Men uchun u faqat elektr ta'minoti ulanganida ishlagan (3.3V - bortdagi yagona kvadrat pin). Quvvat manbai yoqilgunga qadar USB -ga ulanmagan bo'lsa, qizib ketishi mumkin edi. O'ylaymanki, R1da OPi Zero bilan mos keladigan pinout bor, menda R1 sxemalarini topish bilan bog'liq muammolar bor.

Armbian -ni ishga tushirgandan so'ng, ildiz parolini o'zgartirib, ba'zi yangilanishlarni/yangilanishlarni topdim, ikkita interfeys ('ifconfig -a') - eth0 va enxc0742bfffc6e topdim. Buni tekshiring, chunki sizga hozir kerak bo'ladi - eng dahshatli tomoni shundaki, R1 -ni chekilgan ko'prigiga aylantirish uchun faqat/etc/network/interfeyslar faylini sozlash kerak. Men Armbian interfeys.r1switch -ni o'z ichiga olgan faylning oldindan tuzilgan versiyalari bilan birga kelganidan hayron bo'ldim - bu bizga kerakli narsaga o'xshaydi, lekin u ishlamaydi.

Yana bir muhim narsa chekilgan portlarni to'g'ri aniqlash edi - enxc0742bfffc6e ketma -ket pinlarga yaqin edi.

R1 -ni Internet bilan aloqani uzishdan oldin (OK, bu yaxshiroq sozlanishi mumkin edi) faqat bitta narsani o'rnating:

sudo apt-get iptables-persent o'rnatish

2 -qadam:/etc/tarmoq/interfeyslar

Agar siz mahalliy tarmoqni eth0 ga o'zgartirsangiz, sizga quyidagi interfeysli fayl kerak bo'ladi (har doim asl versiyasiga sudo cp interfaces.default interfeyslari bilan qaytish mumkin; qayta yuklash):

avtomatik br0iface br0 inet qo'llanma

bridge_ports eth0 enxc0742bfffc6e

bridge_stp o'chirilgan

ko'prik_fd 0

0

ko'prik_maxage 0

3 -qadam: Iptables

Iptables
Iptables

Qayta ishga tushirilgandan so'ng, R1 tarmoq uchun shaffof bo'lishi va kabel ulagichi kabi ishlashi kerak. Keling, yomon odamlarning hayotini murakkablashtiraylik - xavfsizlik devorlari qoidalarini sozlang (chiziqli chiziqlar izoh; tarmoq manzillarini DHCP konfiguratsiyasiga moslashtiring!):

# hammasini o'chiring va eshiklarni yoping

iptables -Fiptables -P INPUT DROP

iptables -P FORWARD DROP

iptables -P OUTPUT DROP

# lekin ichki tarmoq tashqariga chiqishiga ruxsat bering

iptables -A INPUT -m physdev --physdev -ko'prikli -physdev -in eth0 -s 192.168.10.0/24 -j QABUL QILING

iptables -A FORWARD -m physdev -physdev -ko'prikli -physdev -in eth0 -s 192.168.10.0/24 -j QABUL QILING

# DHCP ga ko'prik orqali o'tishga ruxsat bering

iptables -A INPUT -i br0 -p udp --dport 67:68 --sport 67:68 -j QABUL QILING

iptables -A FORWARD -i br0 -p udp --dport 67:68 --sport 67:68 -j QABUL QILING

# barcha belgilangan trafik yo'naltirilishi kerak

iptables -Alga -m -ulanish --ctstate ESTABLISHED, RELATED -j QABUL QILING

# faqat mahalliy brauzer uchun - darkstat kabi monitoring vositalariga kirish

iptables -A INPUT -i lo -j QABUL QILING iptables -A OUTPUT -o lo -j QABUL QILING

#blokirovka qilish

iptables -A FORWARD -m physdev --physdev -ko'prikli --physdev -in enxc0742bfffc6e -s 192.168.10.0/24 -m limit -limit 5/min -j LOG -log -darajali 7 --log -prefiks NETFILTER

iptables -A FORWARD -m physdev -physdev -ko'prikli -physdev -in enxc0742bfffc6e -lar 192.168.10.0/24 -j REJECT

4 -qadam: Yakuniy fikrlar

Bir hafta o'tgach - u mukammal ishlaydi. Men tuzadigan (va bu erga yuboradigan) yagona narsa - tarmoq monitoringi va ssh orqali kirish. Takror aytaman - interfeys faylini biriktirilgan tarkibga o'zgartirish R1 qurilmasini IP tarmog'idan uzib qo'yadi - faqat ketma -ket ishlaydi.

2018 yil 6 -iyun: ko'prik qilish juda ko'p ish emas, lekin R1 juda ko'p issiqlik chiqaradi, juda ko'p. Oddiy sovutgich juda qizib ketadi - g'alati va menga bu yoqmaydi. Balki bu yaxshi, balki kimdir muxlisdan boshqa yechimga ega.

2018 yil 18 -avgust: "armbianmonitor -m" 38 darajani ko'rsatadi, bu mening shaxsiy tasavvurimdan ancha past. Men soatni biroz qisqartirganimda, sezilarli o'zgarishlarni (pastga) his qildim:

echo 1000000>/sys/devices/system/cpu/cpu0/cpufreq/scaling_max_freq

BTW - Men o'z uy WLAN -ga ulanishga muvaffaq bo'ldim, lekin R1 DHCP orqali hech qanday IP qabul qilmadi, statik tayinlash deolari ham ishlamaydi. Bu mening ketma -ket bo'lmagan ma'muriy interfeysga ega bo'lishga birinchi urinishim edi. Yana bir fikr - chekilgan portlardan biriga IP -ni tayinlash. Bir necha oy ichida men bunga qaytaman.

Tavsiya:

Interaktiv LED plitka devori (ko'rinishdan ko'ra osonroq): 7 qadam (rasmlar bilan)

Interaktiv LED plitka devori (ko'rinishdan ko'ra osonroq): 7 qadam (rasmlar bilan)

Interaktiv LED plitka devori (ko'rinishdan ko'ra osonroq): Ushbu loyihada men Arduino va 3D bosilgan qismlardan foydalangan holda interaktiv LED devorli displey qurdim, bu loyihaning ilhom manbai qisman Nanoleaf plitalaridan olingan. Men o'z versiyamni taklif qilmoqchi edim, u nafaqat arzonroq, balki

UTM xavfsizlik devori bo'lmagan tarmoqni himoya qiling: 4 qadam

UTM xavfsizlik devori bo'lmagan tarmoqni himoya qiling: 4 qadam

UTM xavfsizlik devori bepul tarmog'ingiz bilan himoyalaning: Ushbu qo'llanmada Sophos UTM -ni uy tarmog'iga o'rnatish va ishga tushirish bo'yicha asosiy ma'lumotlar keltirilgan. Bu bepul va juda kuchli dasturiy ta'minot to'plami, men eng past umumiy mezonni topishga harakat qilaman, shuning uchun men faol katalog integratsiyasiga kirmayman, masofadan

To'liq to'lqinli-ko'prikli rektifikator (JL): 5 qadam

To'liq to'lqinli-ko'prikli rektifikator (JL): 5 qadam

To'liq to'lqinli-ko'prikli rektifikator (JL): Kirish Ushbu murakkab sahifa sizni to'lqinli ko'prikli to'g'rilash moslamasini yaratish uchun zarur bo'lgan barcha qadamlarni ko'rsatib beradi. Bu o'zgaruvchan tokni doimiy oqimga aylantirishda foydalidir, uning qismlari (sotib olish havolalari bilan) (ehtiyot qismlar rasmlari mos keladi

Raspberry Pi4 xavfsizlik devori: 12 qadam

Raspberry Pi4 xavfsizlik devori: 12 qadam

Raspberry Pi4 xavfsizlik devori: Yangi Raspbery Pi 4 (RPi4) yangi chiqarilishi bilan men o'zimni uyda ishlatiladigan xavfsizlik devoriga aylantirishga qaror qildim. Internetda qoqilib ketgach, men Guillaume Kaddouch tomonidan shu mavzu bo'yicha ajoyib maqolani topdim (https://networkfilter.blogspot.com/2012/08/building

Xavfsizlik devori/proksi -serverni chetlab o'tish: 3 qadam

Xavfsizlik devori/proksi -serverni chetlab o'tish: 3 qadam

Xavfsizlik devori/proksi -serverni chetlab o'tish: Ko'plab boshqa talabalar kelib, men bilan qanday qilib xavfsizlik devorlari va proksi -serverlarga o'tishni so'rashdi. Maktabda IT -xodimlar o'quvchilarni ishonchli vakillardan foydalanganlari haqida aqlli bo'la boshladilar. Men bir muncha vaqt bu muammo haqida o'yladim va menda yechim bor. Nega o'z veb -sahifalaringizni yaratmaysiz?