OrangePi R1 bilan ko'prikli xavfsizlik devori: 4 qadam

2025 Muallif: John Day | [email protected]. Oxirgi o'zgartirilgan: 2025-01-23 15:14

Men boshqa Orange Pi sotib olishimga to'g'ri keldi:) Buning sababi shundaki, mening SIP telefonim yarim tunda g'alati raqamlardan jiringlay boshladi va port tekshiruvi tufayli VoIP provayderim taklif qildi. Yana bir sabab - men marshrutizatorlar buzilgani haqida tez -tez eshitganman va menda marshrutizatorni boshqarishga ruxsat yo'q (Altibox/Norvegiya). Men ham uy tarmog'imda nima bo'layotganiga qiziqdim. Shuning uchun men TCP/IP uy tarmog'iga shaffof bo'lgan ko'prikli xavfsizlik devorini o'rnatishga qaror qildim. Men uni kompyuterda sinab ko'rdim, keyin OPi R1 sotib olishga qaror qildim - kamroq shovqin va kam quvvat sarfi. Agar sizda bunday xavfsizlik devori bo'lishi uchun o'z sababingiz bo'lsa - bu siz o'ylagandan osonroq! Issiqlik moslamasini va munosib micro SD -kartani sotib olishni unutmang.

1 -qadam: OS va kabel

Men Armbian-ni o'rnatdim:

Siz sezganingizdek, men USB TTL konvertorini ketma -ket konsoliga kirish uchun ishlatganman, lekin kerak bo'lmaganda, standart tarmoq konfiguratsiyasi DHCP ni oladi.

Konvertorga yagona izoh - ko'pgina darsliklarda VCC ulanishi taklif qilinmaydi. Men uchun u faqat elektr ta'minoti ulanganida ishlagan (3.3V - bortdagi yagona kvadrat pin). Quvvat manbai yoqilgunga qadar USB -ga ulanmagan bo'lsa, qizib ketishi mumkin edi. O'ylaymanki, R1da OPi Zero bilan mos keladigan pinout bor, menda R1 sxemalarini topish bilan bog'liq muammolar bor.

Armbian -ni ishga tushirgandan so'ng, ildiz parolini o'zgartirib, ba'zi yangilanishlarni/yangilanishlarni topdim, ikkita interfeys ('ifconfig -a') - eth0 va enxc0742bfffc6e topdim. Buni tekshiring, chunki sizga hozir kerak bo'ladi - eng dahshatli tomoni shundaki, R1 -ni chekilgan ko'prigiga aylantirish uchun faqat/etc/network/interfeyslar faylini sozlash kerak. Men Armbian interfeys.r1switch -ni o'z ichiga olgan faylning oldindan tuzilgan versiyalari bilan birga kelganidan hayron bo'ldim - bu bizga kerakli narsaga o'xshaydi, lekin u ishlamaydi.

Yana bir muhim narsa chekilgan portlarni to'g'ri aniqlash edi - enxc0742bfffc6e ketma -ket pinlarga yaqin edi.

R1 -ni Internet bilan aloqani uzishdan oldin (OK, bu yaxshiroq sozlanishi mumkin edi) faqat bitta narsani o'rnating:

sudo apt-get iptables-persent o'rnatish

2 -qadam:/etc/tarmoq/interfeyslar

Agar siz mahalliy tarmoqni eth0 ga o'zgartirsangiz, sizga quyidagi interfeysli fayl kerak bo'ladi (har doim asl versiyasiga sudo cp interfaces.default interfeyslari bilan qaytish mumkin; qayta yuklash):

avtomatik br0iface br0 inet qo'llanma

bridge_ports eth0 enxc0742bfffc6e

bridge_stp o'chirilgan

ko'prik_fd 0

0

ko'prik_maxage 0

3 -qadam: Iptables

Qayta ishga tushirilgandan so'ng, R1 tarmoq uchun shaffof bo'lishi va kabel ulagichi kabi ishlashi kerak. Keling, yomon odamlarning hayotini murakkablashtiraylik - xavfsizlik devorlari qoidalarini sozlang (chiziqli chiziqlar izoh; tarmoq manzillarini DHCP konfiguratsiyasiga moslashtiring!):

# hammasini o'chiring va eshiklarni yoping

iptables -Fiptables -P INPUT DROP

iptables -P FORWARD DROP

iptables -P OUTPUT DROP

# lekin ichki tarmoq tashqariga chiqishiga ruxsat bering

iptables -A INPUT -m physdev --physdev -ko'prikli -physdev -in eth0 -s 192.168.10.0/24 -j QABUL QILING

iptables -A FORWARD -m physdev -physdev -ko'prikli -physdev -in eth0 -s 192.168.10.0/24 -j QABUL QILING

# DHCP ga ko'prik orqali o'tishga ruxsat bering

iptables -A INPUT -i br0 -p udp --dport 67:68 --sport 67:68 -j QABUL QILING

iptables -A FORWARD -i br0 -p udp --dport 67:68 --sport 67:68 -j QABUL QILING

# barcha belgilangan trafik yo'naltirilishi kerak

iptables -Alga -m -ulanish --ctstate ESTABLISHED, RELATED -j QABUL QILING

# faqat mahalliy brauzer uchun - darkstat kabi monitoring vositalariga kirish

iptables -A INPUT -i lo -j QABUL QILING iptables -A OUTPUT -o lo -j QABUL QILING

#blokirovka qilish

iptables -A FORWARD -m physdev --physdev -ko'prikli --physdev -in enxc0742bfffc6e -s 192.168.10.0/24 -m limit -limit 5/min -j LOG -log -darajali 7 --log -prefiks NETFILTER

iptables -A FORWARD -m physdev -physdev -ko'prikli -physdev -in enxc0742bfffc6e -lar 192.168.10.0/24 -j REJECT

4 -qadam: Yakuniy fikrlar

Bir hafta o'tgach - u mukammal ishlaydi. Men tuzadigan (va bu erga yuboradigan) yagona narsa - tarmoq monitoringi va ssh orqali kirish. Takror aytaman - interfeys faylini biriktirilgan tarkibga o'zgartirish R1 qurilmasini IP tarmog'idan uzib qo'yadi - faqat ketma -ket ishlaydi.

2018 yil 6 -iyun: ko'prik qilish juda ko'p ish emas, lekin R1 juda ko'p issiqlik chiqaradi, juda ko'p. Oddiy sovutgich juda qizib ketadi - g'alati va menga bu yoqmaydi. Balki bu yaxshi, balki kimdir muxlisdan boshqa yechimga ega.

2018 yil 18 -avgust: "armbianmonitor -m" 38 darajani ko'rsatadi, bu mening shaxsiy tasavvurimdan ancha past. Men soatni biroz qisqartirganimda, sezilarli o'zgarishlarni (pastga) his qildim:

echo 1000000>/sys/devices/system/cpu/cpu0/cpufreq/scaling_max_freq

BTW - Men o'z uy WLAN -ga ulanishga muvaffaq bo'ldim, lekin R1 DHCP orqali hech qanday IP qabul qilmadi, statik tayinlash deolari ham ishlamaydi. Bu mening ketma -ket bo'lmagan ma'muriy interfeysga ega bo'lishga birinchi urinishim edi. Yana bir fikr - chekilgan portlardan biriga IP -ni tayinlash. Bir necha oy ichida men bunga qaytaman.