Tilto užkarda su „OrangePi R1“: 4 žingsniai

2024 Autorius: John Day | [email protected]. Paskutinį kartą keistas: 2024-01-30 10:48

Turėjau nusipirkti kitą „Orange Pi“:) Taip buvo todėl, kad mano SIP telefonas pradėjo skambėti vidury nakties nuo keistų numerių, o mano VoIP teikėjas teigė, kad tai įvyko dėl uosto nuskaitymo. Kita priežastis - per dažnai girdėjau apie maršrutizatorių įsilaužimą ir turiu maršrutizatorių, kurio man neleidžiama administruoti („Altibox“/Norvegija). Man taip pat buvo įdomu, kas vyksta mano namų tinkle. Taigi nusprendžiau sukurti tiltinę ugniasienę, skaidrią TCP/IP namų tinklui. Aš išbandžiau jį su kompiuteriu, tada nusprendžiau nusipirkti „OPi R1“- mažiau triukšmo ir mažiau energijos. Jei turite savo priežastį turėti tokią aparatinę ugniasienę - tai lengviau, nei manote! Nepamirškite nusipirkti radiatoriaus ir tinkamos „micro SD“kortelės.

1 žingsnis: OS ir kabeliai

Įdiegiau „Armbian“:

Kaip galbūt pastebėjote, aš naudoju USB TTL keitiklį, kad galėčiau pasiekti serijinę konsolę, o tai nebuvo būtina, numatytoji tinklo konfigūracija numato DHCP.

Vienintelis komentaras keitikliui - daugelyje vadovėlių nesiūlomas VCC ryšys. Man tai veikė tik tada, kai buvo prijungtas maitinimo šaltinis (3.3V yra vienintelis kvadratinis kaištis plokštėje). Ir jis buvo perkaitęs, jei nebuvo prijungtas prie USB prieš įjungiant maitinimą. Manau, kad R1 turi „Pinout“, suderinamą su „OPi Zero“, turiu problemų ieškant R1 schemų.

Įkėlęs „Armbian“, pakeitęs šakninį slaptažodį ir keletą atnaujinimo/atnaujinimo dalykų, radau dvi sąsajas („ifconfig -a“) - eth0 ir enxc0742bfffc6e. Patikrinkite, nes jums jų prireiks dabar - nuostabiausias dalykas yra tai, kad norėdami paversti R1 eterneto tiltu, jums tereikia pakoreguoti failą/etc/network/interfaces. Buvau nustebęs, kad „Armbian“yra su tam tikromis iš anksto sukonfigūruotomis failo versijomis, įskaitant sąsajas. R1switch - skamba taip, kaip mums reikia, bet tai neveikia.

Kitas svarbus dalykas buvo tinkamas eterneto prievadų identifikavimas - enxc0742bfffc6e buvo tas, kuris buvo šalia serijinių kaiščių.

Prieš priversdami R1 prarasti ryšį su internetu (gerai, tai galėjo būti sukonfigūruota geriau), tiesiog įdiekite vieną dalyką:

sudo apt-get install iptables-persistent

2 veiksmas:/etc/network/interfaces

Jei vietinį tinklą perjungsite į eth0, jums reikės šio sąsajų failo (visada galite grįžti prie orig versijos naudodami sudo cp interfaces. Numatytosios sąsajos; paleiskite iš naujo):

Auto br0iface br0 inet instrukcija

bridge_ports eth0 enxc0742bfffc6e

tiltas_stp išjungtas

tiltas_fd 0

0 tiltas

tiltas_maxage 0

3 žingsnis: „Iptables“

Po perkrovimo jūsų R1 turėtų būti skaidrus tinklui ir veikti kaip kabelio jungtis. Dabar apsunkinkime blogų vaikinų gyvenimą - sukonfigūruokite užkardų taisykles (maišytos eilutės yra komentarai; koreguokite tinklo adresus pagal savo DHCP konfigūraciją!):

# blykstelėkite ir uždarykite duris

iptables -Fiptables -P INPUT DROP

„iptables“-P Į priekį

iptables -P OUTPUT DROP

# bet leiskite vidiniam tinklui išeiti į lauką

iptables -A INPUT -m physdev -physdev -is -tiltas -physdev -in eth0 -s 192.168.10.0/24 -j ACCEPT

iptables -A FORWARD -m physdev -physdev -is -tiltas -physdev -in eth0 -s 192.168.10.0/24 -j ACCEPT

# leisti DHCP eiti per tiltą

iptables -A INPUT -i br0 -p udp --portas 67:68 -sportas 67:68 -j ACCEPT

iptables -A FORWARD -i br0 -p udp --portas 67:68 -sportas 67:68 -j ACCEPT

# visas nustatytas srautas turėtų būti persiųstas

„iptables“-„A FORWARD“-„m conntrack“-valstybė įsteigta, SUSIJUSI -j PRIIMTI

# tik vietinei naršyklei - prieiga prie stebėjimo įrankių, tokių kaip „darkstat“

iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT

#blokuoti sukčiavimą

iptables -A FORWARD -m physdev -physdev -is -tiltas -physdev -in enxc0742bfffc6e -s 192.168.10.0/24 -m limit -limit 5/min -j LOG -dienoraščio lygis 7 --log -prefiksas NETFILTER

iptables -A FORWARD -m physdev -physdev -is -tiltas -physdev -in enxc0742bfffc6e -s 192.168.10.0/24 -j REJECT

4 žingsnis: galutiniai dalykai

Po savaitės - veikia puikiai. Vienintelis dalykas, kurį sugalvosiu (ir pateiksiu čia), yra tinklo stebėjimas ir prieiga per ssh. Kartoju - pakeitus sąsajų failą į turinį, kurį pridėjau, R1 įrenginys bus atjungtas nuo IP tinklo - veiks tik serijinis.

2018 m. Birželio 6 d.: tiltas nėra daug darbo, tačiau R1 išskiria daug šilumos, per daug. Paprasta šilumos kriauklė labai įkaista - keista ir man tai nepatinka. Galbūt viskas gerai, gal kas nors turi kitokį sprendimą nei ventiliatorius.

2018 m. Rugpjūčio 18 d. „Armbianmonitor -m“rodo 38 Celsijaus laipsnius, o tai yra daug žemiau mano asmeninio suvokimo. Jaučiau reikšmingą pokytį (žemyn), kai šiek tiek sumažinau laikrodį:

echo 1000000>/sys/devices/system/cpu/cpu0/cpufreq/scaling_max_freq

BTW - Man pavyko prisijungti prie savo namų WLAN, bet R1 negavo jokio IP per DHCP, taip pat neveikia statinio priskyrimo deos. Tai buvo mano pirmasis bandymas turėti administracinę sąsają, išskyrus serijinę. Kita idėja - vis tiek turėti IP, priskirtą vienam iš eterneto prievadų. Prie to grįšiu po kelių mėnesių.