OrangePi R1: 4 ধাপ সহ ব্রিজ ফায়ারওয়াল

2024 লেখক: John Day | [email protected]. সর্বশেষ পরিবর্তিত: 2024-01-30 08:01

আমাকে আরেকটি অরেঞ্জ পাই কিনতে হয়েছিল:) এটি ছিল কারণ আমার এসআইপি ফোনটি মাঝ রাতে অদ্ভুত নম্বর থেকে বাজতে শুরু করেছিল এবং আমার ভিওআইপি প্রদানকারী প্রস্তাব করেছিলেন যে এটি পোর্ট স্ক্যানের কারণে হয়েছিল। আরেকটি কারণ - আমি রাউটার হ্যাক হওয়ার বিষয়ে প্রায়ই শুনেছি, এবং আমার একটি রাউটার আছে যা আমি পরিচালনা করতে পারি না (আলটিবক্স/নরওয়ে)। আমার হোম নেটওয়ার্কে কী চলছে তা নিয়েও আমি কৌতূহলী ছিলাম। তাই আমি একটি সেতু-ফায়ারওয়াল স্থাপন করার সিদ্ধান্ত নিয়েছি, টিসিপি/আইপি হোম নেটওয়ার্কে স্বচ্ছ। আমি এটি একটি পিসি দিয়ে পরীক্ষা করেছি, তারপর আমি OPi R1 কেনার সিদ্ধান্ত নিয়েছি - কম শব্দ এবং কম বিদ্যুত ব্যবহার। যদি আপনার নিজস্ব হার্ডওয়্যার ফায়ারওয়াল থাকার কারণ থাকে - এটি আপনার ভাবার চেয়ে সহজ! একটি হিট সিঙ্ক এবং একটি উপযুক্ত মাইক্রো এসডি কার্ড কিনতে ভুলবেন না।

ধাপ 1: ওএস এবং ক্যাবলিং

আমি আর্মবিয়ান ইনস্টল করেছি:

আপনি হয়তো লক্ষ্য করেছেন যে আমি সিরিয়াল কনসোলে অ্যাক্সেসের জন্য ইউএসবি টিটিএল কনভার্টার ব্যবহার করেছি, যা প্রয়োজনীয় ছিল না, ডিফল্ট নেটওয়ার্ক কনফিগ ডিএইচসিপি অনুমান করে।

রূপান্তরকারীকে একমাত্র মন্তব্য - অনেক টিউটোরিয়ালে কোন ভিসিসি সংযোগের পরামর্শ দেওয়া হয় না। আমার জন্য এটি কেবল তখনই কাজ করেছিল যখন বিদ্যুৎ সরবরাহ সংযুক্ত ছিল (3.3V হল বোর্ডে একমাত্র বর্গাকার পিন)। এবং পাওয়ার সাপ্লাই চালু হওয়ার আগে ইউএসবি -তে সংযুক্ত না হলে এটি অতিরিক্ত গরম হয়ে যাচ্ছিল। আমি মনে করি R1 এর OPI জিরোর সাথে পিনআউট সামঞ্জস্যপূর্ণ, R1 স্কিম্যাটিক্স খুঁজে পেতে আমার সমস্যা আছে।

আর্মবিয়ান বুট করার পরে, রুট পাসওয়ার্ড পরিবর্তন করা এবং কিছু আপডেট/আপগ্রেড স্টাফ আমি দুটি ইন্টারফেস ('ifconfig -a') পেয়েছি - eth0 এবং enxc0742bfffc6e। এটি পরীক্ষা করুন কারণ আপনার এখন তাদের প্রয়োজন হবে - সবচেয়ে দুর্দান্ত জিনিস হল আপনার R1 কে একটি ইথারনেট ব্রিজে পরিণত করতে আপনাকে কেবল/etc/network/interfaces ফাইলটি সামঞ্জস্য করতে হবে। আমি বিস্মিত হয়েছিলাম যে আর্মবিয়ান ইন্টারফেস.আর 1 স্যুইচ সহ ফাইলের কিছু পূর্বনির্ধারিত সংস্করণ নিয়ে আসে - আমাদের যা দরকার তা মনে হচ্ছে কিন্তু এটি কাজ করে না।

আরেকটি গুরুত্বপূর্ণ বিষয় ছিল ইথারনেট পোর্টগুলির সঠিক সনাক্তকরণ - enxc0742bfffc6e সিরিয়াল পিনের কাছাকাছি একটি।

আপনি R1 ইন্টারনেটের সাথে যোগাযোগ হারানোর আগে (ঠিক আছে, এটি আরও ভালভাবে কনফিগার করা যেত) শুধু একটি জিনিস ইনস্টল করুন:

sudo apt-get iptables-persistent ইনস্টল করুন

ধাপ 2:/etc/network/interfaces

যদি আপনি আপনার স্থানীয় নেটওয়ার্ককে eth0 এ স্যুইচ করেন তাহলে আপনার নিম্নলিখিত ইন্টারফেস ফাইলের প্রয়োজন হবে

auto br0iface br0 inet ম্যানুয়াল

bridge_ports eth0 enxc0742bfffc6e

সেতু_স্টপ বন্ধ

সেতু_এফডি 0

সেতু_ম্যাক্সওয়েট 0

সেতু_ম্যাক্সেজ 0

ধাপ 3: Iptables

রিবুট করার পরে আপনার R1 নেটওয়ার্কের জন্য স্বচ্ছ হওয়া উচিত এবং কেবল সংযোগকারীর মতো কাজ করা উচিত। এখন আসুন আমরা খারাপ লোকদের জীবনকে আরও কঠিন করে তুলি - ফায়ারওয়াল নিয়ম কনফিগার করুন (হ্যাশ লাইনগুলি মন্তব্য; আপনার DHCP কনফিগারেশনে নেটওয়ার্ক ঠিকানা সামঞ্জস্য করুন!):

# সব ফ্ল্যাশ করুন এবং দরজা বন্ধ করুন

iptables -Fiptables -P ইনপুট ড্রপ

iptables -P ফরওয়ার্ড ড্রপ

iptables -পি আউটপুট ড্রপ

# কিন্তু অভ্যন্তরীণ নেটওয়ার্ককে বাইরে যেতে দিন

iptables -A INPUT -m physdev -physdev -is -bridge -physdev -in eth0 -s 192.168.10.0/24 -j ACCEPT

iptables -A FORWARD -m physdev -physdev -is -bridge -physdev -in eth0 -s 192.168.10.0/24 -j ACCEPT

# DHCP কে সেতু দিয়ে যেতে দিন

iptables -A INPUT -i br0 -p udp -dport 67:68 -sport 67:68 -j ACCEPT

iptables -A FORWARD -i br0 -p udp --dport 67:68 --sport 67:68 -j ACCEPT

# সমস্ত প্রতিষ্ঠিত ট্রাফিক ফরওয়ার্ড করা উচিত

iptables -A FORWARD -m conntrack --ctstate ESTABLISHED, RELATED -J ACCEPT

# শুধু স্থানীয় ব্রাউজারের জন্য - ডার্কস্ট্যাটের মতো পর্যবেক্ষণ সরঞ্জামগুলিতে অ্যাক্সেস

iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT

#ব্লক স্পুফিং

iptables -A FORWARD -m physdev --physdev -is -bridge -physdev -in enxc0742bfffc6e -s 192.168.10.0/24 -m limit --limit 5/min -j LOG --log -level 7 --log -prefix নেটফিল্টার

iptables -A FORWARD -m physdev --physdev -is -bridge -physdev -in enxc0742bfffc6e -s 192.168.10.0/24 -j প্রত্যাখ্যান

ধাপ 4: চূড়ান্ত বিবেচনা

এক সপ্তাহ পরে - এটি নিখুঁতভাবে কাজ করে। একমাত্র জিনিস যা আমি তৈরি করব (এবং এখানে জমা দেব) হল নেটওয়ার্ক মনিটরিং এবং ssh এর মাধ্যমে অ্যাক্সেস। আমি পুনরাবৃত্তি করি - আমার সংযুক্ত করা সামগ্রীতে ইন্টারফেস ফাইল পরিবর্তন করা আইপি নেটওয়ার্ক থেকে আর 1 ডিভাইসটি বিচ্ছিন্ন করবে - কেবল সিরিয়ালই কাজ করবে।

6 ই জুন 2018: ব্রিজ করা খুব বেশি কাজ নয় কিন্তু R1 অনেক বেশি তাপ নির্গত করে, অনেক বেশি। একটি সাধারণ হিট সিঙ্ক খুব গরম হয়ে যায় - অদ্ভুত এবং আমি এটা পছন্দ করি না। হয়তো এটা ঠিক আছে, হয়তো কারো কাছে ফ্যান ছাড়া অন্য কোনো সমাধান আছে।

আগস্ট 18th 2018: 'armbianmonitor -m' 38 সেলসিয়াস দেখায়, যা আমার ব্যক্তিগত ধারণার অনেক নিচে। আমি একটি উল্লেখযোগ্য পরিবর্তন অনুভব করেছি (নিচে) যখন আমি ঘড়িটি কিছুটা হ্রাস করেছি:

প্রতিধ্বনি 1000000>/sys/devices/system/cpu/cpu0/cpufreq/scaling_max_freq

BTW - আমি আমার বাড়ির WLAN এর সাথে সংযোগ করতে পেরেছি কিন্তু R1 DHCP এর মাধ্যমে কোন IP পায়নি, স্ট্যাটিক অ্যাসাইনমেন্ট দেও কাজ করে না। এটি একটি সিরিয়াল ছাড়া অন্য একটি প্রশাসনিক ইন্টারফেস রাখার আমার প্রথম প্রচেষ্টা ছিল। আরেকটি ধারণা হল এখনও একটি ইথারনেট পোর্টের একটি আইপি নির্ধারিত আছে। আমি কয়েক মাসের মধ্যে এটি ফিরে পেতে হবে।