Raspberry Pi4 галт хана: 12 алхам

2024 Зохиолч: John Day | [email protected]. Хамгийн сүүлд өөрчлөгдсөн: 2024-01-30 11:02

Шинэ Raspbery Pi 4 (RPi4) дөнгөж худалдаанд гарснаар би өөрийгөө гэрийн зориулалттай галт хана болгохоор шийдлээ. Интернет дээр бүдэрч унасны дараа би Guillaume Kaddouch-ийн энэ сэдвээр бичсэн гайхалтай нийтлэлийг олж авлаа (https://networkfilter.blogspot.com/2012/08/building-your-piwall-gateway-firewall.html). Энэхүү нийтлэл нь гайхалтай бөгөөд үүнийг цааш нь уншихаасаа өмнө унших хэрэгтэй-энэ нь энд тайлбарласан процессыг хөнгөвчлөх болно. Гол зүйл бол энэ нийтлэлийг 2012 онд бичсэн бөгөөд ArchLinux дистроц дээр суурилсан болно. ArchLinux -ийн эсрэг юу ч байхгүй, гэхдээ би үүнийг хамгийн түгээмэл Raspbian бүтцийг ашиглан хийхийг хүсч байсан. RPi4 нь боловсруулалтын шаардлагыг зохицуулж чаддаг. Тиймээс Guillaume, урам зориг өгсөнд баярлалаа !! Энэхүү зааварчилгаа нь Guillaume -ийн ("GK" гэсэн товчлол) анхны нийтлэл рүү буцах болно, та хөтөч дээрээ хоёр хуудсыг нээхийг хүсч магадгүй юм.

Миний галт хананы талаар хэдэн чухал зүйл:

• Надад LAN сүлжээнд холбогдсон ethernet jack (eth0) байна
• ISP чиглүүлэгч нь TRENDnet адаптер дээр байдаг (eth1)
• Би утасгүй адаптерийг идэвхгүй болгосон (wlan0)
• Энэ нь таныг 100% тэнд хүргэх баталгаа биш юм … хамгийн багадаа 99% гэж найдаж байна:) тиймээс санал хүсэлт/сэтгэгдлээ оруулна уу
• Энэ бол миний анхны зааварчилгаа юм. Тохиромжтой зааварчилгааны хэм хэмжээг дагаж мөрдөөгүй зүйлд уучлаарай.

Одоо жаахан хөгжилдөцгөөе …

Хангамж

• Raspberry Pi 4

  • Би 4GB хувилбарыг ашигласан, өөр хувилбарыг туршиж үзээрэй
  • Кейс (надад FLIRC таалагддаг, гэхдээ энэ бол таны дуудлага)
  • Цахилгаан адаптер
• MicroSD карт, 32GB ба түүнээс дээш (би 64GB карт ашигласан)
• TRENDnet USB3.0 Гигабит Ethernet Dongle (Загвар: TU3-ETG)
• Хос RJ45 сүлжээний кабель
• USB гар ба хулгана
• Микро-HDMI-HDMI кабель (HDMI дэлгэцэнд залгагдсан)

Хэрэв та SSH, VNC -ийг ажиллуулж чадвал гар, видео, хулганыг устгах боломжтой.

Алхам 1: RPi -ийн анхны тохиргоо

Хамгийн эхний хийх зүйл бол RPi4 -ийг шинэ систем болгон ажиллуулах явдал юм. Raspbian -ийн бүрэн түгээлтийг татаж аваад суулгана уу (ширээний болон санал болгож буй програм хангамж бүхий Raspbian Buster). Та хэд хэдэн удаа дахин ачаалах хэрэгтэй бөгөөд ингэснээр MicroSD картыг өргөжүүлж, ашиглах боломжтой болно.

Гутал ажиллаж байхдаа та орон нутаг, сүлжээ, гар, хулганы талаархи асуултуудад хариулах хэрэгтэй болно. Сүлжээнд холбогдож түүнийг шинэчлэхийг зөвшөөрнө үү.

Бүх зүйл зөв шинэчлэгдсэн болохыг баталж, дараа нь дибаг хийхэд туслах хэд хэдэн хэрэгслийг авцгаая.

$ sudo apt-get шинэчлэлт

$ sudo apt-get dist-upgrade $ sudo apt-get install htop $ sudo apt-get install tcpdump

Би vim суулгаагүй, GK -ийн 8 -р алхамыг хийгээгүй (vim -ийг тохируулах). Эдгээр функцуудын ихэнх нь байдаг тул би vi засварлагчийг л ашигласан. Энэ нь бас тодорхой цаг хугацаа, хүчин чармайлтыг хэмнэв.

Үүнийг дуусгасны дараа RPi4-ийг тохируулж, дэлгэцийг залгаарай. Миний зорилго бол үүнийг толгойгүй ажиллуулах явдал байсан, гэхдээ хэрэв би монитор залгах шаардлагатай бол үүнийг хүлээн зөвшөөрөх болно.

$ sudo vi /boot/config.txt

Тэр файлд:

тайлбар хийхгүй (урд талын #тэмдэгийг хасах): hdmi_force_hotplug = 1

тайлбар хийгээгүй: hdmi_drive = 2

сонголтоор нэмнэ үү: enable_hdmi_sound

Алхам 2: Сүлжээнд холбогдох

Хэрэв та GK -ийн сайтыг дагаж байгаа бол энэ бол 3 -р алхам юм. Гэхдээ би түүний эхний алхмуудыг яг нарийн дарааллаар нь дагаагүй гэдгийг санаарай.

Би үүнийг анх эхлүүлэхдээ RPi -г өөрийн ISP чиглүүлэгчтэйгээ шууд холбосон ("одоо байгаа сүлжээнийхээ хажууд"). Энэ нь сүлжээнд нөлөөлөхгүйгээр тохиргоогоор тоглох боломжийг надад олгосон юм. RPi4-ийг суулгасан RJ45-ийг чиглүүлэгчтэйгээ холбоно уу (эсвэл хүсвэл утасгүй). Raspbian -ийн хувьд үүнийг хийх хамгийн хялбар арга бол GUI ашиглах явдал юм. Ширээний компьютер дээрээс Raspberry Icon> Preferences> Raspberry Pi Configuration дээр дарна уу. SSH болон VNC -ийг идэвхжүүлэхээ мартуузай. Энэ нь Real-VNC сервер клиентийг суулгах болно. Хэрэв та Tight VNC үйлчлүүлэгчтэй холбогдохыг оролдвол энэ нь тохирох бөгөөд нэмэлт тохиргоо шаардагдах болно гэдгийг би олж мэдсэн. Тиймээс энэ үед Real-VNC клиентийг үндсэн ширээний/зөөврийн компьютер дээрээ суулгаарай (таны RPi4 биш).

SSH нь ажиллахгүй болно (GK-ийн алхам 7). Бид зарим тохиргоог өөрчлөх шаардлагатай байна. Эхлээд ssh config файлыг өөрчилье. Миний хийсэн өөрчлөлтүүд энд байна. Энд гарсан өөрчлөлт бүрийн нөлөөг судалж үзээгүй гэдгийг санаарай. Би GK -ийн сайтын санал болгосон зүйлийг хийсэн. Эдгээр өөрчлөлтүүдийн зарим нь шаардлагагүй байж магадгүй юм.

$ sudo vi/etc/ssh/sshd_config

Энэ файлд дараах мөрүүдийг тайлна уу.

HostKey/etc/ssh/ssh_host_rsa_keyHostKey/etc/ssh/ssh_host_ecdsa_keySyslogFacility AUTHLogLevel INFOStrictModes yesPubkeyAuthentication yesHostBasedAuthentication үгүй

Ростуудыг үл тоомсорлоорой, тийм ээ

PrintMotd noPrintLastLog yesTTCPKeepAlive тийм

Мөн дараах мөрүүдийг нэмнэ үү.

Протокол 2 Хэрэглэх Эрх ямба Тусгаарлах Тийм Түлхүүр Дахин сэргээх Интервал 3600СерверТүлхүүрБайц 768RSAAuthentcation тиймRhostsRSAAuthentication үгүй

Мөн дараах мөрүүдийг өөрчилнө үү.

Port 15507LoginGraceTime 60PermitRootLogin no

Эхний өөрчлөлтийн талаар хурдан яръя … порт 15507. SSH нь ихэвчлэн 22 порт дээр ажилладаг. GK үүнийг 15507 руу зөөсөн-яагаад гэдгийг нь мэдэхгүй байна. Та өөрчилж болно, өөрчилж ч болно … Хэрэв та үүнийг өөрчлөх гэж байгаа бол холбогдохыг хүссэн SSH-ийнхээ тушаалд "-p 15507" нэмэх шаардлагатай болно. Хэрэв та үүнийг алгасахаар шийдсэн бол эдгээр зааварт 15507 гэж дурдсан бусад газруудыг анхаарч, тэдгээрийг, ялангуяа галт ханын дүрмийг үл тоомсорлоорой!

Эцэст нь хэлэхэд энэ алхамыг RPi4 -ийн IP хаягаар авах боломжийг олгоно.

$ ipconfig -a

Идэвхтэй сүлжээний холболтыг олоорой (eth0 эсвэл wlan0 дээр байж магадгүй), тэр IP хаягийг бичнэ үү. Одоо танд RPi4 руу алсаас холбогдоход хэрэгтэй зүйл байна. Үргэлжлүүлэхээсээ өмнө дахин ачаалцгаая.

$ sudo дахин ачаална уу

Алхам 3: Өөр хэрэглэгч

Анхдагч RPi хэрэглэгчийн нэрийг (pi) ашиглахгүй байх нь дээр бөгөөд та нууц үгээ өөрчлөх ёстой. Аюулгүй байхын тулд алсаас холбогдож үргэлжлүүлэхийн тулд ашиглаж болох өөр хэрэглэгчийн данс нэмж оруулаарай (GK -ийн алхам 6). RPi дээр буцаж очоод шинэ хэрэглэгч нэмж, SSH -д хэрэглэгчийн зөвшөөрлийг тохируулж, sudo тушаалыг гарга.

$ sudo useradd -m -g хэрэглэгчид -G sudo, netdev -s /bin /bash [USERNAME]

$ sudo passwd [USERNAME]

Гарах эсвэл дахин ачаалж, шинээр үүсгэсэн дансаа цаашид ашиглах боломжтой болно.

Алхам 4: Syctl файл

Дараагийн алхам бол /etc/sysctl.conf файлыг өөрчлөх явдал юм (GK -ийн алхам 9). Энэ файл нь цөөн тооны цөмийн тохиргоог өөрчлөхөд хэрэглэгддэг. Бид Г. К -ийн хэлснийг яг биелүүлэх гэж байна. Энд хялбаршуулсан алхамууд байна.

$ sudo vi /etc/sysctl.conf

Энэ файлд дараах мөрүүдийг тайлна уу.

net.ipv4.conf.default.rp_filter = 1net.ipv4.conf.all.rp_filter = 1net.ipv4.tcp_syncookies = 1

net.ipv4.ip_forward = 1

net.ipv4.conf.all.accept_redirects = 0net.ipv4.conf.all.send_redirects = 0net.ipv4.conf.all.accept_source_route = 0net.ipv4.conf.all.log_martians = 1

Мөн дараах мөрүүдийг нэмнэ үү.

net.ipv4.icmp_echo_ignore_broadcasts = 1net.ipv4.icmp_ignore_bogus_error_responses = 1net.ipv4.conf.eth0.accept_redirects = 0vm.min_free_kbytes = 8192

Эдгээр шинэ тохиргоог ашиглан үйлчилгээг дахин эхлүүлээд дахин ачаална уу:

$ sudo sysctl -p

$ sudo дахин ачаална уу

Алхам 5: DHCP & DNS (1 -р хэсэг)

Миний хувьд энэ үйл явцад хоёр зовлонтой хэсэг байсан … DHCP & DNS -ийг тохируулах, галт ханын дүрмийг тохируулах. Тиймээс, бид эхний хэсгийг авч үзье. Хэрэв та GK сайтыг дагаж байгаа бол бид 10 -р алхам дээр байна.

Үүнийг хийхийн тулд танд ISP чиглүүлэгчээс (эсвэл одоогийн галт хана) цөөн хэдэн мэдээлэл хэрэгтэй болно.

• Чиглүүлэгчийн дотоод IP хаяг
• Таны чиглүүлэгч рүү RPi4 интерфэйсийг ашиглах боломжтой IP хаяг
• Нэрийн серверийн IP (эсвэл хоёр)
• LAN холболтын интерфэйсийн нэр (жишээ нь, eth0 эсвэл eth1)
• ISP холболтын интерфэйсийн нэр (жишээ нь, та LAN -д ашиглаагүй бүх зүйл)

Та мөн RPi4 -д статик IP хаягийг өгөхийн тулд чиглүүлэгчийн тохиргоог өөрчлөх шаардлагатай байж магадгүй (дээрх сум 2, дээрх). Наад зах нь би үүнийг хийсэн.

Эхлээд dhcpcd.conf файлыг өөрчилье …

$ sudo vi /etc/dhcpcd.conf

Эдгээр мөрүүдийг тайлах:

тогтвортой сонголтын түргэн шуурхай_компьютерийн_эр_серверүүд, домэйны_нэр, домэйны_хайлт, хост_нэгээний интерфейс_mtu

Сүлжээний интерфейс бүрийн хувьд та сүлжээний дэлгэрэнгүй мэдээллийг тохируулах хэрэгтэй. Тэд иймэрхүү харагдах ёстой:

# ISP -ийн интерфэйсийн статик

интерфэйс eth1 static ip_address = 192.168.1.статик чиглүүлэгчид = 192.168.1.254 статик domain_name_servers = 8.8.8.8 8.8.4.4 метр 100 # LAN интерфэйсийн интерфэйсийн статик eth0 static ip_address = 10.210.212. статик чиглүүлэгчид = 10.210.212.1 статик domain_name_servers = 8.8.8.8 8.8.4.4 #interface wlan0 #static ip_address = 10.210.212. #static routers = 10.210.212.1 #static domain_name_servers = 8.8.8.8 #Хэрэв та төхөөрөмж дээр IP хаягийг хүчээр оруулахыг хүсвэл энэ хэсэгт тайлбар хийгээрэй. 'Хост' гэсэн нэр нь системд утгагүй болно. Төхөөрөмжийн MAC хаяг болон хүссэн #IP хаягаа оруулна уу. Энэ нь dhcp хүрээнээс гадуур байгаа эсэхийг шалгаарай. Шаардлагатай бол давтана. #host [ANYTHING] { # hardware ethernet xx: xx: xx: xx: xx: xx; # суурин хаяг 10.210.212.250; #}

Танд тохирох тоонуудыг ашиглахаа мартуузай. Дээрх IP нь Google -ийн нэрийн серверээс бусад нь миний сүлжээнд зориулагдсан болно. Сүлжээний урсгалыг анх удаа туршиж үзэхийг хүчлэхийн тулд би ISP -ийн хэмжүүрийг 100 болгож тохируулсан болохыг анхаарна уу. Би бас утасгүй адаптертаа юу ч хийгээгүй (wlan0). Би энэ интерфэйсийг бүрмөсөн унтраах бодолтой байгаа тул энэ нь надад утга учиртай болсон.

Түүнчлэн, хэрэв та төхөөрөмжид IP хаягийг хүчээр оруулахыг хүсч байвал (NAS гэх мэт) доод хэсгийг ашиглана уу. Таны хувьд утга учиртай нэр өг, гэхдээ үүнийг хэзээ ч юу ч ашигладаггүй гэдгийг мэдэж аваарай. Цэг таслалыг бүү мартаарай.

Алхам 6: DHCP & DNS (2 -р хэсэг)

Дараагийн алхам бол dnsmasq.conf файлыг өөрчлөх явдал юм …

$ sudo vi /etc/dnsmasq.conf

Бид хэдэн мөрийг тайлж, хэдэн мөрийг засах хэрэгтэй. Та мөн dhcpcd.conf файлаас хэдэн тохиргоог хуулах хэрэгтэй болно. Өөртөө хариулах ёстой өөр хоёр асуулт бол:

Дотоод сүлжээнд (жишээлбэл, eth0) DHCP ба DNS хэрэгтэй юу? Та LAN -ийнхээ хувьд DHCP -ийн ямар хүрээг хүсч байна, түрээс тус бүр нь хэр удаан байх ёстой вэ?

Цөөн хэдэн мөрийг тайлбаргүйгээр эхлүүлээрэй.

хуурамч-privno-dhcp-интерфэйс = wlan0bind-interfacesdhcp-name-match = set: wpad-ignore, wpaddhcp-ignore-names = tag: wpad-ignore

Нэрийн серверээ тохируулна уу. 'Server =' эхлэх мөрийг хайж олоод 'server = 8.8.8.8' болгоно уу.

DHCP хүрээгээ тохируулна уу. Үүнийг хийх олон арга бий. Би төгсгөлийн хоёр IP, маск, түрээсийн хугацааг өгөхийг сонгосон. Миний хүрээ 10.210.212.20-10.210.212.240, сүлжээний маск 255.255.255.0, түрээсийн хугацаа 12 цаг байсан. Хэрэв танд статик IP өгөх шаардлагатай бол зарим IP хаягийг дээд ба доод хэсэгт үлдээхийг зөвлөж байна.

'Interface =' мөрийг 'interface = eth0) шиг болгож өөрчлөх замаар DNS ба DHCP (LAN) авах интерфэйсийг тохируулна уу. Би утасгүй сүлжээндээ DHCP IP хаяг оноож болохгүй гэж тусгайлан хэлснийг анзаараарай. Дахин хэлэхэд би энэ интерфэйсийг бүрмөсөн унтраах бодолтой байгаа тул энэ нь надад утга учиртай болсон.

Алхам 7: DHCP & DNS (3 -р хэсэг)

GK -ийн сүүлчийн алхамд өгсөн зааварчилгааг өөрчилсөн …

Энэ үед би RPi -г дахин эхлүүлэхээр очиход dnsmasq процесс идэвхгүй байсан. Бага зэрэг эргэж харвал миний eth0 болон eth1 сүлжээний интерфэйсүүд dnsmasq эхлэхээс өмнө хоёулаа идэвхгүй байсан тул dnsmasq эхлэхэд бүтэлгүйтэх болно. Би гар болон хулганыг RPi -д холбож, dnsmasq -ийг гараар дахин эхлүүлэх шаардлагатай болно. Толгойгүй тохируулгатай бол энэ нь тийм ч тохиромжтой биш юм. Би тохиргоонд янз бүрийн өөрчлөлт оруулах (жишээлбэл, bind-интерфэйсийг идэвхгүй болгох) болон бусад зүйлийг хийх ёстой гэсэн нийтлэлүүдийг уншсан. Аль нь ч ажиллаагүй. Эцэст нь би 2 минут тутамд ажилладаг бүрхүүл скрипт бичиж, dnsmasq -ийн статусыг шалгахаар шийдлээ. Хэрэв энэ нь ажиллахгүй байсан бол эхлүүлээрэй. Энэ байдал зөвхөн надад тохиолдоогүй гэж би бодож байна. Тиймээс, танд дараахь зүйлийг хийх шаардлагатай байна.

Дараах кодыг RPi дээрээ 'dns_masq_keepalive.sh' нэртэй файл болгоно.

#!/bin/bash

# Файл: dns_masq_keepalive.sh # 8 -р сарын 2019 # Үүнийг dnsmasq ажиллаж байгаа эсэхийг шалгахын тулд үүнийг crontab -e (*/2 * * * * /etc/dns_masq_keepalive.sh) ашиглан ашиглана уу. Dhcpcd.conf дээр дурдсан бүх интерфэйсүүд эхлэхээс өмнө идэвхжээгүй байвал үйлчилгээ өөрөө зогсох болно. Энэ нь асуудлыг шийддэг. # Дараагийн мөрөнд 'dnsmasq' гэсэн үгийг агуулсан бүх идэвхтэй ажлуудыг буцаана. Тиймээс, энэ # файлын нэрэнд 'dnsmasq' гэж битгий оруулаарай, эс тэгвээс файл бүр үүнийг буцааж өгөх бөгөөд та дахин эхлүүлэхгүй. dns_running = $ (ps -e | grep dnsmasq) echo $ dns_running if [-z "$ dns_running"] then #echo No DNSMasq sudo /etc/init.d/dnsmasq restart #else #echo DNSMasq Running fi

Шаардлагатай бол хайчилж ав. Юу ч хийсэн хамаагүй "dnsmasq" -г нэрэндээ битгий оруулаарай. Скрипт нь 'dnsmasq' гэсэн үгийг хайдаг бөгөөд хэрэв скрипт нэр дээрээ байгаа бол энэ үйлчилгээ ажиллаж байгаа гэж үзэх болно. Мөн файлын нэрийг '.sh' гэж төгсгөөрэй. Intructables надад '.sh' файлыг байршуулахыг зөвшөөрөхгүй байсан нь сайн хэрэг. Үлдсэн заавар нь: /etc/dns_masq_keepalive.sh хаягаар файл байгаа гэж үздэг.

Хоёрдугаарт, үүнийг гүйцэтгэхийн тулд файлын зөвшөөрлийг тохируулна уу.

$ sudo chmod u+x /etc/dns_masq_keepalive.sh

Одоо бид crontab системийг ашиглан програмыг өдөр бүр 2 минут тутамд ажиллуулах болно. Crontab эхлүүлэх:

$ sudo crontab -e

Энэ нь таныг vi эсвэл өөр зүйлийг ашиглан засварлахыг шаардах ёстой. Аливаа нь ажиллах болно. Үүнийг засварлаж дуусаад файлын төгсгөлд дараах зүйлийг нэмнэ үү.

*/2 * * * * sudo /etc/dns_masq_keepalive.sh

'*/2' хэсэгт хоосон зай байхгүй, харин одны хоорондох зай байна. Хадгалж, гарах. Энэ нь ажлын хуваарьт эсвэл үүнтэй төстэй зүйлийг танд хэлэх ёстой.

Алхам 8: Галт хана

Дараагийн зовлонтой үйл явц бол галт хана (GK -ийн алхам 11). Raspbian сайн мэддэг iptables системийг ашигладаг. GK -ийн блог нь таныг тэнд очиход туслах гурван файлаар хангаж байна … firewall.simple, firewall.advanced, firewall.flows. GK -ийг хүндэлж байна, гэхдээ үүнийг өөртөө хялбар болгож, галт ханыг ашиглаарай. Iptables систем, дүрмийг олохын тулд би маш их цаг зарцуулсан. Би хийсэндээ баяртай байна, гэхдээ энэ нь маш их өвдсөн. Тиймээс, би танд туслахын тулд хавсаргасан хоёр файлыг өгч байна … галт хана. Энгийн, галт хана. Эдгээр файлуудыг хоёуланг нь /etc хавтсанд хуулж, тэдгээрийг гүйцэтгэх боломжтой болгохын тулд зөвшөөрлийг өөрчилнө үү.

$ sudo chmod u+x /etc/firewall.simple

$ sudo chmod u+x /etc/firewall.clear

Галт ханын дүрмийг тохируулахаасаа өмнө ширээний компьютер/зөөврийн компьютерээ RPi eth0 порт руу холбож, IP хаяг, DNS ажиллаж байгаа эсэхийг шалгаарай. Үүнийг хийх хамгийн хялбар арга бол ерөнхий сайт, дараа нь мэдэгдэж буй IP хаягийг оролдох явдал юм. Мөн RPi болон ISP чиглүүлэгчээ пинг хийх. Хэрэв та үр дүнд хүрвэл бүх зүйл сайн байгаа бөгөөд танд тулгарч буй сүлжээний аливаа асуудал нь галт хананы асуудлаас үүдэлтэй байж магадгүй юм.

Анхны өгсөн файл нь GK -ийн firewall.simple файлаар эхэлсэн (баярлалаа, дахин GK!). Үүнийг энэ системд ашиглахын тулд би маш олон өөрчлөлт хийсэн. Энэ нь дор хаяж HTTP, HTTPS, DNS, DHCP, ping, дотоод SSH, дотоод VNC, plex -ийг зөвшөөрөх ёстой. Plex нь боломжтой бүх төхөөрөмжид зориулсан бүх нээлттэй порттой байж болохгүй, гэхдээ үүнийг засах олон бичлэгүүд байдаг. Файлын дээд талд сүлжээний тохиргоог өөрчлөх шаардлагатай утгууд байна.

Хоёр дахь файл болох firewall.clear нь таны галт ханын дүрмийг шалгах явцад ашиглах зориулалттай. Та 'sudo /etc/firewall.clear' ажиллуулахад бүх галт ханын дүрмүүд арилах бөгөөд систем интернетэд бүрэн холбогдсон байх ёстой. Тиймээс, хэрэв та сүлжээний үйлчилгээг (dns гэх мэт) галт хана дээр ажиллуулж чадахгүй байгаа бол энгийн дүрмүүд байдаг боловч галт хана ажиллуулсны дараа энэ нь ажиллаж эхэлдэг. Та дүрмийн асуудалтай байгаа гэдгээ мэдэж байна. Энэ нь таны дүрмийг туршиж үзэхэд үнэхээр чухал байх болно.

Тиймээс, бид тэнд галт ханын дүрэмтэй бөгөөд RPi эхлэхэд тэдгээрийг эхлүүлэх ёстой. Үүнийг хийхийн тулд бид /etc/rc.local файлыг засах болно.

$ sudo vi /etc/rc.local

Дотор нь орсны дараа файлын төгсгөлд дараахь зүйлийг нэмнэ үү.

echo “Iptables дүрмийг ачаалж байна” /etc/firewall.simple >>/dev/null

Хэрэв та snort халдлага илрүүлэх системийг нэмж оруулахаар шийдсэн бол энэ файлыг дахин засварлах шаардлагатай болно. Одоохондоо хадгалаад дахин ачаална уу.

$ sudo дахин ачаална уу

Алхам 9: Syslog

Хоёр алхам үлдлээ…

Энэ бол хялбар арга. Хэрэв та одоо ч гэсэн байгаа бөгөөд GK -ийн блогийг дагаж байгаа бол энэ бол 12 -р алхам юм. Та syslog файлын талаар түүний хэлсэн зүйлийг яг таг хийх хэрэгтэй. Энд товчилсон алхамууд байна:

2 сарын үнэтэй syslog өгөгдлийг хадгалах …

$ sudo vi /etc/logrotate.conf

Бид үүнийг "нэг долоо хоног" -ыг хэмжилт болгон ашиглаж, дараа нь 12 -ийг нь хадгалах ёстой гэж хэлэх хэрэгтэй. Энэ файлд танд дараах хоёр мөр хэрэгтэй. Одоо байгаа мөрүүдийг өөрчлөх шаардлагатай болно гэж би бодож байна.

долоо хоног тутам 12

Хадгалаарай.

Алхам 10: Snort ашиглан халдлага илрүүлэх

GK -ийн хамгийн сүүлд тохируулдаг зүйл бол snort систем юм. Би үүнийг бас зөвлөж байна. Та түүний дүрмийг дагаж мөрдөж болно, гэхдээ би энд бүгдийг нь жижигхэн өөрчлөлтөөр хуулбарлахгүй. Түүний заавар нь ArchLinux дистрост зориулагдсан болно. Энд бидний ашиглаж буй Raspbian тархалтын цөөн хэдэн өөрчлөлтийг энд оруулав. Үлдсэн зааврууд сайн ажилладаг.

Нэгдүгээрт, snort -ийг татаж суулгахын тулд sudo pacman -S snort -ийг бүү ашиглаарай. Дараахь зүйлийг хий.

$ sudo apt-get install snort

Хоёрдугаарт, та sudo snort -version ашиглан snort -ийг шалгаж чадахгүй. Суулгалтыг баталгаажуулна уу:

$ sudo snort -V

Эцэст нь үүнийг эхлүүлэх үед ажиллуулахын тулд rc.conf файлыг бүү өөрчил, rc.local файлыг засварла (дахин) …

$ sudo vi /etc/rc.local

Файлын төгсгөлд дараах мөрүүдийг нэмнэ үү.

цуурай "Хурхирах дууг ачаалж байна"

#/usr/sbin/snort -D -u snort -g snort -c /etc/snort/snort.conf -i eth0 -l/var/log/snort

Одоо дахин ачаалж, бүх зүйл ид шидийн байдлаар ажиллах ёстой.

$ sudo дахин ачаална уу

Алхам 11: Таашаал аваарай

Ийм л байх ёстой!

Юуны өмнө би Guillaume Kaddouch -т хангалттай талархаж чадахгүй байна! Тэр үүнд урам зориг өгсөн.

Хоёрдугаарт, хэрэв та гар, видео, хулганаа салгаагүй байгаа бол үүнийг хийх боломжтой. Шаардлагатай үед буцаж орохын тулд SSH болон VNC -ийг ашиглана уу.

Эцэст нь хэлэхэд энэ нь 100% төгс биш байж магадгүй юм. Өөрчлөлт/санал/зөвлөмжийг буцааж оруулна уу. Миний зорилго бол энэ нь хэлэлцүүлгийн эхлэл болж, олон хүмүүс баярлах болно!

Баярлалаа !!

PS… Энэ зураг нь FLIRC хөнгөн цагаан хайрцаг дотор RPi4 хэлбэртэй бөгөөд хуучин Intel сэнс бага зэрэг өөрчлөгдсөн бөгөөд орой дээр нь зип холбосон байна. Сэнсний доор дулааны оо байдаг. Би интернетээс ижил төстэй зүйл олж (https://www.reddit.com/r/raspberry_pi/comments/9bdgrr/it_turns_out_putting_a_heatsink_on_the_flirc_case/) өөрөө туршиж үзэхээр шийдсэн.

Алхам 12: Changelog

Энэхүү зааварчилгаанд өөрчлөлт оруулсан тул би тэдгээрийг энд баримтжуулах болно. Асуудал гарсан тохиолдолд хуучин заавар эсвэл файлуудыг авсан эсэхээ эндээс шалгаарай.

2019 оны 9 -р сарын 25:

• Галт хана дахь DHCP дүрмийг зассан. Энгийн
• Заавар дахь DHCP мужийг зассан (файлууд зөв байсан)
• DHCP зааварчилгаанд тогтмол IP даалгаврыг нэмсэн

2019 оны 10 -р сарын 13

• Олон алдааг зассан
• Хоёр дахь пи -ийг үүсгэсэн тул шаардлагатай бол би солих тестийн SD карттай болно