Firewall Raspberry Pi4: 12 Langkah

2024 Pengarang: John Day | [email protected]. Diubah suai terakhir: 2024-01-30 11:08

Dengan Raspbery Pi 4 (RPi4) yang baru dilancarkan, saya memutuskan untuk menjadikan diri saya firewall untuk keperluan rumah. Setelah tersandung di Internet, saya mendapat artikel hebat mengenai subjek oleh Guillaume Kaddouch (https://networkfilter.blogspot.com/2012/08/building-your-piwall-gateway-firewall.html). Artikel itu luar biasa, dan anda harus membacanya sebelum meneruskannya - ini akan menjadikan proses yang dijelaskan di sini lebih mudah. Masalahnya, artikel itu ditulis pada tahun 2012 dan berdasarkan distro ArchLinux. Tidak ada yang menentang ArchLinux, tetapi saya mahu membuatnya menggunakan versi Raspbian yang lebih biasa. RPi4 dapat menangani keperluan pemprosesan. Jadi, terima kasih, Guillaume, atas inspirasi !! Petunjuk ini akan merujuk kembali ke catatan asal Guillaume ("GK" untuk pendek), anda mungkin mahu kedua-dua halaman dibuka di penyemak imbas anda.

Beberapa perkara penting mengenai firewall saya:

• Saya mempunyai jack ethernet bawaan (eth0) yang menuju ke LAN
• Penghala ISP ada pada penyesuai TRENDnet (eth1)
• Saya telah melumpuhkan penyesuai wayarles secara aktif (wlan0)
• Ini tidak dijamin akan membawa anda 100% ke sana … semoga sekurang-kurangnya 99%:) jadi sila berikan maklum balas / komen
• Ini adalah arahan pertama saya. Maaf atas apa-apa yang tidak mengikut norma instruksional yang sesuai.

Sekarang, mari kita bersenang-senang …

Bekalan

• Raspberry Pi 4

  • Saya menggunakan versi 4GB, jangan ragu untuk mencuba versi lain
  • Kes (Saya suka FLIRC, tapi itu panggilan anda)
  • Penyesuai kuasa
• Kad MicroSD, 32GB atau lebih besar (saya menggunakan kad 64GB)
• TRENDnet USB3.0 Gigabit Ethernet Dongle (Model: TU3-ETG)
• Sebilangan kabel rangkaian RJ45
• Papan Kekunci dan Tetikus USB
• Kabel Micro-HDMI ke HDMI (yang dipasang ke monitor HDMI)

Papan kekunci, video, dan tetikus itu dapat dikeluarkan setelah anda dapat menghidupkan dan menjalankan SSH dan VNC.

Langkah 1: Persediaan RPi Awal

Perkara pertama yang perlu dilakukan ialah menghidupkan RPi4 anda sebagai sistem baru. Muat turun dan pasang pengedaran penuh Raspbian (Raspbian Buster dengan desktop dan perisian yang disyorkan). Anda perlu reboot beberapa kali sehingga dapat berkembang dan memanfaatkan kad MicroSD penuh.

Semasa memulakan, anda perlu menjawab soalan mengenai lokasi, rangkaian, papan kekunci dan tetikus. Sambungkan ke rangkaian dan biarkan ia dikemas kini.

Mari kita sahkan bahawa semuanya dikemas kini dengan betul, dan dapatkan beberapa utiliti yang dapat membantu menyahpepijat kemudian:

$ sudo apt-get kemas kini

$ sudo apt-get dist-upgrade $ sudo apt-get install htop $ sudo apt-get install tcpdump

Saya TIDAK memasang vim, dan juga langkah GK 8 (konfigurasi vim). Saya hanya menggunakan editor vi kerana ia mempunyai kebanyakan ciri tersebut. Ini juga menjimatkan masa dan usaha.

Setelah selesai, mari atur RPi4 sehingga kita dapat memasang monitor dengan panas. Tujuan saya adalah menjadikannya berjalan tanpa kepala, tetapi jika saya perlu memasang monitor, itu akan dikenali.

$ sudo vi /boot/config.txt

Dalam fail itu:

unmentment (keluarkan # -symbol depan): hdmi_force_hotplug = 1

unmentment: hdmi_drive = 2

secara pilihan, tambah: allow_hdmi_sound

Langkah 2: Rangkaian

Sekiranya anda mengikuti laman GK, ini adalah langkah 3. Tetapi perlu diingat, saya tidak mengikuti banyak langkah pertamanya mengikut urutan yang tepat.

Semasa mula-mula memulakannya, saya menyambungkan RPi terus ke penghala ISP saya ("bersebelahan rangkaian saya yang ada"). Ini membolehkan saya bermain dengan konfigurasi tanpa menjejaskan rangkaian. Sambungkan RPi4 RJ45 terbina dalam ke penghala anda (atau tanpa wayar, jika anda mahu). Dengan Raspbian, cara termudah untuk melakukannya adalah dengan menggunakan GUI. Dari desktop, klik Ikon Raspberry> Pilihan> Konfigurasi Raspberry Pi. Pastikan anda mengaktifkan SSH dan VNC. Ini akan memasang klien pelayan Real-VNC. Saya mendapati bahawa jika anda cuba berhubung dengan klien Tight VNC, ia akan sesuai dan memerlukan beberapa konfigurasi tambahan. Jadi, pada ketika ini pasang klien Real-VNC pada desktop / komputer riba utama anda (bukan RPi4 anda).

SSH tidak akan berfungsi di luar kotak (langkah 7 GK). Kita perlu mengubah beberapa konfigurasi. Pertama, mari kita ubah fail konfigurasi ssh. Inilah perubahan yang saya buat. Perlu diingat bahawa saya tidak mengkaji kesan setiap perubahan di sini. Saya melakukan apa yang dicadangkan oleh laman web GK. Sebilangan perubahan ini TIDAK diperlukan.

$ sudo vi / etc / ssh / sshd_config

Dalam fail itu, hilangkan baris berikut:

HostKey / etc / ssh / ssh_host_rsa_keyHostKey / etc / ssh / ssh_host_ecdsa_keySyslogFacility AUTHLogLevel INFOStrictModes yesPubkeyAuthentication yesHostBasedAuthentication no

Abaikan Rhosts ya

PrintMotd noPrintLastLog yaTCPKeepAlive ya

Dan tambahkan baris berikut:

Protokol 2GunakanPrivilegePembezaan yaKeyRegenerationInterval 3600ServerKeyBits 768RSAAuthentcation yesRostsRSAAuthentication no

Dan ubah baris berikut:

Port 15507LoginGraceTime 60PermitRootLogin no

Mari kita bincangkan tentang modifikasi pertama … port 15507. SSH biasanya berjalan di port 22. GK memindahkannya ke 15507 - tidak tahu mengapa. Anda boleh mengubahnya atau tidak… Sekiranya anda memilih untuk mengubahnya, anda perlu menambahkan "-p 15507" pada arahan SSH yang cuba anda sambungkan. Sekiranya anda memutuskan untuk melewatkannya, perhatikan tempat-tempat lain yang dinyatakan dalam 15507 dalam arahan ini dan abaikan, terutamanya peraturan firewall!

Terakhir untuk langkah ini, mari dapatkan alamat IP RPi4 sehingga kami tahu apa yang harus dihubungkan:

$ ipconfig -a

Cari sambungan rangkaian aktif (mungkin pada eth0 atau wlan0) dan tuliskan alamat IP tersebut. Kini anda mempunyai apa yang anda perlukan untuk menyambung ke RPi4 dari jauh. Mari reboot sebelum meneruskan:

but semula $ sudo

Langkah 3: Pengguna Lain

Sebaiknya jangan gunakan nama pengguna RPi (pi) lalai, dan anda pasti harus menukar kata laluan. Untuk selamat, mari tambah akaun pengguna lain yang boleh anda gunakan untuk menyambung dan meneruskannya dari jarak jauh (langkah 6 GK). Kembali pada RPi, mari tambahkan pengguna baru dan tetapkan izin untuk pengguna ke SSH dan mengeluarkan perintah sudo:

$ sudo useradd -m -g users -G sudo, netdev -s / bin / bash [USERNAME]

$ sudo passwd [USERNAME]

Jangan ragu untuk keluar atau reboot dan gunakan akaun yang baru dibuat pada masa akan datang.

Langkah 4: Fail Syctl

Langkah seterusnya adalah mengubah fail /etc/sysctl.conf (langkah 9 GK). Fail ini digunakan untuk mengubah beberapa tetapan kernel. Kami akan melakukan apa yang GK katakan. Berikut adalah satu langkah yang dipermudahkan.

$ sudo vi /etc/sysctl.conf

Dalam fail itu, hilangkan baris berikut:

net.ipv4.conf.default.rp_filter = 1net.ipv4.conf.all.rp_filter = 1net.ipv4.tcp_syncookies = 1

net.ipv4.ip_forward = 1

net.ipv4.conf.all.accept_redirects = 0net.ipv4.conf.all.send_redirects = 0net.ipv4.conf.all.accept_source_route = 0net.ipv4.conf.all.log_martians = 1

Dan tambahkan baris berikut:

net.ipv4.icmp_echo_ignore_broadcasts = 1net.ipv4.icmp_ignore_bogus_error_responses = 1net.ipv4.conf.eth0.accept_redirects = 0vm.min_free_kbytes = 8192

Mulakan semula perkhidmatan dengan tetapan baru ini dan but semula:

$ sudo sysctl -p

but semula $ sudo

Langkah 5: DHCP & DNS (bahagian 1)

Bagi saya, terdapat dua bahagian yang menyakitkan dalam proses ini… Menyiapkan DHCP & DNS, dan menetapkan peraturan firewall. Jadi, di sini kita pergi dengan bahagian pertama. Sekiranya anda mengikuti laman GK, kami berada di langkah 10.

Untuk melakukan ini, anda memerlukan beberapa maklumat dari penghala ISP anda (atau firewall semasa):

• Alamat IP dalaman penghala
• Alamat IP yang boleh anda gunakan untuk antara muka RPi4 ke penghala
• IP untuk pelayan nama (atau dua)
• Nama antara muka untuk sambungan LAN (mis., Eth0 atau eth1)
• Nama antara muka untuk sambungan ISP (mis., Apa sahaja yang anda tidak gunakan untuk LAN)

Anda juga mungkin perlu mengubah tetapan penghala untuk memberikan RPi4 alamat IP statik (peluru 2, di atas). Paling tidak, itulah yang saya buat.

Pertama, mari ubah suai fail dhcpcd.conf…

$ sudo vi /etc/dhcpcd.conf

Menanggalkan garis berikut:

persistenpengambilan cepat_komuniti_pengguna_pengguna_nama_pengguna, domain_name, domain_search, host_nameoption interface_mtu

Untuk setiap antara muka rangkaian, anda perlu menetapkan butiran rangkaian. Mereka harus kelihatan seperti ini:

# Statik untuk antara muka ke ISP

antaramuka eth1 static ip_address = 192.168.1.static router = 192.168.1.254 static domain_name_servers = 8.8.8.8 8.8.4.4 metrik 100 # Statik untuk antara muka ke antara muka LAN eth0 static ip_address = 10.210.212. router statik = 10.210.212.1 statik domain_name_servers = 8.8.8.8 8.8.4.4 #interface wlan0 #static ip_address = 10.210.212. # static router = 10.210.212.1 #static domain_name_servers = 8.8.8.8 #Komentari bahagian ini jika anda ingin memaksa alamat IP pada peranti. Nama selepas 'host' # tidak bermaksud sistem. Masukkan alamat MAC peranti serta alamat #IP yang dikehendaki. Pastikan ia berada di luar julat dhcp. Ulangi jika perlu. #host [APA SAJA] {# ethernet perkakasan xx: xx: xx: xx: xx: xx; # alamat tetap 10.210.212.250; #}

Pastikan anda menggunakan nombor yang sesuai untuk anda. IP di atas adalah untuk rangkaian saya, kecuali pelayan nama yang merupakan Google. Perhatikan bahawa saya juga menetapkan metrik untuk ISP hingga 100 untuk menjadikannya menjadi percubaan pertama lalai untuk lalu lintas rangkaian. Saya juga tidak melakukan apa-apa pada penyesuai wayarles saya (wlan0). Saya berhasrat untuk mematikan antara muka itu sepenuhnya, jadi masuk akal bagi saya.

Juga, jika anda ingin memaksa alamat IP pada peranti (seperti NAS), gunakan bahagian bawah itu. Beri tuan rumah nama yang bermakna bagi anda, tetapi ketahuilah nama itu tidak pernah digunakan oleh apa pun. Jangan lupa titik koma.

Langkah 6: DHCP & DNS (bahagian 2)

Langkah seterusnya adalah mengubah suai fail dnsmasq.conf…

$ sudo vi /etc/dnsmasq.conf

Kita perlu melepaskan beberapa baris, dan menyunting beberapa baris. Anda juga perlu menyalin beberapa tetapan dari fail dhcpcd.conf. Dua soalan lain yang perlu anda jawab sendiri ialah:

Adakah LAN dalaman (mis., Eth0) memerlukan DHCP dan DNS? Apa julat DHCP yang anda mahukan untuk LAN anda, dan berapa lama setiap pajakan itu harus?

Mulakan dengan melepaskan beberapa baris:

bogus-privno-dhcp-interface = wlan0bind-interfacesdhcp-name-match = set: wpad-ignore, wpaddhcp-ign-names = tag: wpad-abaikan

Tetapkan pelayan nama anda. Cari baris yang memulakan 'pelayan =' dan jadikannya seperti 'pelayan = 8.8.8.8'.

Tetapkan julat DHCP anda. Terdapat banyak cara untuk melakukan ini. Saya memilih untuk menyediakan dua IP titik akhir, topeng, dan panjang pajakan. Jangkauan saya adalah 10.210.212.20-10.210.212.240, dengan netmask 255.255.255.0, dan masa sewa 12 jam. Saya mengesyorkan agar anda meninggalkan beberapa IP di bahagian atas dan bawah jajaran anda sekiranya anda perlu memberikan sesuatu IP statik.

Tetapkan antara muka yang akan mendapat DNS dan DHCP (LAN) dengan mengubah baris 'interface =' menjadi seperti 'interface = eth0). Perhatikan bahawa saya secara khusus memberitahunya TIDAK untuk memberikan alamat IP DHCP ke rangkaian wayarles saya. Sekali lagi, saya berhasrat untuk mematikan antara muka itu sepenuhnya, jadi masuk akal bagi saya.

Langkah 7: DHCP & DNS (bahagian 3)

Pengalihan dari arahan GK untuk langkah terakhir ini…

Ketika saya memulakan semula RPi saya pada ketika ini, proses dnsmasq tidak aktif. Sedikit berpusing-pusing dan saya mendapati bahawa antara muka rangkaian eth0 dan eth1 saya tidak aktif sebelum dnsmasq dimulakan, jadi dnsmasq akan gagal pada permulaannya. Saya perlu menyambungkan papan kekunci dan tetikus ke RPi dan memulakan semula dnsmasq secara manual. Ini tidak sesuai dengan persediaan tanpa kepala. Saya membaca banyak catatan yang dikatakan membuat pelbagai perubahan pada tetapan (mis., Lumpuhkan bind-interface) dan lain-lain. Tidak ada yang berjaya. Pada akhirnya, saya memutuskan untuk menulis skrip shell yang akan berjalan setiap 2 minit dan memeriksa status dnsmasq. Sekiranya ia tidak berjalan, mulakannya. Saya menganggap bahawa keadaan ini tidak unik bagi saya. Jadi, inilah yang perlu anda lakukan:

Masukkan kod berikut ke dalam fail bernama 'dns_masq_keepalive.sh' pada RPi anda.

#! / bin / bash

# Fail: dns_masq_keepalive.sh # Ogos 2019 # Gunakan ini dengan crontab -e (* / 2 * * * * /etc/dns_masq_keepalive.sh) untuk memastikan bahawa dnsmasq berjalan. Perkhidmatan akan berhenti sendiri jika # semua antara muka yang disebutkan dalam dhcpcd.conf tidak aktif sebelum ia bermula. Ini menyelesaikan masalah. # Baris seterusnya ini akan mengembalikan semua pekerjaan aktif dengan perkataan 'dnsmasq' di dalamnya. Oleh itu, jangan masukkan 'dnsmasq' dalam nama fail # ini, jika tidak, ia akan mengembalikannya setiap kali dan anda tidak akan memulakan semula. dns_running = $ (ps -e | grep dnsmasq) gema $ dns_running jika [-z "$ dns_running"] maka #echo No DNSMasq sudo /etc/init.d/dnsmasq mulakan semula #else #echo DNSMasq Running fi

Potong dan tampal jika anda perlu. Apa sahaja yang anda lakukan, jangan masukkan 'dnsmasq' dalam nama. Skrip mencari perkataan 'dnsmasq' dan jika skrip itu memiliki namanya, ia akan menganggap bahawa perkhidmatan sedang berjalan. Juga, namakan semula fail sehingga berakhir dengan '.sh'. Intructables tidak akan membiarkan saya memuat naik fail '.sh' - yang bagus. Arahan selebihnya menganggap fail ada di: /etc/dns_masq_keepalive.sh.

Kedua, tetapkan izin pada file sehingga dapat dijalankan:

$ sudo chmod u + x /etc/dns_masq_keepalive.sh

Sekarang kita akan menggunakan sistem crontab untuk menjadikan program ini dijalankan setiap 2 minit setiap hari. Mulakan crontab:

$ sudo crontab -e

Ia harus mendorong anda untuk mengedit menggunakan vi atau yang lain. Mana-mana akan berjaya. Setelah anda dapat mengeditnya, tambahkan yang berikut di hujung fail:

* / 2 * * * * sudo /etc/dns_masq_keepalive.sh

Tiada ruang di '* / 2', tetapi ruang di antara tanda bintang. Simpan dan berhenti. Ia harus memberitahu anda bahawa pekerjaan itu dijadualkan, atau semacamnya.

Langkah 8: Firewall

Proses menyakitkan seterusnya adalah firewall (langkah 11 GK). Raspbian menggunakan sistem iptables yang terkenal. Blog GK menyediakan tiga fail untuk membantu anda ke sana… firewall.simple, firewall.advanced, dan firewall.flows. Segala hormat kepada GK, tetapi permudahkanlah diri anda dan gunakan firewall.simple. Saya menghabiskan banyak masa untuk mencari tahu sistem dan peraturan iptables. Saya gembira saya melakukannya, tetapi itu menyakitkan. Oleh itu, saya memberikan dua fail yang dilampirkan untuk membantu anda… firewall.simple dan firewall.clear. Salin kedua-dua fail ini ke folder / etc anda dan ubah izin untuk membuatnya dapat dilaksanakan:

$ sudo chmod u + x /etc/firewall.simple

$ sudo chmod u + x /etc/firewall.clear

Sebelum anda menetapkan peraturan firewall, pasangkan desktop / komputer riba ke port RPi eth0 anda dan sahkan ia mendapat alamat IP dan menjalankan DNS. Cara termudah untuk melakukannya adalah dengan mencuba dan melakukan ping laman web generik dan kemudian alamat IP yang diketahui. Ping juga penghala RPi dan ISP anda. Sekiranya anda mendapat hasil, maka semuanya baik dan masalah rangkaian yang anda hadapi sekarang mungkin disebabkan oleh masalah firewall.

Fail pertama yang disediakan pada mulanya dimulakan sebagai fail firewall.simple GK (terima kasih sekali lagi, GK!). Saya membuat banyak perubahan untuk menjadikannya berfungsi untuk sistem ini. Ia harus membenarkan sekurang-kurangnya HTTP, HTTPS, DNS, DHCP, ping, SSH dalaman, VNC dalaman, dan plex. Plex mungkin tidak mempunyai semua port terbuka untuk setiap kemungkinan peranti, tetapi ada banyak catatan di luar sana untuk memperbaikinya. Di bahagian atas fail terdapat nilai yang perlu anda ubah ke konfigurasi rangkaian anda.

Fail kedua, firewall.clear, dimaksudkan untuk digunakan semasa anda menguji peraturan firewall anda. Semasa anda menjalankan 'sudo /etc/firewall.clear' semua peraturan firewall akan dihapus dan sistem harus dihubungkan sepenuhnya ke Internet. Oleh itu, jika anda tidak dapat membuat perkhidmatan rangkaian (seperti dns) berfungsi dengan peraturan firewall. Mudah, tetapi ia mula berfungsi setelah anda menjalankan firewall.clear, anda tahu anda mempunyai masalah peraturan. Perkara ini hanya akan menjadi kritikal semasa menguji peraturan anda.

Oleh itu, kita mempunyai peraturan firewall di sana, kita perlu menjadikannya bermula ketika RPi bermula. Untuk melakukannya, kami akan mengedit fail /etc/rc.local:

$ sudo vi /etc/rc.local

Setelah masuk tambahkan yang berikut ke hujung fail:

gema "Memuatkan peraturan iptables" /etc/firewall.simple >> / dev / null

Sekiranya anda memilih untuk menambahkan sistem pengesanan pencerobohan snort, anda perlu mengedit fail ini sekali lagi. Buat masa ini simpan sahaja, dan but semula.

but semula $ sudo

Langkah 9: Syslog

Dua langkah lagi …

Ini adalah perkara yang mudah. Sekiranya anda masih berada di sana, dan mengikuti blog GK, ini adalah langkah 12. Anda perlu melakukan apa yang dikatakannya berkenaan dengan fail syslog. Berikut adalah langkah-langkah yang disingkat:

Simpan data syslog bernilai 2 bulan…

$ sudo vi /etc/logrotate.conf

Kita perlu memaklumkannya untuk menggunakan 'satu minggu' sebagai ukuran, dan kemudian menyimpan 12 daripadanya. Anda memerlukan dua baris berikut dalam fail ini. Saya yakin anda perlu mengubah garis yang ada.

mingguan 12

Simpanlah.

Langkah 10: Pengesanan Pencerobohan Dengan Snort

Perkara terakhir yang dikonfigurasi GK adalah sistem snort. Saya mengesyorkan ini juga. Anda boleh mengikuti peraturannya, dan saya tidak akan menyalin semuanya di sini, dengan beberapa pengubahsuaian kecil. Arahannya adalah untuk distro ArchLinux. Berikut adalah beberapa perubahan untuk pengedaran Raspbian yang kami gunakan di sini. Arahan selebihnya berfungsi dengan baik.

Pertama, jangan gunakan sudo pacman -S snort untuk memuat turun dan memasang snort. Lakukan perkara berikut:

$ sudo apt-get install snort

Kedua, anda tidak dapat mengesahkan snort dengan sudo snort -version. Sahkan pemasangan dengan:

$ sudo snort -V

Akhirnya, untuk menjalankannya pada permulaan, jangan ubah fail rc.conf, edit fail rc.local (sekali lagi)…

$ sudo vi /etc/rc.local

Tambahkan baris berikut ke hujung fail:

gema "Memuatkan snort"

# / usr / sbin / snort -D -u snort -g snort -c /etc/snort/snort.conf -i eth0 -l / var / log / snort

Sekarang, but semula dan semestinya semuanya berfungsi secara ajaib.

but semula $ sudo

Langkah 11: Nikmati

Sepatutnya itu!

Pertama sekali, saya tidak dapat cukup berterima kasih kepada Guillaume Kaddouch! Dia memberi inspirasi ini.

Kedua, jika anda belum melepaskan papan kekunci, video, dan tetikus, anda boleh. Gunakan SSH dan VNC untuk masuk semula apabila diperlukan.

Akhir kata, ini mungkin tidak 100% sempurna. Sila hantar kembali dengan perubahan / cadangan / cadangan. Tujuan saya adalah untuk ini menjadi permulaan perbincangan dan banyak orang menikmati!

Terima kasih !!

PS … Gambar adalah RPi4 di dalam aluminium FLIRC dengan kipas Intel lama yang sedikit diubah suai dan diikat zip ke bahagian atas. Terdapat haba pasta di bawah kipas juga, sekiranya anda tertanya-tanya. Saya menjumpai sesuatu yang serupa di Internet (https://www.reddit.com/r/raspberry_pi/comments/9bdgrr/it_turns_out_putting_a_heatsink_on_the_flirc_case/) dan memutuskan untuk mencubanya sendiri.

Langkah 12: Changelog

Oleh kerana perubahan dibuat pada arahan ini, saya akan mendokumentasikannya di sini. Sekiranya anda menghadapi masalah, periksa di sini untuk melihat apakah anda mengambil arahan atau fail lama.

25 September 2019:

• Memperbaiki peraturan DHCP di firewall.simple
• Memperbaiki julat DHCP dalam arahan (fail betul)
• Menambah tugasan IP tetap ke arahan DHCP

13 Oktober 2019

• Memperbaiki beberapa kesalahan ketik
• Membuat pi kedua jadi saya akan mempunyai kad SD ujian untuk menukar, jika diperlukan