Raspberry pi как отключить firewall
Напишите свой пароль на листе бумаги и приклейте его ко лбу? Возможно нет. Тем не менее, подключение к публичной сети Wi-Fi почти так же глупо.
Однако у вас может не быть выбора, если вы находитесь в дороге и хотите оставаться на связи. VPN может обеспечить вам безопасность, но каждое устройство должно подключаться отдельно, если только вы не используете маршрутизатор в качестве посредника.
У вас нет под рукой? Не волнуйтесь, вы можете построить один с Raspberry Pi. Это идеальный выбор для DIY-роутера, так что давайте рассмотрим, как его создать.
Что вам нужно
Чтобы приступить к созданию туристического маршрутизатора Raspberry Pi VPN, вам потребуется:
Можно использовать модели Pi без встроенного Wi-Fi, но вам потребуется два USB-адаптера Wi-Fi или один, способный работать как в режиме управляемой / точки доступа, так и в режиме клиента.
Вместо стандартного дистрибутива Linux вам необходимо установить OpenWRT на SD-карту, чтобы превратить ее в полноценный маршрутизатор. Вы можете использовать другой дистрибутив Linux, если хотите, но OpenWRT предоставляет удобный веб-интерфейс для настройки, когда вы находитесь вдали от дома.
Если вы используете Windows, вам также нужно установить PuTTY или другой SSH-клиент для Windows
4 простых способа использовать SSH в Windows
Шаг 1: Установите OpenWRT
Сначала загрузите прошивку OpenWRT для вашей модели Raspberry Pi. Вы можете найти самые последние изображения из вики OpenWRT.
Разархивируйте загруженный файл с помощью 7zip или другого подходящего менеджера файлового архива, затем перенесите файл IMG на карту с помощью Etcher.
Этот инструмент должен автоматически определять вашу SD-карту; вам просто нужно выбрать файл изображения, выбрать правильный диск по буквам, а затем нажмите Вспышка.
После этого поместите карту microSD обратно в Raspberry Pi и дайте ей загрузиться.
Шаг 2: Начальная настройка
По умолчанию OpenWRT по умолчанию использует статический IP-адрес 192.168.1.1, который является IP-адресом шлюза по умолчанию для многих маршрутизаторов. Вам нужно изменить это, чтобы предотвратить конфликты. Подключите свой Pi к компьютеру с помощью кабеля Ethernet; вам может понадобиться установить статический IP
Как просмотреть и изменить свой IP-адрес в Windows 7, 8 и 10
Как просмотреть и изменить свой IP-адрес в Windows 7, 8 и 10
Вы можете использовать свой компьютер, даже не зная свой собственный IP-адрес, но вы хотите знать, как проверить? Вот как быстро проверить или изменить свой IP-адрес в Windows.
Прочитайте больше
на вашем компьютере в первую очередь.
Вместо того, чтобы обрабатывать конфигурацию с помощью LuCI, веб-интерфейса OpenWRT, вы собираетесь сделать это вручную, чтобы убедиться, что конфигурация настроена правильно. Загрузите PuTTY или ваш SSH-клиент и подключитесь к 192.168.1.1 во-первых, с именем пользователя корень.
Вы получите начальное предупреждение безопасности при первом подключении; просто нажмите да и продолжить. На данном этапе хорошей идеей будет установить пароль; сделать это, набрав в ПАРОЛЬ в окне терминала.
Настройка параметров сети и брандмауэра
Затем нажмите I, чтобы отредактировать текст и добавить следующее:
Когда вы закончите, нажмите Esc ключ и тип : QW сохранить и выйти. Затем переключите внимание на файл конфигурации брандмауэра:
Нажмите я отредактируйте, а затем найдите (или добавьте) зону для раздела WAN, которая должна выглядеть следующим образом:
Тип перезагружать и подождите, пока Raspberry Pi перезагрузится с новым IP-адресом: 192.168.38.1,
Шаг 3: Обновление и установка пакетов
Далее вам нужно обновить OpenWRT. Для этого вы позаимствуете внутренний Wi-Fi Pi и изначально настроите его для подключения к существующей сети Wi-Fi. Возможно, вам придется изменить свой статический IP-адрес на 192.168.38.2 или аналогичный адрес в этом диапазоне, чтобы вы могли подключиться.
После подключения введите IP-адрес вашего Raspberry Pi в браузере, чтобы получить доступ к панели администратора OpenWRT. Используйте ваше имя пользователя и пароль, чтобы получить доступ, затем перейдите к Сеть> Беспроводные, Вы должны увидеть только одно устройство Wi-Fi в настоящее время, поэтому нажмите сканирование найти свою сеть Wi-Fi, затем Присоединиться к сети когда вы найдете это.
Теперь вы должны увидеть настройки соединения для вашего соединения Wi-Fi. Идти к Расширенные настройки и установите свой Код страны соответствовать вашему местоположению; В противном случае ваш Wi-Fi может не работать.
Повторно подключитесь к вашему Pi, используя новый IP-адрес через SSH (принимая предупреждение ключа безопасности RSA). Сначала вам нужно обновить устройство, набрав:
Следите за этим, нажав Y когда предложено
Установка USB Wi-Fi драйверов
После установки всех обновлений установите все необходимые драйверы для адаптера Wi-Fi USB. Это необходимо для подключения к точкам доступа Wi-Fi, когда вы находитесь в пути. Вы также будете устанавливать инструменты, необходимые для VPN-подключений с использованием OpenVPN, а также нано, более простой в использовании редактор файлов терминала.
Это где ваш метод может отличаться; У меня был адаптер Wi-Fi на чипсете RT2870, поэтому следующие команды также должны работать:
Если у вас нет адаптера Wi-Fi на чипсете RT2870 или вы не уверены, подключите адаптер Wi-Fi и введите в терминал SSH следующее:
После того, как файлы установлены, вы увидите список подключенных устройств. Найдите все, что относится к беспроводному адаптеру, и найдите соответствующие инструкции по установке для вашего устройства.
Шаг 4. Настройка точки доступа Wi-Fi
Если подключен USB-адаптер Wi-Fi, теперь вы можете настроить оба подключения Wi-Fi. Вернитесь к панели инструментов LuCI, под беспроводной, и удалите оба сетевых подключения. Устройство radio0 ваш встроенный Wi-Fi, в то время как Radio1 Ваш USB-адаптер Wi-Fi
Настройте встроенный Wi-Fi, нажав добавлять, Убедитесь в следующем:
- Режим установлен в Точка доступа
- ESSID установлен на имя сети по вашему выбору; по умолчанию это OpenWRT
- сеть установлен в ЛВС
- Под Беспроводная безопасность, шифрование установлен в WPA2-PSK
- ключ установлен подходящий пароль
Как только вы закончите, нажмите Сохранить затем вернитесь к беспроводной меню. Следуйте инструкциям ранее для первоначального подключения, чтобы установить Radio1 устройство (ваш USB-адаптер Wi-Fi) в существующую сеть. Здесь вам также нужно будет сканировать и изменять сети, когда вы находитесь в новом месте.
Теперь у вас должно быть запущено два соединения Wi-Fi, одно в качестве точки доступа для ваших устройств Wi-Fi, а другое в качестве интернет-соединения для вашего устройства с существующей сетью Wi-Fi. Попробуйте подключиться к вашему Pi на этом этапе с помощью смартфона или ноутбука, чтобы убедиться, что он работает.
Если это работает, отключите Pi от соединения Ethernet с ПК.
Шаг 5: Подключение к VPN и финальные изменения
Вам понадобится файл конфигурации OpenVPN (OVPN), чтобы подключить Pi к выбранному вами провайдеру VPN и серверу. Если он у вас есть, загрузите его на свой Pi с помощью SCP-клиента, такого как WinSCP, где вы можете подключиться с помощью имени пользователя и пароля администратора.
Переименуйте файл в vpnclient.ovpn и загрузить его в / И т.д. / OpenVPN папка. Выполните инструкции на веб-сайте OpenWRT, чтобы настроить Pi для VPN-подключений. Единственное небольшое изменение будет в разделе 4 для настройки профиля клиента VPN, где вам не нужно будет использовать начальный кошка инструмент для вставки вашего vpnclient.ovpn файл, как он уже на месте.
Как только вы завершите это, ваше VPN-соединение должно активироваться автоматически. Проверьте, изменился ли ваш исходящий IP-адрес; если это не так, перезагрузите Pi и убедитесь, что ваше соединение активно.
Найдите это, перейдя к OpenVPN раздел LuCI, указанный в разделе Сервисы в верхней части приборной панели. Если это связано, vpnclient будет указан как да под Началось колонка.
Шаг 6. Зарегистрируйте свое устройство в общедоступном Wi-Fi.
Ваш Pi почти готов на этом этапе, но если вы когда-либо подключались к общедоступной сети Wi-Fi, вы будете знать, что вам, как правило, нужно будет проходить аутентификацию с использованием портала авторизации, либо для оплаты, либо для регистрации вашего устройства. Поскольку ваш Pi теперь настроен на автоматическое подключение через VPN (и в противном случае он должен препятствовать подключению), эти порталы обычно блокируются.
Чтобы обойти это, настройте свой адаптер Wi-Fi USB так, чтобы он сопоставлял MAC-адрес с устройством, которое вы можете использовать для подключения и аутентификации сначала в общедоступной сети Wi-Fi, например со смартфоном. Когда у вас есть это, введите:
В окне редактирования добавьте следующее (заменив заполнитель XX для вашего MAC) и нажмите Ctrl + X, с последующим Y сохранить.
Наконец, выполните следующие команды, чтобы настроить автоматический запуск сценария при запуске Pi:
Перезагрузитесь, чтобы проверить все работает нормально. Вам также следует проверить наличие утечек DNS, чтобы убедиться, что ваше VPN-соединение работает правильно. Большинство провайдеров VPN предлагают инструмент, который поможет с этим.
Безопасный Wi-Fi, куда бы вы ни пошли, гарантировано
Теперь ваш Raspberry Pi должен быть настроен и готов к работе в качестве VPN-роутера, а это значит, что вы можете безопасно путешествовать в любом отеле или кафе, которое вы посещаете. Благодаря информационной панели LuCI вы можете легко подключиться к любой новой сети Wi-Fi через веб-браузер.
Смотрите наш список лучших услуг VPN
Лучшие VPN-сервисы
Мы составили список лучших поставщиков услуг виртуальной частной сети (VPN), сгруппированных по платным, бесплатным и дружественным к торрентам.
Прочитайте больше
найти услугу VPN, которая соответствует вашим потребностям.
Узнайте больше о: DIY Project Tutorials, Raspberry Pi, Router, Travel.
Вы, наверное, помните эту новость. В декабре 2016 г. ВВС сообщила, что печально известный червь Mirai заразил немало маршрутизаторов, используемых клиентами британского интернет-провайдера TalkTalk, воруя их пароли Wi-Fi. Червь использовал пароли администратора по умолчанию, жестко привязанные к нескольким машинам, и хотя целью был захват устройств для их употребления в атаках DOS (отказ в обслуживании), последствия ошеломляют. Даже те немногие пользователи, которые утруждаются изменением у себя паролей по умолчанию, редко заботятся о том же для межсетевых экранов.
Попросту говоря, это означает, что настройки вашего маршрутизатора и теоретически устройства в вашей домашней беспроводной сети могут быть взломаны злоумышленниками. К счастью, на помощь опять приходит Raspberry Pi. Мы покажем вам, как.
Наш проект можно разделить на две части. Во-первых, настройте свой Pi как беспроводную точку доступа. Другими словами, Pi сам создаст беспроводную сеть для подключения. Затем Pi можно подключить к вашему маршрутизатору, и любой подключенный к его беспроводной сети может получить доступ к Интернету.
Вторая часть этого проекта включает установку на Pi простого в использовании брандмауэра, блокирующего любые открытые порты, до которых могут добраться злоумышленники. Вы также можете настроить брандмауэр для доступа к законным программам и заблокировать любые сайты, которые, по вашему мнению, небезопасны. Имея подходящее оборудование, вы можете получить собственную защищенную точку доступа с брандмауэром и начать работать с ней менее чем за 20 минут.
Необходимый минимум
Используемое беспроводное устройство должно быть совместимо с hostapd (немного об этом). Наш проект технически совместим со всеми моделями Pi, хотя Pi должен быть с поддержкой беспроводной сети и иметь порт Ethernet для подключения к маршрутизатору. Raspberry Pi 3 хорошо себя в этом зарекомендовал.
Настройка, если это вообще возможно, должна выполняться с помощью клавиатуры и монитора, а не по SSH, поскольку, как только Pi создаст собственную точку доступа, вы не сможете подключиться к Pi по беспроводной сети. Однако вы можете подключиться к нему через беспроводную сеть вашего маршрутизатора, если знаете IP-адрес.
Вам, кроме того, потребуется дополнительное устройство для проверки правильности работы беспроводной точки доступа, а также сетевого кабеля для соединения Pi с маршрутизатором. Большинство современных маршрутизаторов имеют по крайней мере один USB-порт, поэтому вы должны иметь возможность управлять Pi оттуда.
Безопасность прежде всего
По соображениям безопасности и для экономии ресурсов лучше всего для домашнего брандмауэра иметь отдельный Pi и не использовать его еще и для других целей. Если это вообще возможно, подключите Pi к монитору и работайте с этим проектом непосредственно из терминала, а не через SSH. Это уменьшает вероятность обрыва связи на жизненно важной стадии процесса.
Лучше всего начать с чистой установки последней версии Raspbian на Pi. По завершении установки откройте терминал и запустите следующие команды — для проверки, что ваша система обновлена:
sudo apt-get update
sudo apt-get upgrade
Если у вас нет доступа к монитору, можно подключиться к Pi по беспроводной сети Wi-Fi через маршрутизатор и SSH. Сначала подключите Pi к маршрутизатору Ethernet-кабелем. Если у вас есть мобильное устройство, можно использовать удобное приложение Fing для простого определения IP-адреса всех устройств в вашей локальной сети. Fing доступен для бесплатной загрузки как из магазина приложений iOS, так и из Google Play.
Если вы удовлетворены работой точки доступа, обязательно отключите на своем маршрутизаторе функцию беспроводного доступа, чтобы подключиться можно было не к нему, а только к брандмауэру Pi.
Точка доступа настраивается и управляется удобной программой hostapd. Шаг 3 нашего руководства на стр. 91 описывает создание файла конфигурации, где вы укажете параметры новой беспроводной сети Pi, такие как имя, пароль и тип шифрования. К этому hostapd.conf всегда можно вернуться, чтобы изменить настройки, если захотите.
Хотя любая беспроводная карта может подключить вас к сети Wi-Fi, не все карты Wi-Fi могут создавать собственные беспроводные сети. К счастью, модуль Wi-Fi, встроенный в Raspberry Pi 3, поддерживает данную функцию, и это хорошая причина рассмотреть вопрос его применения как вашего брандмауэра.
Мы также установим дьявольски умную программу dnsmasq для работы с сетевой инфраструктурой. Она также берет настройки из небольшого файла конфигурации, который вы создадите на шаге 4. В предлагаемых настройках dnsmasq использует Google для своего DNS-сервера (8.8.8.8). но, если хотите, вы можете это изменить на другого поставщика DNS, такого, как Open DNS (208.67.222.222). Чтобы обеспечить максимальную производительность, можно указать более одного DNS-сервера, просто добавив новые строки для них в файл dnsmasq.conf, например, server=208.67.222.222
Несложный брандмауэр
Ufw (Uncomplicated Firewall, несложный брандмауэр) поставляется с рядом дистрибутивов Linux и оправдывает свое название — он очень прост в использовании. Это отнюдь не единственная программа брандмауэра: на самом деле в природе есть целые дистрибутивы Linux, такие как IPFire, специально предназначенные для работы шлюзом между вашим компьютером и интернетом, с красочными окнами. Зачем тогда использовать довольно-таки прозаическое приложение командной строки? Помимо того, что Ufw выдержал испытание временем, его легко установить и настроить.
После включения Ufw запустится автоматически. По умолчанию блокируются все входящие соединения и разрешаются все исходящие. Это может досадить, если вы и другие пользователи вашей сети захотите использовать приложения вроде BitTorrent или Skype; но, к счастью, настройки исключений для этих правил просты. У Ufw также есть графический напарник для тех, кому еще не совсем комфортно в командной строке. Дополнительную информацию см. во врезке «Настройка брандмауэра» на стр. 90.
Ufw также имеет возможность блокировать подключения к заданным IP-адресам или диапазонам, так что вы можете запретить пользователям сети посещать определенные сайты — см. «Блокировка домена» (врезка внизу).
Если это неосуществимо, можно удалить DHCP (протокол динамической настройки узла) для Pi по умолчанию и настроить вместо него dnsmasq для автоматического перенаправления известных рекламных серверов на внутренний IP-адрес. По умолчанию это создаст уродливые бельма в середине ваших web-страниц, но эту проблему можно решить, установив также удобное приложение pixerv. Единственной целью его жизни является поддержка блокировки рекламы посредством замены ее на прозрачное изображение GIF размером 1 х1. Это заставляет блокировку рекламы выглядеть опрятнее.
Блокировка домена
Ufw — это мощный межсетевой экран, он может использоваться для блокировки доступа к определенным сайтам. Правда, это также делается с помощью dnsmasq, но в форме «перехвата DNS», что является довольно дурной процедурой, обычно выполняемой мошенниками.
Разумеется, для блокирования сайтов по IP-адресу вам эта информация понадобится. Откройте терминал на своем Pi или подключитесь через SSH и используйте команду host для просмотра IP-адреса нежелательной страницы — например:
Вы получите IP-адрес запрашиваемого сайта. Затем используйте ufw deny для блокировки этого домена, например:
sudo ufw deny out from any to 205.178.189.29
Можно проверить, что домен успешно заблокирован, с помощью ping:
sudo ufw deny out 25
Наведение мостов
Наш проект фокусируется на соединении беспроводного интерфейса Pi и интерфейса Ethernet. Это позволяет вашей точке доступа оставаться подключенной к Интернету. Если вам надо перепроверить имена своих интерфейсов, вы всегда можете запустить команду ifconfig. По умолчанию имена этих интерфейсов должны быть wlanO и ethO соответственно.
Если вы не можете подключить Pi к маршрутизатору, теоретически можно добавить еще один беспроводной интерфейс, например, официальный модуль Wi-Fi для Raspberry Pi, и использовать его для доступа к беспроводной сети вашего маршрутизатора. Однако это менее безопасно и снизит вам скорость соединения. Если ваш маршрутизатор где-то в недоступном месте (или вообще вне зоны досягаемости), подумайте об использовании устройства типа “homeplug”, которое использует для сетевых подключений электропроводку вашего дома или офиса.
Не отчаивайтесь, если точка доступа или брандмауэр не работают при первом выполнении шагов. Сетевые настройки Pi очень гибкие, и вы можете вернуться снова по шагам, не переустанавливая Raspbian.
Вы можете отключить брандмауэр Ufw навсегда и удалить все правила такой командой:
При необходимости вы также можете восстановить ранее сохраненные настройки с помощью dnsmasq, изменив исходную команду:
sudo mv /etc/dnsmasq.conf.orig /etc/dnsmasq.conf
Если вы решите заблокировать определенные порты или службы — см. врезку «Блокировка домена» внизу стр. 89 — то имейте в виду, что ИТ-грамотные пользователи в вашей сети могут обойти это с помощью VPN. Разумеется, через Ufw можно заблокировать порты, обычно используемые VPN, например, 1154, или блокировать весь исходящий трафик, а затем включать его для определенных приложений и служб. Некоторые приложения будут использовать порты случайным образом, затрудняя блокировку определенных протоколов, таких как BitTorrent. Желая предотвратить потоковое воспроизведение большинства музыкальных и видеосайтов, вы можете предусмотреть блокировку протокола UDP.
Если вы решите использовать для блокировки рекламы расширение браузера или pixelserv, то некоторые сайты могут отображаться некорректно или вообще не загружаться. В этом случае расширения блокировщика рекламы обычно можно временно отключить, щелкнув по его значку в меню вашего браузера.
По соображениям безопасности было бы разумно использовать выделенный Pi исключительно какточкудоступа и не хранить на нем какие-либо личные данные. Для дополнительной безопасности обязательно используйте длинный надежный пароль — приведенный в руководстве является только примером.
Для полной безопасности подумайте о создании скрытой сети Wi-Fi для Pi. Отредактируйте файл hostapd.conf, открыв терминал и набрав
Замените ignore_broadcast_ssid=0 на ignore_broadcast_ssid=1.
Теперь на всех устройствах надо ввести имя сети, а также пароль для подключения. При редактировании файла подумайте о выборе нового имени, для обеспечения дополнительного уровня безопасности.
Если у вас есть устройства, использующие кабельное соединение, например, домашний сервер, можно оставить их подключенными непосредственно к маршрутизатору для доступа в Интернет, но имейте в виду, что они не будут видны в беспроводной сети Pi. Однако в этом есть и другая сторона: Pi не будет мешать их действиям.
Наконец, имейте в виду, что ваш маршрутизатор также может использовать брандмауэр. Если вам удобно настраивать маршрутизатор, вы можете открывать и закрывать порты в соответствии с настройками Ufw. Кроме того, можно полностью отключить брандмауэр маршрутизатора и позволить Pi управлять всем.
Настройка брандмауэра
После включения Ufw запускается при загрузке, блокируя все входящие соединения и разрешая все исходящие. Это может быть не идеально, если вы хотите подключаться к Pi через SSH или VNC. Чтобы настроить Ufw, используйте терминал своего Pi. Ufw распознает большинство служб, таких как SSH, и в большинстве случаев вы можете разрешить доступ с помощью ufw allow, например: sudo ufw allow ssh
Чтобы увидеть полный список служб, включаемых таким образом, просто выполните команду nano /etc/services
Если ваш сервис отсутствует в списке, откройте порт, который он использует. Например, ReaIVNC, который может применяться для удаленного подключения к рабочему столу Pi, использует порт 5800. Чтобы Ufw открыл его, выполните
sudo ufw allow 5800
Чтобы разрешить подключения только с определенного IP-адреса, используйте from, например: sudo ufw allow from 192.168.1.12
Для просмотра всех параметров брандмауэра в Ubuntu скомандуйте sudo ufw status verbose
Еще больше упростит вам жизнь графический напарник Ufw — Gufw. Чтобы открыть его, выполните: sudo gufw
Наличие десятков тысяч Raspberry Pi, подключенных к Интернету, в конечном итоге привлечет интерес некоторых людей, которые хотели бы делать неприятные вещи с маленькими компьютерами, особенно когда многие люди используют свои Pi для сетевых серверов. Linux - это надежная операционная система с точки зрения безопасности, но кроме просто изменения пароля, что нужно сделать, чтобы «укрепить» Raspberry Pi, если я собираюсь разместить на устройстве службы, обращенные к Интернету?
Эбен Аптон (Eben Upton) сказал, что просто для того, чтобы поддержать мои «десятки тысяч», «Raspberry Pi продал более 200 000 своих базовых компьютерных модулей и в настоящее время отправляет 4000 единиц в день» . Вероятно, можно предположить, что десятки тысяч из этих 200 000 были подключены к Интернету. Менее безопасно предположить, что десятки тысяч подключенных к Интернету Raspberry Pis имеют общедоступный веб-сервис, но потенциал для хакерского энтузиазма все еще существует.
Имейте в виду, что, хотя могут быть подключены «десятки тысяч», (в настоящее время) доступны 3 отдельных дистрибутива Linux (о которых я знаю), и я думаю, что есть даже несколько проектов, не основанных на Linux. Это влияет на перспективу хакера. Тем не менее, если безопасность важна, обновляйте свой дистрибутив и, при необходимости, держите устройство за брандмауэром. Хороший вопрос RLH Я добавлю некоторую дополнительную информацию к вопросу, который поддерживает количество Raspberry Pis в дикой природе, чтобы дать лучшее представление о поверхности атаки Raspberry Pi, которую Стив упомянул в своем ответе. @SteveRobillard Извините, если я был неясен в комментарии, но в редактировании, которое я сделал к вопросу, я попытался качественным образом сократить количество Pis, которые размещают общедоступные службы и поэтому представили бы службу, доступную для атаки. , Я нашел короткий учебник о том, как защитить ваш Raspberry Pi при использовании SSH, кажется довольно аккуратным. -> учебное пособиеОбеспечить безопасность компьютера - непростой процесс, на эту тему написаны целые книги. Размер Pi не уменьшает угрозу безопасности или поверхность атаки, представленную возможному злоумышленнику. В результате я опишу соответствующие шаги и предоставлю ссылки на более подробные инструкции и учебные пособия.
Поскольку вы не упомянули, какой дистрибутив вы используете, я приму рекомендуемый дистрибутив Raspbian.
- Измените пароль по умолчанию. Дистрибутив Raspbian включает это в качестве опции в начальный скрипт запуска. Если вы этого еще не сделали, вы можете использовать команду passwd, чтобы изменить его. Убедитесь, что выбрали надежный пароль . .
Я видел, что рекомендуемый дистрибутив Raspbian включает в себя веб-сервер Apache и включает его при запуске (кто-то может это подтвердить). Вам действительно нужен работающий веб-сервер? Если не отключить его. Если вам нужно запустить Apache, убедитесь, что он защищен , а также для других сервисов (например, FTP, NGINX, MySQL и т. Д.), Поиск в Google должен найти несколько ресурсов. - Установите и настройте iptables .
- Поддерживайте свою систему в актуальном состоянии. Вы можете автоматизировать это, используя cron или cron-apt . для мониторинга входов в систему и неудачных попыток входа. Если возможно, используйте внешний жесткий диск для размещения вашего / var раздела, это даст вам больше места, не позволит файлам журнала заполнять SD-карту и продлит срок ее службы.
Некоторые дополнительные вещи, которые вы можете рассмотреть:
- Установите антивирусную защиту .
- Настройте и настройте SELinux .
Это только минимальные шаги для защиты вашего Пи. Для получения дополнительной информации вы можете прочитать Руководство по безопасности Debian .
Убедитесь, что сгенерировали ваши собственные ключи ssh. Я думаю, что на некоторых изображениях уже были ключи. Apache по умолчанию не установлен в raspbian (пользователь установил что-то вроде php5-mysql IIRC). Для фильтра пакетов, который немного более дружественен, чем голый iptables, может быть, мы должны порекомендовать ufw и, возможно, даже его интерфейс GUFW? Имеет ли смысл устанавливать iptables, даже если вы находитесь за маршрутизатором? @ otakun85 Да, это называется глубокая защита. Полностью полагаясь на ваш маршрутизатор, если кто-то пройдет через ваш маршрутизатор, если iptables запущен и работает, дальнейшие эксплойты станут более трудными. Отключение неиспользуемых служб также помогает при запуске и экономит (небольшой) объем памяти и ЦП.Посмотрев на RPi, он выглядит как довольно безопасное устройство из коробки, если вы делаете несколько вещей.
Пользователь / пароль по умолчанию изменен. Как минимум, смените пароль. Для большей безопасности снова измените имя пользователя. (Добавьте нового пользователя, затем отключите PI. Убедитесь, что ROOT также отключен при входе через SSH, хотя я все равно думаю, что это по умолчанию.)
Сканирование RPi возвращает только один открытый порт, 22, который является SSH-соединением, и даже его нужно включить, прежде чем он покажет (хотя большинство людей будут использовать его вместо монитора, клавиатуры и мыши, я ожидаю, особенно на сервер)
Вы можете изменить номер порта SSH, но это мало что даст, так как его можно сканировать достаточно легко. Вместо этого включите аутентификацию по SSH-ключу.
Теперь у вас нет возможности получить доступ к вашей машине без правильного ключа SSH, имени пользователя и пароля.
Далее настройте свой веб-сервер. Apache в значительной степени там, где он есть. Это будет сидеть и контролировать порт 80 по умолчанию, и автоматически отвечать на подключения из браузеров, обслуживающих ваши веб-страницы.
Если у вас есть брандмауэр или маршрутизатор, вы можете изменить порты RPi и сделать так, чтобы маршрутизатор направлял трафик с одного порта на другой. Например, трафик порта 80 в маршрутизатор перенаправляется на порт 75 на RPi, а SSH на 22 перенаправляется на порт 72. Это добавило бы еще один уровень защиты, но немного сложнее.
Держите все обновленным и исправленным, очевидно.
Это не защитит вас от атак, использующих Java, Flash, SQL-серверы и т. Д., Которые вы могли бы добавить позже, но на самом деле это все, что нужно.
Вы также можете добавить брандмауэр, который будет замедлять любого, кто входит в вашу систему, выходить на другой порт, если они устанавливают новую службу. Ваш маршрутизатор должен иметь дело с этим, но если он подключен напрямую, то настройте его, и, как долго это займет, вы все равно могли бы запустить его в любом случае - это не добавит много системных ресурсов.
Отредактировано, чтобы добавить: Как только вы все настроили, используйте инструмент, такой как dd или Win32DiskImager, чтобы сделать полную побитовую резервную копию вашей SD-карты. Таким образом, если что-то пойдет не так, вы можете восстановить его на той же карте или записать на новую карту, и продолжить в любом случае. (Но если взломать, вы захотите выяснить, какая дыра была найдена, и закройте эту первую, возможно!)
Вы ищете способ создать Межсетевой экран Raspberry Pi на более длительное время? Если вы не смогли выполнить это с помощью OpenWRT и Pfsense, тогда этот блог определенно для вас. Raspberry Pi имеет один сетевой сокет, поэтому создать подлинный брандмауэр на Raspberry Pi невозможно. Однако можно создать маршрутизатор с возможностями брандмауэра. Для выполнения этой задачи вам необходимо установить несколько программных блоков на Pi. Прежде чем мы углубимся в детали, давайте обсудим некоторые основные вещи!
Что такое межсетевой экран маршрутизатора?
Чтобы понять это, вы должны знать, что означают маршрутизатор и брандмауэр. Маршрутизатор относится к сетевому гаджету, который соединяет две сети друг с другом. Если ваш компьютер оснащен двумя или более портами Ethernet, в то же время имея разнородные сети, он может вести себя как маршрутизатор. Затем у вас будет две сети с общим подключением к маршрутизатору, 2.0 и 1.0. Если маршрутизатор настроен правильно, он позволяет X и Y просматривать друг друга, работая в разнородной сети.
Raspberry Pi оснащен одной сетевой картой. Однако пользователи могут использовать карту WiFi для создания другой сети. Здесь вы узнаете, как подключить сеть Wi-Fi к сети Ethernet. С другой стороны, Firewall относится к разновидности программного обеспечения. Это программное обеспечение позволяет пользователям вставлять политики безопасности в маршрутизатор. Как указано в приведенном выше примере, мы упоминали, что X может ping Y, но не может получить доступ к своему HTTP-серверу. Здесь мы будем использовать "IptablesПрограммное обеспечение для этого. Вы можете пойти с другим программным обеспечением, когда дело доходит до брандмауэров в зависимости от ваших предпочтений.
Для создания беспроводного доступа и другого программного обеспечения для мониторинга сети пользователям необходимо пройти некоторые инструкции. Используя это, вы можете даже фильтровать трафик. Итак, если вам нравится это делать, продолжайте следовать.
Вот моя текущая сеть:
И я хочу повернуть это так:
- Установите Raspberry Pi Firewall в своей сети
- Разрешить точку доступа WiFi, используя разнородную сетевую подсеть
- Построить мост между двумя сетями
- Установите некоторые правила и положения брандмауэра
- Установите другое программное обеспечение
Здесь мы собираемся обсудить эти шаги подробно один за другим. Итак, начнем с первого шага этой процедуры.
Кроме того, вы узнаете больше о Основы брандмауэра, а также как отключить брандмауэр а также полное сравнение Состояния против безгражданства FireWal здесь.
Установить Межсетевой экран Raspberry Pi
Изначально вам необходимо установить брандмауэр Raspberry Pi в вашей сети. Для этого следуйте:
- Установить Распбиан
- Никаких требований к модели рабочего стола, кроме случаев, когда пользователям нравится использовать Raspbian для других задач
- Подключите Raspberry Pi с помощью кабеля RJ45 в сети.
- Не обязательно использовать статические IP-адреса, но это может помочь.
- После этого обновите систему, используя: Обновление sudo apt, sudo apt upgradeи перезагрузка sudo.
- Разрешите SSH, перейдя в raspi-config, затем Параметры интерфейса и затем sudo raspi-config.
Вот и все, и теперь пришло время установить маршрутизатор. Итак, давайте узнаем, как выполнить установку маршрутизатора.
Кроме того, вот Mikrotik Firewall правила и горизонтальное распределение преимущества виртуализации для вашей справки.
Установите беспроводной маршрутизатор
Вполне возможно настроить Raspberry Pi Firewall вручную как WiFi-роутер. Однако это немного трудоемко и сложно. Чтобы вам было проще, мы представляем вам сценарий для этого же.
- Этот скрипт доступен на GitHub. Во-первых, вам необходимо установить git для загрузки этой программы. Например, sudo apt install git
- Перейдите в новую папку для загрузки этой программы,
кд / неавтоматического
- Переключитесь на подкаталог, который CD RPI-Wireless-Hotspot /
- Начните процесс установки с sudo./install
Теперь сценарий задает несколько вопросов. После того, как вы ответили на них, Raspberry Pi перезагружается для применения изменений. После завершения этого процесса вы можете использовать Raspberry Pi Firewall в качестве маршрутизатора. В списке сетей WiFi вы увидите apt SSID. После подключения к серверу проверьте, все ли работает нормально или нет. Итак, больше ничего не нужно для настройки сети.
PS: здесь все о Межсетевой экран портов SMB и горизонтальное распределение важность брандмауэра, как и все Типы межсетевых экранов для вашей справки.
Теория брандмауэра
Основная роль межсетевого экрана заключается в том, чтобы разрешить или заблокировать доступ с определенных IP-адресов к другим. В большинстве случаев мы часто используем порт для точного разрешения. В конфигурациях брандмауэра есть два основных правила: черный список, который следует правилу:Разрешить все, кроме . и белый список, который следует правилуЗапретить все, кроме . "
Итак, выберите тот, который вам нравится выполнять с роутером Raspberry Pi. Если вы дома, то лучше пойти с первым, где вы можете заблокировать несколько вещей, например, определенные IP-адреса. На работе идите с другим, где вы можете запретить все, кроме того, что разрешено.
Это более простая программа, в которой можно создать несколько правил в трех направлениях. Эти три направления:
- вход: Пакеты сети, входящие в ваш брандмауэр
- Результат: Пакеты, которые выходят из вашего брандмауэра
- вперед: Пакеты, которые проходят через ваш брандмауэр
Межсетевой экран Raspberry Pi Конфигурация
Любящие пользователи могут добавить брандмауэр на свой маршрутизатор для фильтрации трафика. Если работаешь дома, это не совсем существенно. Тем не менее, это обязательно для публичного пространства или компании.
IPTables
Для Raspbian существуют различные пакеты брандмауэра, такие как UFW или IPTables. OpenWRT также существует, это дистрибутив Raspberry Pi для создания брандмауэра. IPTables установлен на Raspberry Pi.
Изучите настоящую конфигурацию
Перед добавлением правил лучше изучить текущую конфигурацию. Для этого используйте команду как 'sudo iptables - L.» Сценарий GitHub добавляет основные правила в раздел «Пересылка» для включения пересылки. Можно использовать эту команду для проверки того, соответствуют ли недавно добавленные вами правила вашим предпочтениям.
Вставьте правило Forward
Каждая сеть разнообразна, и поэтому каждая таблица правил Raspberry Pi Firewall также разнообразна. Вот полный синтаксис для добавления определенных правил в среде.
Для этого добавьте sudo iptables - F, Порядок является значительным, когда маршрутизатор принимает все. Таким образом, мы не можем блокировать определенные соединения.
Используйте команду iptables - ВПЕРЕД - p tcp - dport 80 - j DROP, Команда объясняет, что:
(-A) для добавления нового правила
(FORWARD) для использования в передней части
(-p tcp) для использования протокола TCP
(DROP) для каплиping все, что является тайм-аутом соединения.
Теперь проверьте, работает ли соединение. Для этого установите соединение с WiFi роутером. Для удаления правила пользователям необходимо использовать IPTables -F. Или используйте аналогичную команду с оператором -D вместо -A.
Iptables -D FORWARD -p tcp –dport 80 -j DROP
Эта команда позволяет пользователям удалить определенное правило и, следовательно, не все правила, как в случае с -F.
Синтаксис команды Iptables
Для создания правил брандмауэра Raspberry Pi можно использовать похожие шаблоны команд. Чтобы выполнить это действие, следуйте шаблону как:
Iptables - -п - -dport -j
Операции:
- -F: удалить, очистить все правила, которые не требуют параметров
- -А: добавить, добавить новое правило
- -D: удалить, удалить текущее правило
Направления:
ВПЕРЕД, ВЫХОД или ВХОД
Протоколы:
Главным образом UDP или TCP
Количество портов, которые вам нравятся для построения правила.
Действие:
Сделайте выбор для соответствия трафика. ПРИНЯТЬ разрешает доступ в режиме белого списка. REJECT запрещает доступ и сообщает отправителям, что запрещено. DROP запрещает доступ, однако не сообщает отправителям.
Переключиться на белый список
Пользователи, которые находятся в строгой среде, затем переходят в режим белого списка. Для выполнения этого действия они должны создать линию портов. Самый простой способ создания сценария - запускать все команды одновременно. Для этого вы можете скачать DNS-сервер пересылки на Raspberry Pi. Затем используйте то же самое для ответа на запросы DNS.
sudo apt установить bind9
sudo mv /etc/bind/ named.conf.options/etc/bind/ named.conf.options
Теперь вставьте строки как:
Это типичная конфигурация. OpenDNS можно использовать для отправки на него DNS-запросов, полученных на Raspberry Pi.
- Сохранить и выйти (CTRL + O, CTRL + X)
- Перезапустить Bind следуя sudo service bind9 restart
- Редактировать DNS-серверы присутствует в DHCP, sudo nano / etc / udhcpd.conf
- Изменить строку, опт днс 208.67.222.222.208.67.220.220
- Перезагрузите DHCP-сервер с помощью службы sudo перезагрузка udhcp
Теперь снова подключите устройство и посмотрите, все ли работает нормально.
Создайте скрипт Raspberry Pi Firewall
Nano / usr / local / bin / firewall.sh
Пользователи могут вносить изменения в эту команду в соответствии со своими предпочтениями. Теперь вы можете добавить право исполнительной власти к этому:sudo chmod + x firewall.shИ теперь, запуститеsudo /usr/local/bin/firewall.sh«. Если что-то не так, вы можете перезагрузить Raspberry Pi Firewall для восстановления всего доступа.
Сделайте постоянную конфигурацию
Скрипт использует команду «файл / и т.д. / iptables.ipv4.nat»Для сохранения конфигурации. Если это работает, сохраните текущую конфигурацию внутри как:
sudo iptables - сохранить> /etc/iptables/ipv4.nat
Это позволит загрузить файл и применить изменения напрямую.
Мониторинг сети
Если брандмауэр Raspberry Pi работает нормально, вы можете добавить несколько пакетов для улучшения возможностей Raspbian. Чтобы добавить веб-интерфейс, вы можете отслеживать, что происходит в сети. Для этого вы можете использовать Webmin, который является веб-интерфейсом. Загрузите последнюю версию и проложите настройку. Теперь установите пароль и выберите, хотите ли вы использовать SSL.
Веб-сайты и прокси-фильтр
Здесь мы устанавливаем Squid в качестве прокси-сервера, а также SquidGuard в качестве фильтра для брандмауэра Raspberry Pi. Для установки Squid выполните «sudo apt устанавливает squidИ создайте резервную копию файла с помощью «cd / etc / squid sudo mv squid.conf squid.conf.old«. Теперь переключитесь на пользователя и удалите все комментарии с помощью «Sudo су
Вы должны добавить строки при открытии как:
Теперь перезапустите Squid для применения изменений с помощью «sudo systemct1 перезапустить Squid".
Установка SquidGuard
Теперь пришло время установить SquidGuard с помощьюsudo apt устанавливает squidguard«. Скачайте список сайтов по категориям и распакуйте архивные файлы. При извлечении пользователи могут просматривать категории черного списка на экране. Выберите один и используйте его для конфигурации SquidGuard. Переместите файлы в эту папку и заархивируйте конфигурацию SquidGuard. Затем создайте файл конфигурации и вставьте следующие строки:
Внесите изменения, если хотите, а затем сохраните и удалите (CTRL + O, CTRL + X) Теперь создайте базу данных и перезапустите Squid для применения изменений, выполнивперезапуск squid службы sudo«. Теперь попробуйте получить доступ к URL-адресам из списка домена и проверьте, заблокировал ли вас SquidGuard или нет.
Итак, это как создать Межсетевой экран Raspberry Pi, Теперь у вас есть полные знания по созданию маршрутизатора брандмауэра с использованием прокси на Raspberry Pi.
Читайте также: