Firewall Raspberry Pi4: 12 Langkah

2024 Pengarang: John Day | [email protected]. Terakhir diubah: 2024-01-30 09:55

Dengan Raspbery Pi 4 (RPi4) baru yang baru saja dirilis, saya memutuskan untuk membuat sendiri firewall penggunaan di rumah. Setelah tersandung di Internet, saya menemukan artikel bagus tentang masalah ini oleh Guillaume Kaddouch (https://networkfilter.blogspot.com/2012/08/building-your-piwall-gateway-firewall.html). Artikelnya luar biasa, dan Anda harus membacanya sebelum melanjutkan--ini akan membuat proses yang dijelaskan di sini lebih mudah. Masalahnya, artikel itu ditulis pada tahun 2012 dan didasarkan pada distro ArchLinux. Tidak ada yang menentang ArchLinux, tetapi saya ingin membuat ini menggunakan build Raspbian yang lebih umum. RPi4 dapat menangani persyaratan pemrosesan. Jadi, terima kasih, Guillaume, atas inspirasinya!! Instruksi ini akan merujuk kembali ke posting asli Guillaume (singkatnya "GK", Anda mungkin ingin kedua halaman dibuka di browser Anda.

Beberapa hal penting tentang firewall saya:

• Saya memiliki jack ethernet bawaan (eth0) yang masuk ke LAN
• Router ISP ada di adaptor TRENDnet (eth1)
• Saya telah secara aktif menonaktifkan adaptor nirkabel (wlan0)
• Ini tidak dijamin membuat Anda 100% di sana … semoga setidaknya 99%:) jadi tolong berikan umpan balik/komentar
• Ini adalah instruksi pertama saya. Maaf untuk apa pun yang tidak mengikuti norma-norma yang dapat diinstruksikan.

Sekarang, mari kita bersenang-senang…

Perlengkapan

• Raspberry Pi 4

  • Saya menggunakan versi 4GB, jangan ragu untuk mencoba versi yang berbeda
  • Kasus (Saya suka FLIRC, tapi itu panggilan Anda)
  • Adaptor daya
• Kartu MicroSD, 32GB atau lebih besar (saya menggunakan kartu 64GB)
• TRENDnet USB3.0 Gigabit Ethernet Dongle (Model: TU3-ETG)
• Beberapa kabel jaringan RJ45
• Keyboard dan Mouse USB
• Kabel Micro-HDMI ke HDMI (yang dicolokkan ke monitor HDMI)

Keyboard, video, dan mouse tersebut dapat dihapus setelah Anda dapat mengaktifkan dan menjalankan SSH dan VNC.

Langkah 1: Pengaturan RPi Awal

Hal pertama yang harus dilakukan adalah mengaktifkan dan menjalankan RPi4 Anda sebagai sistem baru. Unduh dan instal distribusi lengkap Raspbian (Raspbian Buster dengan desktop dan perangkat lunak yang direkomendasikan). Anda perlu mem-boot ulang beberapa kali agar dapat memperluas dan memanfaatkan kartu MicroSD penuh.

Saat boot, Anda harus menjawab pertanyaan tentang lokalitas, jaringan, keyboard, dan mouse. Sambungkan ke jaringan dan izinkan untuk memperbarui.

Mari juga konfirmasikan bahwa semuanya diperbarui dengan benar, dan dapatkan beberapa utilitas yang dapat membantu debugging nanti:

$ sudo apt-get update

$ sudo apt-get dist-upgrade $ sudo apt-get install htop $ sudo apt-get install tcpdump

Saya TIDAK menginstal vim, juga tidak melakukan langkah 8 GK (konfigurasi vim). Saya baru saja menggunakan editor vi karena memiliki sebagian besar fitur tersebut. Ini juga menghemat waktu dan tenaga.

Setelah selesai, mari kita atur RPi4 agar kita bisa menyambungkan monitor. Tujuan saya adalah membuatnya berjalan tanpa kepala, tetapi jika saya perlu mencolokkan monitor, itu akan dikenali.

$ sudo vi /boot/config.txt

Dalam file itu:

batalkan komentar (hapus simbol # depan): hdmi_force_hotplug=1

batalkan komentar: hdmi_drive=2

opsional, tambahkan: enable_hdmi_sound

Langkah 2: Jaringan

Jika Anda mengikuti di situs GK, ini adalah langkah 3. Tapi perlu diingat, saya tidak mengikuti banyak langkah pertamanya dalam urutan yang tepat.

Ketika saya pertama kali memulai ini, saya menghubungkan RPi langsung ke router ISP saya ("di sebelah jaringan saya yang ada"). Ini memungkinkan saya untuk bermain dengan konfigurasi tanpa mempengaruhi jaringan. Hubungkan RJ45 built-in RPi4 ke router Anda (atau nirkabel, jika Anda mau). Dengan Raspbian, cara termudah untuk melakukannya adalah menggunakan GUI. Dari desktop, klik Ikon Raspberry > Preferensi > Konfigurasi Raspberry Pi. Pastikan untuk mengaktifkan SSH dan VNC. Ini akan menginstal klien server Real-VNC. Saya menemukan bahwa jika Anda mencoba terhubung dengan klien Tight VNC, itu akan cocok dan memerlukan beberapa konfigurasi tambahan. Jadi, pada titik ini instal klien Real-VNC di desktop/laptop utama Anda (bukan RPi4) Anda.

SSH tidak akan bekerja dengan sendirinya (langkah 7 GK). Kita perlu memodifikasi beberapa konfigurasi. Pertama, mari kita modifikasi file konfigurasi ssh. Berikut adalah perubahan yang saya buat. Perlu diingat bahwa saya tidak mempelajari dampak dari setiap perubahan di sini. Saya melakukan apa yang disarankan situs GK. Beberapa dari perubahan ini mungkin TIDAK diperlukan.

$ sudo vi /etc/ssh/sshd_config

Dalam file itu, batalkan komentar pada baris berikut:

HostKey /etc/ssh/ssh_host_rsa_keyHostKey /etc/ssh/ssh_host_ecdsa_keySyslogFacility AUTHLogLevel INFOStrictModes yesPubkeyAuthentication yesHostBasedAuthentication no

Abaikan Rhost ya

PrintMotd noPrintLastLog yesTCPKeepAlive yes

Dan tambahkan baris berikut:

Protokol 2GunakanPrivilegeSeparation yesKeyRegenerationInterval 3600ServerKeyBits 768RSAAotentikasi yesRhostsRSAAotentikasi tidak

Dan ubah baris berikut:

Port 15507LoginGraceTime 60PermitRootLogin no

Langsung saja kita bahas tentang modifikasi pertama…port 15507. SSH biasanya berjalan di port 22. GK memindahkannya ke 15507--tidak tahu kenapa. Anda dapat memodifikasinya atau tidak… Jika Anda memilih untuk memodifikasinya, Anda perlu menambahkan "-p 15507" ke perintah SSH apa pun yang Anda coba sambungkan. Jika Anda memutuskan untuk melewatkannya, perhatikan tempat lain yang disebutkan 15507 dalam instruksi ini dan abaikan saja, terutama aturan firewall!

Terakhir untuk langkah ini, mari dapatkan alamat IP RPi4 sehingga kita tahu apa yang harus dihubungkan:

$ ipconfig -a

Temukan koneksi jaringan yang aktif (kemungkinan pada eth0 atau wlan0) dan tuliskan alamat IP itu. Sekarang Anda memiliki apa yang Anda butuhkan untuk terhubung dari jarak jauh ke RPi4. Mari kita reboot sebelum kita melanjutkan:

$ sudo reboot

Langkah 3: Pengguna Lain

Yang terbaik adalah tidak menggunakan nama pengguna RPi default (pi), dan Anda tentu harus mengubah kata sandinya. Agar aman, mari tambahkan akun pengguna lain yang dapat Anda gunakan untuk terhubung dan melanjutkan dari jarak jauh (langkah 6 GK). Kembali ke RPi, mari tambahkan pengguna baru dan atur izin untuk pengguna ke SSH dan jalankan perintah Sudo:

$ sudo useradd -m -g pengguna -G sudo, netdev -s /bin/bash [NAMA PENGGUNA]

$ sudo passwd [NAMA PENGGUNA]

Jangan ragu untuk logout atau reboot dan gunakan akun yang baru dibuat itu ke depannya.

Langkah 4: File Syctl

Langkah selanjutnya adalah memodifikasi file /etc/sysctl.conf (langkah 9 GK). File ini digunakan untuk mengubah beberapa pengaturan kernel. Kami akan melakukan persis seperti yang dikatakan GK. Berikut adalah serangkaian langkah yang disederhanakan.

$ sudo vi /etc/sysctl.conf

Dalam file itu, batalkan komentar pada baris berikut:

net.ipv4.conf.default.rp_filter=1net.ipv4.conf.all.rp_filter=1net.ipv4.tcp_syncookies=1

net.ipv4.ip_forward = 1

net.ipv4.conf.all.accept_redirects = 0net.ipv4.conf.all.send_redirects = 0net.ipv4.conf.all.accept_source_route = 0net.ipv4.conf.all.log_martians = 1

Dan tambahkan baris berikut:

net.ipv4.icmp_echo_ignore_broadcasts = 1net.ipv4.icmp_ignore_bogus_error_responses = 1net.ipv4.conf.eth0.accept_redirects = 0vm.min_free_kbytes = 8192

Mulai ulang layanan dengan pengaturan baru ini dan reboot:

$ sudo sysctl -p

$ sudo reboot

Langkah 5: DHCP & DNS (bagian 1)

Bagi saya, ada dua bagian yang menyakitkan untuk proses ini… Menyiapkan DHCP & DNS, dan menyiapkan aturan firewall. Jadi, di sini kita pergi dengan bagian pertama. Jika Anda mengikuti di situs GK, kami berada di langkah 10.

Untuk melakukan ini, Anda memerlukan beberapa informasi dari router ISP Anda (atau firewall saat ini):

• Alamat IP internal router
• Alamat IP yang dapat Anda gunakan untuk antarmuka RPi4 ke router
• IP untuk server nama (atau dua)
• Nama antarmuka untuk koneksi LAN (mis., eth0 atau eth1)
• Nama antarmuka untuk koneksi ISP (mis., apa pun yang tidak Anda gunakan untuk LAN)

Anda mungkin juga perlu mengubah pengaturan router untuk memberikan RPi4 alamat IP statis (bullet 2, di atas). Setidaknya, itulah yang saya lakukan.

Pertama, mari kita modifikasi file dhcpcd.conf…

$ sudo vi /etc/dhcpcd.conf

Batalkan komentar pada baris ini:

persistenoption rapid_commitoption domain_name_servers, domain_name, domain_search, host_nameoption interface_mtu

Untuk setiap antarmuka jaringan, Anda perlu mengatur detail jaringan. Mereka seharusnya terlihat seperti ini:

# Statis untuk antarmuka ke ISP

antarmuka eth1 static ip_address=192.168.1.router statis=192.168.1.254 static domain_name_servers=8.8.8.8 8.8.4.4 metrik 100 # Statis untuk antarmuka ke antarmuka LAN eth0 static ip_address=10.210.212.router statis=10.210.212.1 statis domain_name_servers=8.8.8.8 8.8.4.4 #interface wlan0 #static ip_address=10.210.212.#static routers=10.210.212.1 #static domain_name_servers=8.8.8.8 #Batalkan komentar pada bagian ini jika Anda ingin memaksakan alamat IP pada perangkat. Nama setelah 'host' #tidak ada artinya bagi sistem. Masukkan alamat MAC perangkat serta alamat #IP yang diinginkan. Pastikan itu di luar jangkauan dhcp. Ulangi seperlunya. #host [APA SAJA] { # perangkat keras ethernet xx:xx:xx:xx:xx:xx; # alamat tetap 10.210.212.250; #}

Pastikan untuk menggunakan nomor yang sesuai untuk Anda. IP di atas adalah untuk jaringan saya, dengan pengecualian server nama yaitu Google. Perhatikan bahwa saya juga mengatur metrik untuk ISP ke 100 untuk memaksa itu menjadi percobaan pertama default untuk lalu lintas jaringan. Saya juga secara khusus tidak melakukan apa pun pada adaptor nirkabel saya (wlan0). Saya bermaksud untuk sepenuhnya mematikan antarmuka itu, jadi masuk akal bagi saya.

Juga, jika Anda ingin memaksakan alamat IP pada perangkat (seperti NAS), gunakan bagian bawah itu. Beri tuan rumah nama yang berarti bagi Anda, tetapi ketahuilah bahwa itu tidak pernah digunakan oleh apa pun. Jangan lupa titik koma.

Langkah 6: DHCP & DNS (bagian 2)

Langkah selanjutnya adalah memodifikasi file dnsmasq.conf…

$ sudo vi /etc/dnsmasq.conf

Kita perlu menghapus komentar pada beberapa baris, dan mengedit beberapa baris. Anda juga perlu menyalin beberapa pengaturan dari file dhcpcd.conf. Dua pertanyaan lain yang perlu Anda jawab sendiri adalah:

Apakah LAN internal (mis., eth0) memerlukan DHCP dan DNS? Berapa rentang DHCP yang Anda inginkan untuk LAN Anda, dan berapa lama sewa masing-masing?

Mulailah dengan membatalkan komentar beberapa baris:

bogus-privno-dhcp-interface=wlan0bind-interfacesdhcp-name-match=set:wpad-ignore, wpaddhcp-ignore-names=tag:wpad-ignore

Tetapkan server nama Anda. Cari baris yang memulai 'server=' dan buat seperti 'server=8.8.8.8'.

Atur rentang DHCP Anda. Ada banyak cara untuk melakukan ini. Saya memilih untuk memberikan dua IP titik akhir, topeng, dan panjang sewa. Jangkauan saya adalah 10.210.212.20-10.210.212.240, dengan netmask 255.255.255.0, dan waktu sewa 12 jam. Saya sarankan Anda meninggalkan beberapa IP di bagian atas dan bawah rentang Anda jika Anda perlu memberikan sesuatu IP statis.

Atur interface yang akan mendapatkan DNS dan DHCP (LAN) dengan memodifikasi baris 'interface=' menjadi seperti 'interface=eth0). Perhatikan bahwa saya secara khusus mengatakan TIDAK untuk menetapkan alamat IP DHCP ke jaringan nirkabel saya. Sekali lagi, saya bermaksud untuk sepenuhnya mematikan antarmuka itu, jadi masuk akal bagi saya.

Langkah 7: DHCP & DNS (bagian 3)

Pengalihan dari petunjuk GK untuk langkah terakhir ini…

Ketika saya me-restart RPi saya pada saat ini, proses dnsmasq tidak aktif. Sedikit mengaduk-aduk dan saya menemukan bahwa antarmuka jaringan eth0 dan eth1 saya tidak aktif sebelum dnsmasq dimulai, jadi dnsmasq akan gagal saat memulai. Saya harus menghubungkan keyboard dan mouse ke RPi dan memulai ulang dnsmasq secara manual. Ini tidak ideal dengan pengaturan tanpa kepala. Saya membaca banyak posting yang mengatakan untuk membuat berbagai perubahan pada pengaturan (mis., Nonaktifkan antarmuka-ikatan) dan hal-hal lain. Tidak ada yang berhasil. Pada akhirnya, saya memutuskan untuk menulis skrip shell yang akan berjalan setiap 2 menit dan memeriksa status dnsmasq. Jika tidak berjalan, mulailah. Saya berasumsi bahwa situasi ini tidak unik bagi saya. Jadi, inilah yang perlu Anda lakukan:

Buat kode berikut menjadi file bernama 'dns_masq_keepalive.sh' di RPi Anda.

#!/bin/bash

# File: dns_masq_keepalive.sh # Agustus 2019 # Gunakan ini dengan crontab -e (*/2 * * * * /etc/dns_masq_keepalive.sh) untuk memastikan dnsmasq berjalan. Layanan akan berhenti sendiri jika # semua antarmuka yang disebutkan di dhcpcd.conf tidak aktif sebelum dimulai. Ini memperbaiki masalah. # Baris berikutnya ini akan mengembalikan semua pekerjaan aktif dengan kata 'dnsmasq' di dalamnya. Jadi, jangan sertakan 'dnsmasq' di # nama file ini, jika tidak maka akan mengembalikannya setiap saat dan Anda tidak akan pernah memulai ulang. dns_running=$(ps -e | grep dnsmasq) echo $dns_running if [-z "$dns_running"] then #echo No DNSMasq Sudo /etc/init.d/dnsmasq restart #else #echo DNSMasq Menjalankan fi

Potong dan tempel jika perlu. Apa pun yang Anda lakukan, jangan sertakan 'dnsmasq' dalam namanya. Skrip mencari kata 'dnsmasq' dan jika skrip memiliki nama tersebut, ia akan menganggap bahwa layanan sedang berjalan. Juga, ganti nama file sehingga berakhir dengan '.sh'. Intructables tidak mengizinkan saya mengunggah file '.sh'--yang bagus. Instruksi selanjutnya menganggap file tersebut ada di: /etc/dns_masq_keepalive.sh.

Kedua, atur izin pada file agar dapat dieksekusi:

$ sudo chmod u+x /etc/dns_masq_keepalive.sh

Sekarang kita akan menggunakan sistem crontab untuk membuat program berjalan setiap 2 menit setiap hari. Mulai crontab:

$ sudo crontab -e

Itu akan meminta Anda untuk mengedit menggunakan vi atau yang lainnya. Apa pun akan berhasil. Setelah Anda dapat mengeditnya, tambahkan yang berikut ke akhir file:

*/2 * * * * sudo /etc/dns_masq_keepalive.sh

Tidak ada spasi di '*/2', tetapi spasi di antara tanda bintang. Simpan dan keluar. Seharusnya memberitahu Anda bahwa pekerjaan itu dijadwalkan, atau sesuatu seperti itu.

Langkah 8: Firewall

Proses menyakitkan berikutnya adalah firewall (langkah 11 GK). Raspbian menggunakan sistem iptables yang terkenal. Blog GK menyediakan tiga file untuk membantu Anda mencapainya… firewall.simple, firewall.advanced, dan firewall.flows. Segala hormat untuk GK, tetapi buat diri Anda mudah dan gunakan firewall.simple. Saya menghabiskan banyak waktu mencoba mencari tahu sistem dan aturan iptables. Saya senang saya melakukannya, tetapi itu menyakitkan. Jadi, saya memberikan dua file terlampir untuk membantu Anda… firewall.simple dan firewall.clear. Salin kedua file ini ke folder /etc Anda dan ubah izin untuk membuatnya dapat dieksekusi:

$ sudo chmod u+x /etc/firewall.simple

$ sudo chmod u+x /etc/firewall.clear

Sebelum Anda mengatur aturan firewall apa pun, colokkan desktop/laptop ke port RPi eth0 Anda dan pastikan port tersebut mendapatkan alamat IP dan menjalankan DNS. Cara termudah untuk melakukannya adalah dengan mencoba dan melakukan ping ke situs umum dan kemudian alamat IP yang diketahui. Juga ping router RPi dan ISP Anda. Jika Anda mendapatkan hasil, maka semuanya baik-baik saja dan masalah jaringan apa pun yang sekarang Anda temui kemungkinan besar disebabkan oleh masalah firewall.

File pertama yang disediakan awalnya dimulai sebagai file firewall.simple GK (terima kasih, sekali lagi, GK!). Saya membuat banyak perubahan untuk membuatnya berfungsi untuk sistem ini. Ini harus memungkinkan setidaknya HTTP, HTTPS, DNS, DHCP, ping, SSH internal, VNC internal, dan plex. Plex mungkin tidak memiliki semua port terbuka untuk setiap perangkat yang memungkinkan, tetapi ada banyak pos di luar sana untuk memperbaikinya. Di bagian atas file adalah nilai yang perlu Anda ubah ke konfigurasi jaringan Anda.

File kedua, firewall.clear, dimaksudkan untuk digunakan saat Anda menguji aturan firewall Anda. Ketika Anda menjalankan 'sudo /etc/firewall.clear' semua aturan firewall akan dihapus dan sistem harus terhubung sepenuhnya ke Internet. Jadi, jika Anda tidak dapat membuat layanan jaringan (seperti dns) bekerja dengan aturan firewall.simple di tempat, tetapi mulai bekerja setelah Anda menjalankan firewall.clear, Anda tahu bahwa Anda memiliki masalah aturan. Ini benar-benar hanya penting saat menguji aturan Anda.

Jadi, kami memiliki aturan firewall di sana, kami harus membuatnya mulai saat RPi dimulai. Untuk melakukannya, kita akan mengedit file /etc/rc.local:

$ sudo vi /etc/rc.local

Setelah masuk tambahkan yang berikut ini ke akhir file:

echo “Memuat aturan iptables”/etc/firewall.simple >> /dev/null

Jika Anda memilih untuk menambahkan sistem deteksi intrusi snort, Anda perlu mengedit file ini lagi. Untuk saat ini simpan saja, dan reboot.

$ sudo reboot

Langkah 9: Syslog

Tinggal dua langkah…

Ini adalah hal yang mudah. Jika Anda masih di sana, dan mengikuti blog GK, ini adalah langkah 12. Anda perlu melakukan persis seperti yang dia katakan sehubungan dengan file syslog. Berikut langkah-langkah singkatnya:

Simpan data syslog selama 2 bulan…

$ sudo vi /etc/logrotate.conf

Kita perlu memberitahunya untuk menggunakan 'satu minggu' sebagai ukuran, dan kemudian menyimpan 12 di antaranya. Anda memerlukan dua baris berikut dalam file ini. Saya yakin Anda perlu mengubah baris yang ada.

rotasi mingguan 12

Simpan itu.

Langkah 10: Deteksi Intrusi Dengan Snort

Hal terakhir yang dikonfigurasi GK adalah sistem snort. Saya merekomendasikan ini juga. Anda dapat mengikuti aturannya, dan saya tidak akan menyalin semuanya di sini, dengan sedikit modifikasi. Instruksinya adalah untuk distro ArchLinux. Berikut adalah beberapa perubahan untuk distribusi Raspbian yang kami gunakan di sini. Instruksi lainnya berfungsi dengan baik.

Pertama, jangan gunakan sudo pacman -S snort untuk mengunduh dan menginstal snort. Lakukan hal berikut:

$ sudo apt-get install snort

Kedua, Anda tidak dapat memverifikasi snort dengan Sudo snort -version. Verifikasi instalasi dengan:

$ sudo mendengus -V

Terakhir, untuk menjalankannya saat startup, jangan ubah file rc.conf, edit file rc.local (lagi)…

$ sudo vi /etc/rc.local

Tambahkan baris berikut ke akhir file:

echo “Memuat snort”

#/usr/sbin/snort -D -u snort -g snort -c /etc/snort/snort.conf -i eth0 -l /var/log/snort

Sekarang, reboot dan semuanya akan bekerja secara ajaib.

$ sudo reboot

Langkah 11: Nikmati

Itu harusnya!

Pertama-tama, saya tidak bisa cukup berterima kasih kepada Guillaume Kaddouch! Dia menginspirasi ini.

Kedua, jika Anda belum memutuskan sambungan keyboard, video, dan mouse, Anda dapat melakukannya. Gunakan SSH dan VNC untuk masuk kembali, bila diperlukan.

Untuk mengakhiri, ini mungkin tidak 100% sempurna. Silakan kirim kembali dengan perubahan/saran/rekomendasi. Tujuan saya adalah agar ini menjadi awal diskusi dan banyak orang menikmatinya!

Terima kasih!!

PS… Gambarnya adalah RPi4 di dalam kotak aluminium FLIRC dengan kipas Intel lama yang sedikit dimodifikasi dan diikat ke atas. Ada pasta termal di bawah kipas juga, kalau-kalau Anda bertanya-tanya. Saya menemukan sesuatu yang serupa di Internet (https://www.reddit.com/r/raspberry_pi/comments/9bdgrr/it_turns_out_putting_a_heatsink_on_the_flirc_case/) dan memutuskan untuk mencobanya sendiri.

Langkah 12: Changelog

Saat perubahan dilakukan pada instruksi ini, saya akan mendokumentasikannya di sini. Jika Anda memiliki masalah, periksa di sini untuk melihat apakah Anda mengambil instruksi atau file lama.

25 September 2019:

• Memperbaiki aturan DHCP di firewall.simple
• Memperbaiki rentang DHCP dalam instruksi (file sudah benar)
• Menambahkan penetapan IP tetap ke instruksi DHCP

13 Oktober 2019

• Memperbaiki beberapa kesalahan ketik
• Membuat pi kedua jadi saya akan melakukan tes SDcard untuk ditukar, jika diperlukan