raspberry 防火墙

尽管Raspberry Pi 3是最近发布的 ，但Raspberry Pi 2仍然有很多寿命，并且非常适合执行许多有趣和有用的任务。

我周围有几个Raspberry Pi，我一直在探索其他有趣的项目，其中之一是可以替换非常老的单核64位Intel机架式服务器，该服务器用于服务器上的主防火墙和路由器。网络的边缘。 但是在破坏网络的主防火墙和网关之前，我想先测试一下Pi，然后看看要实现这一点需要什么。

更换塔

我也有一个双核Intel塔，用作防火墙和网络的侧门。 这台计算机对于完成该任务来说是非常过分的，我绝对可以将其用作更合适的角色。 由于该计算机可以非关键地访问我的网络，因此我决定将其替换为Raspberry Pi 2 Model B作为测试。

电源供应

我使用了Raspberry Pi 2 Model B，但是Raspberry Pi 3也应该可以。 我用标准的家用延长线上的备用Kindle 5V 1.8A USB电源块为Pi供电，然后将其插入UPS以提供稳定的电源。 我使用了很短的USB到micro-USB电缆，从电源块到Pi上的电源连接器。

KVM切换器

我有几台基础架构主机连接到具有VGA和PS / 2输入的16端口KVM交换机。 我也想将KVM用于Pi。 我使用USB转PS / 2适配器电缆将KVM的键盘和鼠标输入连接到Pi。 USB端插入Pi，KVM切换电缆的连接器插入适配器的PS / 2连接器。 过去我发现某些品牌的USB转PS / 2适配器不能很好地工作。

对于视频连接，我最初使用的是HDMI到VGA适配器，它是一个单一的整体单元。 该设备产生大量热量，其中很大一部分通过HDMI连接器传递到Pi中。 后来，我用一个单元代替了一个适配器，该适配器在HDMI连接器和VGA转换器之间的电缆长度较短，另外还有一个连接器单元，该单元产生和传输的热量少得多。

安装CentOS

我在其他基础架构服务器上使用了CentOS，因此我也想在Pi上使用它。 在我的主要Linux工作站上，我从CentOS Wiki网站上下载了Pi 2的CentOS Userland 7 32位ARM发行版，该发行版也包含其他小型计算机的图像。 如果您使用的是Raspberry Pi 3，则应改用该图像。

请注意，随着提供新的图像，图像名称可能会更改。 您应该始终使用最新的图像。 我解压缩了下载的xz映像文件（使用unxz），然后使用dd命令将映像安装到8GB microSD卡上。

dd if =CentOS-Userland- 7 -armv7hl-Minimal- 1511 -RaspberryPi2.img of = / dev / sdx 

确保在计算机上指定microSD驱动器的正确位置。

无需其他步骤即可启动microSD卡。 我将卡插入了Pi板上的microSD卡插槽中。 然后，我将Micro-USB连接器从电源插入Pi上的电源连接器，以启动命令行界面登录提示。

初始配置

我使用默认密码“ centos”（不带引号）以root用户身份登录，然后立即更改了root密码。 我更改了/ etc / hostname中的主机名，并按照/ root / README中的说明扩展了根分区，以填充microSD卡上的所有可用空间。 这包括重新启动。

此时，我将板载网络适配器连接到我的内部网络，以便可以安装更多软件并测试网络功能。 我安装了各种有用的实用程序，包括屏幕，vim，rwhois，mlocate，Midnight Commander（mc），mailx，bind-utils，chrony和wget。

我的其他一些收藏夹，例如atop和htop，尚未从CentOS存储库中获得。 我没有一次安装所有这些，因为我不知道丢失了哪些。 取而代之的是，我不得不遇到一个问题：没有安装所需的工具，然后在进行此过程的其他步骤时安装它。 希望此列表可以使您的工作更轻松。 当然，您可能会使用一些我不使用的工具，它们也可能会丢失。

我使用SSH密钥从网络登录，因此我使用ssh-copy-id将SSH公钥从主内部工作站复制到Pi。

第二个网络接口

因为此Pi用作防火墙，所以我需要另一个网络适配器。 记下eth0后，我添加了一个ASIX AX88178 USB千兆以太网加密狗。 我断开了内部网络与板载网络适配器的连接，并将其连接到加密狗。 我在内部网络上使用静态地址将加密狗配置为eth1，并在板载以太网上配置了静态外部地址，并将其连接到ISP的路由器。 确保使用接口配置文件中的HWADDR =行来设置配置文件所属的MAC地址。 我还将网关IP地址和至少两个名称服务器添加到内部适配器的接口配置文件中。

我同时启动了两个网络适配器，并使用了ifconfig和几个ping命令来验证网络适配器是否已绑定到正确的IP地址并正常工作。 现在，我可以从主工作站上的终端会话登录到Pi，然后从那里继续工作。

更新和更多配置

现在该安装所有更新并重新引导了，我已经做到了。 我确实发现有趣的是，当前用于ARM的CentOS的两个版本都使用firewalld和systemd之类的东西，但是仍然使用yum而不是dnf进行高级软件包管理。

我有一些别名和启动命令，在安装新主机时总是将它们添加到环境中。 这些命令可以作为单独的文件/etc/profile.d/mybash.sh添加到/ etc / bashrc中 ，或者更好。 /etc/profile.d中带有.sh文件扩展名的任何文件都由/ etc / bashrc在登录期间提供。

日期和时间

默认情况下，此版本的CentOS没有安装任何类型的时间同步，因此我安装了chrony并使用本地NTP时间服务器配置了chrony.conf。 我启动了chronyd，并配置了systemctl以在启动时启动chronyd。 我还将/ etc / localtime符号链接设置为指向所需的时区数据文件。

防火墙功能

对我的环境而言，新的firewalld实在是太过强大了，因此我安装了iptables-services和iptables-utils。 我配置了默认的/ etc / sysconfig / iptables文件，然后，在关闭外部网络连接后，我停止了firewalld并将其配置为在引导时不启动它。 我启动了iptables并配置了systemd以在引导时启动它。 然后，我恢复了外部网络连接。

小提琴！

一旦达到这一点，Pi便可以完全用作防火墙和侧门。

只需再执行两个步骤，然后将其放入路由器即可。 首先，将文件/ proc / sys / net / ipv4 / ip_forward的内容设置为“ 1”，然后将/etc/sysctl.conf中的以下行添加或设置为“ net.ipv4.ip_forward = 1” ，这样您的计算机上的路由器。 然后添加适当的行以进行源NAT并转发到iptables防火墙。

我昨天刚收到三台新的Raspberry Pi 3计算机。 我已经使用CentOS-Userland-7-armv7hl-Minimal-1602-RaspberryPi3.img映像进行了设置，并将在接下来的几天中完成对其的配置，成为我的主要防火墙和路由器。

IPTables规则

有人在评论中要求查看我用于此项目的IPTables规则，我怀疑其他人也对此感兴趣，所以也是如此。 这是一个相当标准的最小集，仅允许SSH入站。

# Generated by iptables-save v1.4.16.2 on Thu Feb 21 14:51:28 2013
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -p tcp -m conntrack --ctstate NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Thu Feb 21 14:51:28 2013 

翻译自: https://opensource.com/life/16/3/firewall-your-home-network-raspberry-pi

raspberry 防火墙