Windows

Cómo emplear el firewall de Raspberry Pi

¿Estás buscando una manera de crear un Raspberry Pi Firewall por más tiempo? Si no pudo realizarlo usando OpenWRT y Pfsense, entonces este blog es definitivamente para usted. El Raspberry Pi cuenta con un único socket de ethernet, por lo que no es posible crear un firewall genuino en Raspberry Pi. Sin embargo, uno puede producir un enrutador que tenga capacidades de firewall. Para realizar esta tarea, necesita instalar algunos bloques de software en Pi. Antes de sumergirnos en los detalles, ¡discutamos algunas cosas básicas!

¿Qué es un firewall de enrutador?

Para comprender esto, debe saber qué significan un enrutador y un firewall. Un enrutador se refiere a un gadget de red que está junto a dos redes entre sí. Si su computadora cuenta con dos o más puertos ethernet, mientras tiene diversas redes, entonces puede comportarse como un enrutador. Luego, tendrá dos redes que comparten una conexión a un enrutador, 2.0 y 1.0. Si hay un enrutador bien configurado, entonces permite que X e Y se vean mientras trabajan en una red diversa.

Raspberry Pi cuenta con una sola tarjeta ethernet. Sin embargo, los usuarios pueden emplear una tarjeta WiFi para crear otra red. Aquí, sabrá cómo puede conectar una red WiFi a una red ethernet. Por otro lado, Firewall se refiere a un tipo de software. Este software permite a los usuarios insertar políticas de seguridad en el enrutador. Como se indicó en el ejemplo anterior, mencionamos que X podría hacer ping a Y, pero no puede acceder a su servidor HTTP. Aquí, usaremos "iptables"Software para esto. Puede usar otro software cuando se trata de firewalls según su preferencia.

Para crear acceso inalámbrico y otro software para monitorear la red, los usuarios deben seguir algunas instrucciones. Con esto, incluso puedes filtrar algo de tráfico. Entonces, si te gusta hacer esto, sigue siguiendo.

Aquí está mi red actual:

Y quiero convertirlo así:

  • Instale el firewall de Raspberry Pi en su red
  • Permitir punto de acceso WiFi utilizando una subred de red diversa
  • Construye un puente entre dos redes
  • Establecer algunas reglas y regulaciones de firewall
  • Instalar otro software

Aquí, vamos a discutir estos pasos en detalle uno por uno. Entonces, comencemos con el primer paso de este procedimiento.

Además, aprenderás más sobre Conceptos básicos de firewall y cómo desactivar el cortafuegos así como la comparación completa de cortafuegos con estado o sin estado acá.

Instalar Raspberry Pi Firewall

Inicialmente, debe instalar el firewall de Raspberry Pi en su red. Para esto, sigue:

  • Instalar Raspbian
  • Ningún requisito del modelo de escritorio, excepto si a los usuarios les gusta emplear Raspbian para otras tareas
  • Plugin Raspberry Pi usando un cable RJ45 en la red.
  • No es obligatorio usar direcciones IP estáticas, pero podría ayudar.
  • Después de esto, actualice el sistema usando: sudo apt update, sudo apt upgrade y sudo reiniciar.
  • Permita SSH navegando a raspi-config, luego a Opciones de interfaz y luego sudo raspi-config.

Eso es todo, y ahora, es hora de instalar el enrutador. Entonces, sepamos cómo realizar la instalación del enrutador.

Además, aquí están los Reglas de Mikrotik Firewall y la beneficios de la virtualización para tu referencia.

Instalar enrutador inalámbrico

Es bastante posible configurar manualmente el Raspberry Pi Firewall como un enrutador WiFi. Sin embargo, es un poco lento y complejo. Para facilitarle la tarea, le presentamos un guión para lo mismo.

  • Este script está disponible en GitHub. En primer lugar, necesita instalar git para descargar este programa. Por ejemplo, sudo apt install git
  • Cambie a una nueva carpeta para descargar este programa,

cd / opt

git clone https://github.com/unixabg/RPI-Wireless-Hotspot/git

  • Cambie al subdirectorio, que es cd RPI-Wireless-Hotspot /
  • Comience el proceso de instalación por sudo./install

Ahora, el guión hace algunas preguntas. Una vez que las haya respondido, Raspberry Pi se reinicia para aplicar los cambios. Después de completar este proceso, puede emplear el firewall de Raspberry Pi como enrutador. En la lista de redes de WiFi, verá el SSID apto. Después de conectarse al servidor, verifique que todo funcione bien o no. Entonces, no hay nada más en la configuración de la red.

PD: aquí está todo sobre el Cortafuegos de puertos SMB y la importancia del cortafuegos, así como todos Tipos de cortafuegospara tu referencia.

Teoría del cortafuegos

La función principal del Firewall es básicamente permitir o bloquear el acceso de direcciones IP particulares a otras. La mayoría de las veces, a menudo empleamos un puerto para establecer permisos precisos. En las configuraciones de Firewall, hay dos reglas básicas, que son la Lista negra que sigue la regla "Permitir todo excepto ...'y la lista blanca que sigue la regla'Negar todo excepto ..."

Por lo tanto, elija el que más le guste realizar con el enrutador de Raspberry Pi. Si está en casa, es mejor ir con el primero, donde puede bloquear varias cosas, como direcciones IP particulares. En el trabajo, ve con el otro, donde puedes prohibir todo excepto lo que está permitido.

Adentro, afuera y adelante

Es un programa más fácil, donde uno puede crear varias reglas en solo tres direcciones. Estas tres direcciones son:

  • Entrada: Paquetes de la red que ingresa a su firewall
  • Salida: Paquetes que salen de su cortafuegos
  • adelante: Paquetes que atraviesan su cortafuegos

Cuando se utiliza un servidor web alojado, se puede bloquear todo en la entrada, excepto HTTPS y HTTP. Sin embargo, en la salida, no importa lo que haga el servidor en Internet. Aquí, usaremos reglas de reenvío ya que no hay mucho en el firewall de Raspberry Pi. Por lo tanto, no tiene sentido protegerlo.

Raspberry Pi Firewall Configuración

Los usuarios que deseen pueden agregar un Firewall a su enrutador para filtrar el tráfico. Si trabaja en casa, no es del todo significativo. Sin embargo, es obligatorio para un área pública o empresa.

IPTables

Para Raspbian, hay varios paquetes de firewall presentes, como UFW o IPTables. OpenWRT también está allí, que es la distribución Raspberry Pi para crear un firewall. IPTables está instalado en la Raspberry Pi.

Examinar la configuración actual

Antes de agregar reglas, es mejor examinar la configuración actual. Para hacerlo, utilice el comando como 'sudo iptables - L. ' El script GitHub agrega reglas básicas en la sección Reenviar para habilitar el reenvío. Uno puede emplear este comando para verificar si las reglas que ha agregado recientemente corresponden a sus preferencias.

Insertar la regla de reenvío

Cada red es diversa y, por lo tanto, cada tabla de reglas de Raspberry Pi Firewall también es diversa. Aquí hay una sintaxis completa para agregar reglas particulares en un entorno.

  • Restablecer la configuración de IPTables

Para esto, agregue sudo iptables - F. El orden es significativo, donde el enrutador acepta todo. Por lo tanto, no podemos bloquear conexiones particulares.

  • Agregar la regla DROP

Usa el comando iptables - A FORWARD - p tcp - dport 80 - j DROP. El comando explica que:

(-A) para agregar una nueva regla

(ADELANTE) para usar en la parte delantera

(-p tcp) para usar el protocolo tcp

(-portaje 80) para usar el puerto HTTP

(DROP) para descartar todo, que es una conexión de tiempo de espera.

Ahora, verifique si la conexión está funcionando. Para hacer esto, realice una conexión con el enrutador WiFi. Para eliminar una regla, los usuarios deben emplear IPTables -F. O use un comando similar que tenga un operador -D en lugar de -A.

Iptables -D FORWARD -p tcp –dport 80 -j DROP

Este comando permite a los usuarios eliminar una regla particular y, por lo tanto, no todas las reglas como el caso con -F.

Sintaxis del comando Iptables

Para crear las reglas de Raspberry Pi Firewall, uno puede usar las plantillas de comando similares. Para realizar esta acción, siga la plantilla como:

Iptables - <operación> <dirección> -p <protocolo> - -dport <puerto> -j <acción>

operaciones:

  • -F: eliminar, eliminar todas las reglas que no requieren parámetros
  • -A: agregar, agregar una nueva regla
  • -D: eliminar, eliminar una regla actual

Instrucciones:

HACIA ADELANTE, SALIDA o ENTRADA

Protocolos:

Principalmente udp o tcp

Puerto:

El número de puertos que le gusta construir la regla.

Acción:

Haga una elección para hacer el tráfico conforme. ACEPTAR permite el acceso en el modo de lista blanca. RECHAZAR niega el acceso y le dice a los remitentes lo que no está permitido. DROP niega el acceso, sin embargo, no le dice a los remitentes.

Cambiar a la lista blanca

Los usuarios que se encuentran en un entorno estricto, luego cambian al modo de lista blanca. Para realizar esta acción, tienen que producir una línea de puertos. El método más fácil para producir un script es ejecutar todos los comandos al mismo tiempo. Para esto, puede descargar un reenviador de DNS en Raspberry Pi. A continuación, emplee lo mismo para responder solicitudes de DNS.

  • Descargar Bind (paquete del servidor DNS)

sudo apt install bind9
  • Copia de seguridad de la configuración

sudo mv /etc/bind/named.conf.options/etc/bind/named.conf.options

Ahora, pegue las líneas como:

Acl "red local" {127.0.0.1/32; 192.168.42.0/24;};
opciones {directorio "/ var / cache / bind"; reenviadores {208.67.222.222;};
allow-query {red local;};
dnssec - validación automática;
auth-nxdomain no;
listen-on-v6 {cualquiera;};
};

Es una configuración típica. Se puede usar OpenDNS para enviarle las consultas DNS recibidas en Raspberry Pi.

  • Guardar y Salir (CTRL + O, CTRL + X)
  • Reiniciar enlace siguiendo el reinicio de sudo service bind9
  • Editar servidores DNS presente en el DHCP, sudo nano / etc / udhcpd.conf
  • Cambiar la linea, opt dns 208.67.222.222.208.67.220.220
  • Reiniciar el servidor DHCP por sudo service udhcp restart

Ahora, vuelva a conectar el dispositivo y vea si todo funciona bien.

Cree el script de firewall de Raspberry Pi

  • Hacer un archivo con nano

Nano / usr / local / bin / firewall.sh
  • Pegue las líneas como:
#! / Bin / sh
# Borrar todas las reglas
Iptables -F
# Modo de lista blanca
iptables -P ACEPTACIÓN DE ENTRADA
iptables -P GOTA HACIA ADELANTE
iptables -P ACEPTACIÓN DE SALIDA
# Permitir PING para todos
iptables -A ADELANTE -p icmp -j ACEPTAR
# Permitir HTTP / HTTPS para clientes WiFi
iptables -A ADELANTE -p tcp –dport 80 -j ACEPTAR
iptables -A ADELANTE -p tcp –dport 443 -j ACEPTAR
# Permitir POP / IMAP / SMTP para clientes WiFi
iptables -A ADELANTE -p tcp –dport 25 -j ACEPTAR
iptables -A ADELANTE -p tcp –dport 110 -j ACEPTAR
iptables -A ADELANTE -p tcp –dport 993 -j ACEPTAR
# Permitir PING para clientes WiFi
iptables -A ADELANTE -p icmp -j ACEPTAR
Los usuarios pueden hacer modificaciones a este comando según sus preferencias. Ahora, puede agregarle derecho ejecutivo al "sudo chmod + x firewall.sh"Y ahora, ejecútalo"sudo /usr/local/bin/firewall.sh. " Si algo no está bien, puede reiniciar el firewall de Raspberry Pi para recuperar todo el acceso.

Hacer una configuración persistente

La secuencia de comandos emplea el comando "archivo / etc / iptables.ipv4.nat"Para guardar la configuración. Si está funcionando, guarde la configuración actual como:

sudo iptables - guardar> /etc/iptables/ipv4.nat

Al hacerlo, cargará el archivo y aplicará los cambios directamente.

Red de Monitoreo

Si el firewall de Raspberry Pi funciona bien, puede agregar algunos paquetes para mejorar las capacidades de Raspbian. Para agregar una interfaz web, puede monitorear lo que ocurre en la red. Para esto, puede usar Webmin, que es una interfaz web. Descargue la versión reciente y dirija la configuración. Ahora, establezca un código de acceso y seleccione si desea emplear SSL.

Sitios web y filtro proxy

Aquí, estamos instalando Squid como proxy, así como SquidGuard como filtro para el Firewall Raspberry Pi. Para instalar Squid, siga "sudo apt install squid"Y haga una copia de seguridad del archivo con"cd / etc / squid sudo mv squid.conf squid.conf.old". Ahora, cambie al usuario y elimine todos los comentarios con "sudo su

Cat squid.conf.old | egrep -v -e '^ [[: en blanco:]] * # | ^".

Tienes que agregar las líneas en la apertura como:

acl LocalNet src 192.168.42.0/24
acceso http permitir LocalNet

Ahora, reinicie Squid para aplicar los cambios con "sudo systemct1 reiniciar calamar."

Después de la configuración de Squid, hay dos opciones, primero, para emplear el firewall de Raspberry Pi como proxy HTTP mediante la configuración del navegador web. El otro es redirigir todo el tráfico HTTP automáticamente a Squid.

Instalación de SquidGuard

Ahora es el momento de instalar SquidGuard mediante "sudo apt install squidguard. " Descargue la lista de sitios web por categoría y extraiga los archivos de almacenamiento. Al extraer, los usuarios pueden ver las categorías de la lista negra en la pantalla. Seleccione uno y emplee el mismo para la configuración de SquidGuard. Cambie los archivos a esta carpeta y archive la configuración de SquidGuard. A continuación, cree un archivo de configuración y pegue las siguientes líneas:

Dbhome / var / lib / squidguard / db logdir / var / log / squidguard dest
violencia {
lista negra de dominios / violencia / dominios
listas negras de urllist / violencia / urls
acceso a la violencia de registro
}
ac1 {
Por defecto
{
Pase! Violencia
redirigir http: //localhost/block.html
}
}
Realice cambios si lo desea y luego guarde y parta (CTRL + O, CTRL + X). Ahora, cree la base de datos y reinicie Squid para aplicar los cambios siguiendo "sudo service calamar reiniciar. " Ahora, intente acceder a las URL de la lista del dominio y examine si SquidGuard lo ha bloqueado o no.

Entonces, así es como se crea el Raspberry Pi Firewall. Ahora, tiene un conocimiento completo sobre la construcción del enrutador Firewall utilizando un proxy en Raspberry Pi.

Tags
Volver al botón superior
Cerrado
Cerrado