Arjen Lentz https://lca2021.linux.org.au/schedule/presentation/84/我不是系统管理员,但有时我必须做些事情-我必须做安全工作,以谋生但还要保持家庭网络安全而高效。 消费者路由器很烂:在性能,连接可靠性,安全性和合理配置能力上。 OpenWRT和DD-WRT很好,但有时人们有一种奇怪的冲动,那就是从头开始并尽可能使用开放位再次进行此操作。 也许只是因为。 无论如何,我决定从瑞士令人敬畏的Pascal订购两台PC Engines APU 4d4板。 这些是价格便宜的小型无风扇单板计算机,带有1 GHz AMD GX-412TC 4核CPU(当然是64位),4GB RAM,4x Gbit以太网端口以及许多其他连接器和选件。 我插入了PCIe SSD卡。 我首先通过串行电缆(已经是最新的,很好的)与开发板的BIOS进行了交谈,然后通过USB棒在其上安装了Debian 10(带有一些小小的黑客工具)。 而且,我的NBN HFC连接现在稳定且速度更快。 也许您想做类似的事情,或者您只是想了解我已经做过的一些事情-您也可以在普通的Linux机器上做任何事情:-一些端口已配置作为交换机,使用桥接网络接口。 -一个端口与具有PPPoE连接和VLAN的NBN HFC调制解调器通信,坚称它实际上是原始ISP提供的设备。 -IPv4 / IPv6本机双堆栈,每个都有子网(我从家里经营公司时就拥有子网)-HFC连接上的出站速率限制以使愚蠢的NBN开心。 -通过sysctl进行适当的内核调整-似乎对于处理有趣的流量非常必要! -手工制作的有效防火墙,不仅可以提供安全性,而且(在需要时)还可以洞悉尝试从何处扫描和获取访问权限的乐趣。 -配置“未绑定DNS”以摆脱LAN上的大多数广告。 -承受适当大小的DDoS或其他攻击而不会退缩太多。 -使用动态地理封锁,再加上选项来获得洞察力。 -适用于我自己的设备和地理隧道(使用策略路由)的WireGuard VPN端点(*参见下面的WireGuard爱情故事)-可选的Suricata入侵检测/预防。 -如果需要,对于扫描不可见。 额外的选项包括使用板载SIM卡添加移动数据备份(可能这样做)和wifi(可能会使用我的第2个板卡)。 在本次演讲中,我将展示其内部和外部的外观,并介绍一下配置-对于小型联盟书呆子来说是可以理解的。 因此,您可以自己执行此操作,或者只是了解有关各个位如何工作的更多信息。 (还包括一些有趣的东西和轶事。)* WireGuard的爱情故事如果有一个只需要几千行代码并且驻留在内核中的VPN,该怎么办? 万岁! 感谢Jason Donenfeld,WireGuard现在可以在最新的Linux内核中使用,并且可以轻松添加。 但是如何设置呢? 该文档有点儿在那里,但是大多数情况下,如果您已经知道您的知识。 教程比比皆是,但此后有些事情发生了变化。 啊因此,尘埃落定之后,让我们从不发呆的角度来看一下。 如何与客户端建立对等关系或设置服务器,或与策略路由建立网络隧道。 我不是专家,但是我已经做到了,我可以解释自己的所作所为。 linux.conf.au是关于Linux操作系统以及围绕它发展的自由和开源软件生态系统各个方面的会议。 自1999年以来,LCA每年由一组当地志愿者在澳大利亚或新西兰的一个不同城市中运营,它邀请500多人向塑造开源未来的人们学习。 有关会议的更多信息,请参见https://linux.conf.au/由澳大利亚第二天录像制作:https://nextdayvideo.com.au#linux.conf.au #linux #foss #opensource 1月23日星期六: 2021年25:00在Blemings实验室。
dark