Arjen Lentz https://lca2021.linux.org.au/schedule/presentation/84/我不是系統管理員,但有時我必須做些事情-我必須做安全工作,以謀生但還要保持家庭網路安全而高效。 消費者路由器很爛:在性能,連接可靠性,安全性和合理配置能力上。 OpenWRT和DD-WRT很好,但有時人們有一種奇怪的衝動,那就是從頭開始並儘可能使用開放位再次進行此操作。 也許只是因為。 無論如何,我決定從瑞士令人敬畏的Pascal訂購兩台PC Engines APU 4d4板。 這些是價格便宜的小型無風扇單板計算機,帶有1 GHz AMD GX-412TC 4核CPU(當然是64位),4GB RAM,4x Gbit乙太網埠以及許多其他連接器和選件。 我插入了PCIe SSD卡。 我首先通過串列電纜(已經是最新的,很好的)與開發板的BIOS進行了交談,然後通過USB棒在其上安裝了Debian 10(帶有一些小小的黑客工具)。 而且,我的NBN HFC連接現在穩定且速度更快。 也許您想做類似的事情,或者您只是想了解我已經做過的一些事情-您也可以在普通的Linux機器上做任何事情:-一些埠已配置作為交換機,使用橋接網路介面。 -一個埠與具有PPPoE連接和VLAN的NBN HFC數據機通信,堅稱它實際上是原始ISP提供的設備。 -IPv4 / IPv6本機雙堆棧,每個都有子網(我從家裡經營公司時就擁有子網)-HFC連接上的出站速率限制以使愚蠢的NBN開心。 -通過sysctl進行適當的內核調整-似乎對於處理有趣的流量非常必要! -手工製作的有效防火牆,不僅可以提供安全性,而且(在需要時)還可以洞悉嘗試從何處掃描和獲取訪問許可權的樂趣。 -配置「未綁定DNS」以擺脫LAN上的大多數廣告。 -承受適當大小的DDoS或其他攻擊而不會退縮太多。 -使用動態地理封鎖,再加上選項來獲得洞察力。 -適用於我自己的設備和地理隧道(使用策略路由)的WireGuard VPN端點(*參見下面的WireGuard愛情故事)-可選的Suricata入侵檢測/預防。 -如果需要,對於掃描不可見。 額外的選項包括使用板載SIM卡添加移動數據備份(可能這樣做)和wifi(可能會使用我的第2個板卡)。 在本次演講中,我將展示其內部和外部的外觀,並介紹一下配置-對於小型聯盟書獃子來說是可以理解的。 因此,您可以自己執行此操作,或者只是了解有關各個位如何工作的更多信息。 (還包括一些有趣的東西和軼事。)* WireGuard的愛情故事如果有一個只需要幾千行代碼並且駐留在內核中的VPN,該怎麼辦? 萬歲! 感謝Jason Donenfeld,WireGuard現在可以在最新的Linux內核中使用,並且可以輕鬆添加。 但是如何設置呢? 該文檔有點兒在那裡,但是大多數情況下,如果您已經知道您的知識。 教程比比皆是,但此後有些事情發生了變化。 啊因此,塵埃落定之後,讓我們從不發獃的角度來看一下。 如何與客戶端建立對等關係或設置伺服器,或與策略路由建立網路隧道。 我不是專家,但是我已經做到了,我可以解釋自己的所作所為。 linux.conf.au是關於Linux操作系統以及圍繞它發展的自由和開源軟體生態系統各個方面的會議。 自1999年以來,LCA每年由一組當地誌願者在澳大利亞或紐西蘭的一個不同城市中運營,它邀請500多人向塑造開源未來的人們學習。 有關會議的更多信息,請參見https://linux.conf.au/由澳大利亞第二天錄像製作:https://nextdayvideo.com.au#linux.conf.au #linux #foss #opensource 1月23日星期六: 2021年25:00在Blemings實驗室。
dark