Jack Hood
1 
4443
634
Pokud máte doma doma, možná jste cítili potřebu blokovat určité nežádoucí webové stránky. Další běžnou problematickou oblastí jsou weby sociálních médií - můžete mít pocit, že děti (a dospělí) ztrácí příliš mnoho času na Facebooku, Twitteru atd. A chcete je zablokovat nebo alespoň zpřístupnit pouze v určitých denních dobách.
Aby to bylo možné, potřebujeme router Plus filtr obsahu - zařízení, pomocí kterého se k internetu připojují všechna naše zařízení, jako jsou notebooky, chytré telefony a tablety. Toto zařízení také zachycuje webové stránky, ke kterým tato zařízení přistupují, a blokuje je, pokud se pokusí o přístup na webovou listinu na černé listině.
Na trhu jsou k dispozici komerční filtry obsahu připravené k použití, ale pro nás typy pro kutily není žádná zábava. Znečistíme tedy ruce a nastavíme Raspberry Pi pro tuto práci. Pro tento projekt jsme vybrali Raspberry Pi kvůli jeho malé velikosti a zanedbatelné spotřebě energie. nicméně, tyto pokyny budou fungovat téměř beze změny s téměř jakýmkoli počítačem, na kterém běží Debian Linux nebo jeho derivát (Ubuntu, mincovna atd.).
Zřeknutí se odpovědnosti: Tato příručka předpokládá přechodnou úroveň zkušeností s Linuxem a ochotu řešit problémy, pokud k nim dojde. Předchozí zkušenost s příkazovými řádky a firewally je bonus.
Jak to funguje
Hardware
Použijeme Raspberry Pi 3 jako filtr obsahu routeru cum. K tomu budeme potřebovat dvě síťová rozhraní na tom - jeden pro připojení k internetu a druhý pro WiFi připojení pro naše ostatní zařízení. Raspberry Pi 3 má vestavěný ethernetový jack a WiFi modul. Takže v tomto scénáři můžeme použít ethernetový kabel (eth0) pro připojení k internetu, zatímco modul WiFi (wlan0) bude fungovat jako aktivní bod.
Připojení k internetu pomocí Ethernetu samozřejmě není vždy možné. V tomto případě budete potřebovat kompatibilní USB WiFi dongle (wlan1) pro připojení k internetu, zatímco vestavěný modul WiFi (wlan0) bude fungovat jako aktivní bod. Toto je konfigurace, kterou použijeme v této příručce.
Mějte na paměti, že zatímco Raspberry Pi 3 je většinou vhodný pro domácí nastavení s několika notebooky a smartphony, neposkytne výkon potřebný pro nastavení velké kanceláře. Pokud se k vašemu filtru obsahu připojí mnoho klientů, podívejte se na vhodnější hardware.
Software
Použijeme vynikajícího E2guardiana k zachycení a filtraci našich webových požadavků. Protože filtrování obsahu může mít vliv na výkon (v závislosti na velikosti seznamu blokovaných bloků), použijeme Squid cache k vyrovnání tohoto výkonu.
Předpoklady
1. Raspberry Pi 3 s nainstalovanou nejnovější verzí Raspbian OS a přístupem na internet. Pokud začínáte pouze s Raspberry Pi, doporučujeme vám přečíst si průvodce, jak začít s Raspberry Pi 3.
2. [Volitelný] USB WiFi Dongle - To je nutné, pouze pokud nemůžete připojit Raspberry Pi 3 k internetu pomocí kabelu Ethernet. Pokud plánujete používat WiFi pro připojení k internetu i jako hotspot, je to nutné.
3. Fyzický přístup k Raspberry Pi - Vzhledem k povaze tohoto článku vás jediná chyba v konfiguraci brány firewall může zamknout z vašeho Pi, pokud ji používáte v bezhlavém režimu. Proto se doporučuje při připojení monitoru, klávesnice a myši, dokud není vše nastaveno.
Jako směrovač použijte Raspberry Pi
1. Připojte svůj Pi k internetu pomocí Ethernetu (eth0). Pokud používáte USB WiFi dongle (pravděpodobně wlan1) místo toho jej připojte k internetu. Nechte vestavěný modul WiFi (wlan0), jak je prozatím.
2. Dostaň nezbytný software že potřebujeme:
sudo apt install iptables iptables-persistent hostapd dnsmasq squid3
3. Připravíme se hostapd takže naše Pi může fungovat jako WiFi hotspot. Za tímto účelem vytvořte konfigurační soubor například pomocí oblíbeného textového editoru sudo nano /etc/hostapd/hostapd.conf, a vložte obsah z naší stránky GitHub.
Některé řádky, které byste mohli chtít upravit podle chuti, jsou:
ssid = RaspberryPiAP
Tento řádek určuje, jaký bude název přístupového bodu. Vybírám si RaspberryPiAP.
wpa_passphrase = beebom.com
Toto určuje přístupové fráze používané pro přístup k aktivnímu bodu. Použil jsem beebom.com, ale doporučujeme jej změnit na silné přístupové heslo podle vašeho výběru.
4. Dále budeme nastavit server DHCP použitím dnsmasq. Upravte konfigurační soubor /etc/dnsmasq.conf, a na konec přidejte následující řádky:
[sourcecode] interface = lo, wlan0
no-dhcp-interface = lo
dhcp-range = 192.168.8.20,192.168.8.254,255.255.255.0,12h [/ zdrojový kód]
Tím se rozhraní zapne wlan0 (vestavěný modul WiFi) rozdávají klientům IP adresy IP 192,168,20 na 192.168.8.254 rozsah.
5. Založit statická IP adresa pro vestavěný modul WiFi wlan0. Otevřete soubor / etc / network / interface. Vypadá to asi takto (důraz na důl):
[sourcecode] source-directory /etc/network/interfaces.d
auto lo
iface lo inet loopback
manuál iface eth0 inet
allow-hotplug wlan0
iface wlan0 inet manual
wpa-conf /etc/wpa_supplicant/wpa_supplicant.conf
dovolit-hotplug wlan1
iface wlan1 inet manual
wpa-conf /etc/wpa_supplicant/wpa_supplicant.conf[/sourcecode]
Tady, najděte řádky tučně s wlan0, a změnit je, takže soubor vypadá takto:
[sourcecode] source-directory /etc/network/interfaces.d
auto lo
iface lo inet loopback
manuál iface eth0 inet
allow-hotplug wlan0
iface wlan0 inet static
hostapd /etc/hostapd/hostapd.conf
adresa 192.168.8.1
maska sítě 255,255,255,0
dovolit-hotplug wlan1
iface wlan1 inet manual
wpa-conf /etc/wpa_supplicant/wpa_supplicant.conf[/sourcecode]
Nastaví se statická adresa IP 192.168.8.1 na wlan0. Nezapomeňte tuto adresu, jako toto je adresa, kterou později použijeme ke komunikaci s Raspberry Pi.
6. Nyní nastavit předávání IP. Upravte soubor /etc/sysctl.conf, a přidejte do něj následující řádek:
net.ipv4.ip_forward = 1
7. Teď to uděláme konfigurovat překlad síťových adres (NAT) v našem firewallu. Chcete-li to provést, zadejte následující 2 příkazy:
sudo iptables -t nat -A POSTROUTING -s 192.168.8.0/24! -d 192.168.8.0/24 -j MASQUERADE sudo iptables-save | sudo tee /etc/iptables/rules.v4
První příkaz nastaví NAT, zatímco druhý příkaz uloží naši současnou konfiguraci brány firewall do souboru s názvem /etc/iptables/rules.v4. Tím se zajistí, že konfigurace bude po restartování pokračovat.
8. V tomto bodě, restartujte Raspberry Pi. Tím je zajištěno, že všechny změny, které jsme provedli v konfiguračních souborech, jsou funkční.
9. Po restartu byste měli vidět nově vytvořené RaspberryPiAP hotspot (pokud jste nezměnili název v kroku 3) na ostatních zařízeních, jako jsou notebooky a chytré telefony. Můžete se k němu připojit pomocí zadaného hesla a získat přístup k internetu.
To je vše, co musíte udělat, pokud potřebujete základní router s nízkým výkonem. Pokud chcete také nastavit filtr obsahu, přečtěte si dále.
Nastavení filtru obsahu pomocí E2guardian
E2guardian není přítomen ve výchozím úložišti Raspbian. Chcete-li ji nainstalovat, přejděte na stránku projektu Github a stáhněte soubor končící na armhf.deb. Nyní otevřete Terminál, přejděte do svého Stahování složku (nebo kamkoli jste se rozhodli stáhnout soubor) a nainstalovat jej:
cd ~ / Soubory ke stažení sudo dpkg -i ./e2guardian_*_jessie_armhf.deb
Při instalaci E2guardian pravděpodobně uvidíte několik chyb o chybějících balíčcích. Chcete-li to napravit, nechte instalaci dokončit a zadejte následující příkaz:
sudo apt-get install -f
Používání seznamů obsahu
V seznamu je několik seznamů / etc / e2guardian / seznamy adresář. Tyto soubory zahrnují bannedextensionlist, bannediplist, bannedphraselist, bannedsitelist, bannedurllist, výjimka a další. Tyto soubory jsou řádně zdokumentovány s komentáři. Podívejte se na ně a seznamte se.
Předpokládejme například, že si přejete blokovat některé populární sociální sítě. Otevři / etc / e2guardian / lists / bannedsitelist soubor a pod Deka SSL / PŘIPOJENÍ blok (protože tyto weby používají https místo prostého http), přidejte následující řádky:
facebook.com twitter.com reddit.com
Nyní pomocí příkazu znovu načtěte službu E2guardian sudo service e2guardian reload (budete muset tento příkaz spustit pokaždé, když změníte konfigurační soubory). Všichni klienti používající filtr obsahu nyní nebudou mít přístup k těmto webům. Ani mobilní weby (např. M.twitter.com) a vyhrazené aplikace pro chytré telefony nebudou fungovat.
E2guardian také ve výchozím nastavení blokuje porno. Pokud si to přejete (hej, neposuzujeme), otevřete / etc / e2guardian / seznamy / bannedphraselist soubor a vyhledejte následující řádek:
.Zahrnout
Přidejte komentář a hash (# symbol) dopředu, takže to vypadá takto:
#.Zahrnout
Znovu načtěte konfiguraci pomocí sudo service e2guardian reload, a máte hotovo.
Konfigurace klientů
Nyní, když je nastaven náš proxy server, můžeme přejít k konfiguraci klientů. Chcete-li použít filtr obsahu, musí být všichni klienti připojeni k aktivnímu bodu Rapberry Pi a nakonfigurováni tak, aby používali proxy. Konfigurace serveru proxy se u všech operačních systémů a zařízení liší. Ukážeme si však, jak jej nastavit v systému Windows a Android, protože jsou populárnější.
Okna
Jít do Ovládací panel> Síť a internet> Možnosti Internetu. V okně, které se otevře, přejděte na Spojení a klikněte na Nastavení LAN.
Zde klikněte na Pokročilý, a zadejte 192.168.8.1 jako proxy adresa a 8080 jako port. Ujistěte se, že Pro všechny protokoly použijte stejný proxy server políčko je zaškrtnuto. Klikněte na OK.
To je vše, co musíte udělat. Většina populárních webových prohlížečů, jako je Google Chrome a Firefox, automaticky převezme nastavení systému proxy.
Android
Jít do Nastavení systému> WiFi. Nyní klepněte a podržte hotspot Raspberry Pi a vyberte Upravit síť. Pod Pokročilé možnosti, nastav Proxy možnost Manuál. Teď pod Název hostitele proxy, zadejte IP adresu Pi 192.168.8.1. Pod Proxy port, vstoupit 8080, a klepněte na Uložit.
Nyní můžete vyzkoušet konfiguraci serveru proxy. Zkuste přejít na web ve své černé listině - uvidíte stránku „Přístup byl odepřen“ takto:
Vynucení použití proxy
Doposud spoléháme na to, že si klienti hrají pěkně a používají internet prostřednictvím filtru obsahu. Samozřejmě se to ve skutečném světě zřídka stává. Chcete-li tedy vynutit, aby všichni klienti procházeli serverem proxy, spusťte následující příkazy:
sudo iptables -A PREROUTING -t nat -p tcp - cílový port 80 -j REDIRECT - do-porty 8080 sudo iptables -A PREROUTING -t nat -p tcp - cílový port 443 -j REDIRECT - to- porty 8080 sudo iptables-save | sudo tee /etc/iptables/rules.v4
Tím se automaticky přesměrují všechny http (port 80) a https (port 443) na hotspotu maliny Pi na proxy filtru obsahu. Nyní, bez konfigurace nastavení serveru proxy, nebudou mít přístup k zabezpečenému přístupu https webové stránky jako Facebook, Gmail, Twitter atd. Tím je zajištěno, že každý, kdo se chce připojit k vašemu Pi hotspotu, musí projít proxy serverem.
To je vše, co potřebujete vědět pro základní použití filtru obsahu. Pokud se chcete dozvědět některé pokročilé funkce, přečtěte si dále.
Pokročilé scénáře použití
Nastavení filtru podle času
Řekněme, že chcete zablokovat weby, které jsme zmínili v Používání seznamů obsahu část výše, ale pouze v určitých časech dne. Osobně preferuji blokovat Reddit, Facebook a Twitter během pracovních hodin (9:00 - 17:00) v pracovní dny, protože jsou noční můrou produktivity.
Otevři / etc / e2guardian / lists / bannedsitelist soubor a přidejte do něj následující řádek:
čas: 9 0 17 0 01234
Tento řádek funguje následovně - časovač začíná na 9 (9 hodin ráno) 0 (00 minut), do 17 (17:00 ve 24hodinovém formátu) 0 (00 minut), od 0 (Pondělí) až 4 (Pátek).
Vezměme si další příklad:
čas: 10 30 20 45 024
Tím se zablokují nakonfigurované weby od 10:30 (10 30) do 20:45 (20 45) v pondělí (0), středu (2) a pátku (4).
Nechat určité adresy IP obejít proxy
Je možné nechat určité adresy IP obejít filtr obsahu. To lze nastavit pomocí konfigurace brány firewall. Možná jste si toho všimli v našem dnsmasq.conf, nastavíme pouze hotspot pro přiřazování IP adres z 192,168,20 na 192.168.8.254 klientům. To znamená adresy z 192.168.8.2 na 192,168,19 nebude automaticky přiřazen žádnému klientovi (nemůžeme použít 192.168.8.1 protože to právě používá náš Raspberry Pi).
Nejprve to provedete nastavit statickou IP na zařízení, kterému chcete poskytnout plný přístup. Například pro nastavení statické IP adresy 192.168.8.2 v počítači se systémem Windows použijte tato nastavení:
Nyní na Raspberry Pi spusťte následující příkazy.
sudo iptables -t nat -A PREROUTING -p tcp -s 192.168.8.2 --destination-port 80 -j RETURN sudo iptables -t nat -A PREROUTING -p tcp -s 192.168.8.2 --destination-port 443 -j RETURN
Nyní, zakažte používání proxy na vašem zařízení, a pokuste se otevřít zakázaný web. Měli byste být schopni to otevřít. Pokud existuje více IP adres, které chcete přidat do seznamu povolených, spusťte výše uvedené dva příkazy znovu, ale nahraďte IP adresu tou, kterou chcete. Až budete spokojeni s whitelistem, spusťte následující příkaz a uložte konfiguraci firewallu:
sudo iptables-save | sudo tee /etc/iptables/rules.v4
Důležité je mít na paměti, že byste neměli nikomu dát vědět o whitelisted IP adresách. Jinak mohou jednoduše nastavit své zařízení na tuto IP adresu, aby obešli proxy.
Bezpečnostní obavy
Protože váš Raspberry Pi bude vstupním a výstupním bodem pro veškerou vaši komunikaci, je důležité jej zajistit. Zde je několik tipů, jak zlepšit zabezpečení. Nezapomeňte, že se jedná pouze o základní ukazatele a ne o úplný seznam bezpečnostních nástrah. Výše zabezpečení bude záviset na povaze vaší sítě (domov, malá kancelář atd.) A na tom, jak špatně jsou uživatelé.
Zakázat nepotřebné služby
Protože se jedná o router, je nejlepší spustit pouze služby, které požadujeme. Více provozovaných služeb znamená více zranitelností, které mohou být potenciálně zneužity. Rozhodně Nepoužívejte tento systém jako běžnou plochu.
Jít do Nabídka> Předvolby> Raspberry Pi Configuration. V Rozhraní na kartě Zakázat všechny služby, které nevyžadujete.
Změňte výchozí heslo
Nová instalace Raspbian přichází s výchozím heslem „malina“ pro výchozího uživatele „pi“. Doporučujeme toto heslo změnit na bezpečnější heslo. Chcete-li to změnit, otevřete terminál a spusťte tento příkaz:
passwd
Vyjměte monitor a další periferie
Protože na tomto Pi bude fungovat pouze software potřebný pro jeho použití jako router a webový filtr, nepotřebujeme k tomu připojený monitor ani jiná periferní zařízení, jako je myš a klávesnice. Pokud potřebujete změnit nastavení apod., Můžete vždy použít SSH nebo připojit monitor a klávesnici podle potřeby.
Vypněte automatické přihlášení
Raspbian je nastaven tak, aby se automaticky přihlašoval pomocí uživatelských pověření „pi“ bez výzvy k zadání hesla. To by mohlo být v pořádku pro stolní počítače pro všeobecné účely, ale nebezpečné pro router. Chcete-li to zakázat, přejděte na ploše Raspbian na Nabídka> Předvolby> Raspberry Pi Configuration. V Systém kartu před Automatické přihlášení nadpis, zrušte zaškrtnutí Přihlaste se jako uživatel 'pi' zaškrtávací políčko.
Ve stejném dialogovém okně je také vhodné nastavit Boot nastavení na Do CLI. Tím se ušetří zdroje, protože na routeru nepotřebujeme grafické uživatelské rozhraní. Pokud chcete plochu používat z jakéhokoli důvodu, přihlaste se pomocí svého uživatelského jména a spusťte startx příkaz k zapnutí grafického rozhraní.
Odstraňování běžných problémů
Rozhraní se stále přejmenovávají
To je velmi běžné, pokud používáte dvě bezdrátová rozhraní na vašem Pi. Pokud k připojení vašeho Pi k internetu používáte Ethernet, můžete tuto sekci bezpečně ignorovat. Problém je v tom, že obě bezdrátová rozhraní (wlan0 a wlan1) někdy restartujte jména. To znamená, že vestavěný modul WiFi wlan0 přejmenován na wlan1, a naopak. To je samozřejmě velký problém, protože se spoléháme na to, že mají shodný název pro naše konfigurační soubory. Zde je návod, jak zajistit konzistentnost napříč restartováním počítače:
1. Zjistěte MAC adresa vašich rozhraní. Spusťte příkaz ifconfig | grep HWaddr na vašem Raspberry Pi. Zobrazí se výstup jako následující:
Poznamenejte si text vpravo od slova 'HWaddr' v wlan0 a wlan1 sekce. Můžete bezpečně ignorovat eth0 sekce. Toto jsou MAC adresy vašich bezdrátových rozhraní.
Pokud si nejste jisti, která MAC adresa patří ke kterému rozhraní, jednoduše odpojte USB WiFi dongle a spusťte příkaz znovu. wlan Rozhraní, které přichází nyní, je vaše vestavěné rozhraní WiFi, zatímco druhé je USB.
2. Vytvořte nový soubor /etc/udev/rules.d/10-network.rules pomocí vašeho oblíbeného textového editoru. Například :
sudo nano /etc/udev/rules.d/10-network.rules
3. Do tohoto souboru zadejte následující text. Nahraďte xx: xx: xx: xx atd. Odpovídající MAC adresou:
[sourcecode] # Nastavte zabudovaný WiFi modul jako wlan0. Nahraďte xx: xx: xx atd. Za
# MAC adresa vestavěného modulu
SUBSYSTEM == "net", AKCE == "add", ATTR adresa == "xx: xx: xx: xx: xx: xx", NAME = "wlan0"
# Nastavte USB WiFi dongle jako wlan1. Vyměňte yy: yy: yy atd. Za
# Adresa MAC dongle USB
SUBSYSTEM == "net", AKCE == "add", ATTR adresa == "yy: yy: yy: yy: yy: yy", NAME = "wlan1" [/ sourcecode]
Ujistěte se, že MAC adresa zabudovaného WiFi rozhraní odpovídá wlan0, a USB WiFi na wlan1 protože to je konvence, kterou sledujeme v této příručce.
4. Restartujte Raspberry Pi. Vaše rozhraní nyní začnou správným názvem.
Obnovení konfigurace brány Firewall
Dalším běžným problémem je špatně nakonfigurovaný firewall. V závislosti na konfiguraci vaší sítě může trvat několik pokusů, než firewall správně nastavíte. Pokud se domníváte, že jste někdy pokazili konfiguraci brány firewall, spusťte od začátku následující příkazy:
sudo iptables - fllush sudo iptables - table nat - fllush sudo iptables - delete-chain sudo iptables - table nat - delete-chain
Tím se smaže Všechno konfigurace brány firewall. Nyní můžete začít konfigurovat bránu firewall od nuly. Až budete spokojeni, spusťte příkaz sudo iptables-save | sudo tee /etc/iptables/rules.v4 aby byla konfigurace trvalá.
VIZ TÉŽ: Jak spouštět příkazy na Raspberry Pi e-mailem
Používejte Raspberry Pi jako směrovač a filtr obsahu
To je vše, co změní váš Raspberry Pi na silný router plus proxy pro filtrování obsahu. Přesné konfigurační soubory, které jsme použili pro naše nastavení, můžete získat na naší stránce GitHub. Dejte nám vědět, jak to funguje pro vás. Pokud něco nefunguje podle očekávání nebo je-li krok příliš matoucí, neváhejte a zeptejte se nás na otázku v sekci Poznámky níže.