Я хотів би розпочати проект "Брандмауер". Для цього знадобиться перехоплення даних у мережі, що їх обробляють та передають їй по дорозі.
Хтось намагався (або теоретизував), як додати другий порт Ethernet до моделі B?
Можливі рішення
Відповіді:
Як альтернатива придбанню USB-адаптера Ethernet ви можете створити два інтерфейси в одному NIC. Один зіткнеться з вашою локальною підмережею, а другий отримає свій ip від вашого провайдера. Поняття під назвою "Маршрутизатор на паличці" або "Однорукий маршрутизатор".
Але для цього вам знадобиться комутатор, який підтримує vlan, щоб розділити дві мережі. Більшість ні. Цей робить.
Для створення другого інтерфейсу в RPi NIC ви можете використовувати ip linkкоманду (з пакета iproute) на зразок цієї:
# vlan with mac tag
ip link add link eth0 address <mac address> name mywan type macvlan
# vlan with id tag (IEEE 802.1q)
ip link add link eth0 name mywan type vlan id <xx>
# set interface up
ip link set up dev mywan
# get an public ip from your ISP (assuming dhcp protocol is used)
dhclient -v mywan
Я пройду тестування та оновлю цю посаду, якщо буде успішною.
Редагувати: Я підтверджую, що наведені вище налаштування працюють добре. Єдиний RPi nic і модем повинні бути членами однієї влан. Модем повинен бути підключений як "магістраль" або "доступ" (без тегів).
macvlanмодуля я використовую різні VLAN-коди на кожному порту. Таким чином, пакети з port1буде видно на, скажімо, vlan1інтерфейсі, а пакети з port2буде видно на vlan2тощо. BTW, це також повинно бути можливим просто використовувати macvlanбез комутатора VLAN.
macvlanперемикача без VLAN, то дві мережі не будуть відокремлені, і жоден хост міг, ніж безпосередньо отримати доступ до модему, минаючи Однорукий маршрутизатор / Брандмауер.
Ось подібна дискусія на офіційних форумах .
Я спробував "Wintech USB 2.0 модель LanCard: LAU-15 (CK0049C) успішно. Вони працюють з драйвером mcs7830.
Я не знаю, чи може (немодифікований) RPi забезпечити достатню потужність. На моєму RPI я скоротив обидва USB-запобіжники та використовував незаплавлений окремий блок живлення / вхід (5V 1,5A).
З другого коментаря вам може знадобитися використовувати підключений концентратор, якщо ваш Pi не модифікований, але крім цього не повинно виникнути проблем.
Існує хоча б один варіант, який ви можете використовувати, який не вимагає додавання додаткового порту Ethernet до вашого RaspberryPi - за допомогою перемикача VLAN. Це може бути досить дорого, оскільки найдешевші комутатори VLAN, я знаю, коштують приблизно 35 доларів. Але це має деякі додаткові переваги (ще більше портів Ethernet, набагато більше навчатись тощо). Ви можете налаштувати їх для тегування кожного порту з різним ідентифікатором VLAN, а потім створити декілька інтерфейсів VLAN на Pi. Кожен пакет, який позначений тегом, буде видно на належному позначеному інтерфейсі на вашому Pi, ефективно надаючи щось багато віртуальних інтерфейсів.