尽管 树莓派 3 最近已发布,但 树莓派 2 仍然具有充足的生命力,并且非常适合许多有趣且有用的任务。
我手头有一些树莓派,我一直在探索其他有趣的项目,其中之一就是是否有可能替换我用于网络边缘的主要防火墙和路由器的非常旧的单核 64 位 Intel 机架式服务器。但在我中断网络的主要防火墙和网关之前,我想先测试一下树莓派,看看需要做些什么才能实现这一点。
替换塔式机
我还有一台双核 Intel 塔式机,我用它作为防火墙和网络的侧门。这台计算机对于这项任务来说非常过剩,我绝对可以在更合适的角色中使用它。因为这台计算机为我的网络提供非关键访问,所以我决定用树莓派 2 Model B 作为测试来替换它。
电源
我使用了树莓派 2 Model B,但树莓派 3 也应该可以工作。我使用备用的 Kindle 5V 1.8A USB 电源适配器为树莓派供电,电源适配器插在一个标准的家用延长线上,延长线插在 UPS 上以提供稳定的电源。我使用了一根非常短的 USB 转 micro-USB 电缆,从电源适配器连接到树莓派上的电源接口。
KVM 切换器
我的几台基础设施主机都连接到一个带有 VGA 和 PS/2 输入的 16 端口 KVM 切换器。我也想将 KVM 用于树莓派。我使用 USB 转 PS/2 适配器电缆将 KVM 的键盘和鼠标输入连接到树莓派。USB 端插入树莓派,KVM 切换器电缆上的连接器插入适配器上的 PS/2 连接器。我过去发现某些品牌的 USB 转 PS/2 适配器效果不佳。
对于视频连接,我最初使用了一个 HDMI 转 VGA 适配器,它是一个单一的实体单元。这个设备产生了很多热量,其中大部分通过 HDMI 接口传递到树莓派中。后来我将这个单一单元替换为一个适配器,该适配器在 HDMI 连接器和 VGA 转换器之间有一段短电缆,外加一个连接器单元,该单元产生和传递的热量明显更少。
安装 CentOS
我在我的其他基础设施服务器上使用 CentOS,所以我也想在树莓派上使用它。使用我的主 Linux 工作站,我从 CentOS wiki 站点 下载了适用于树莓派 2 的 CentOS Userland 7 32 位 ARM 发行版,该站点也包含其他小型板计算机的镜像。如果您使用的是树莓派 3,则应使用该镜像。
请注意,镜像名称可能会随着较新镜像的发布而更改。您应始终使用最新的镜像。我解压缩了下载的 xz 镜像文件(使用 unxz),然后使用 dd 命令将镜像安装到 8GB microSD 卡上。
dd if=CentOS-Userland-7-armv7hl-Minimal-1511-RaspberryPi2.img of=/dev/sdx请务必指定您的 microSD 驱动器在您机器上的正确位置。
无需其他步骤即可使 microSD 卡可启动。我将卡插入树莓派板上的 microSD 卡插槽。然后,我将电源适配器的 micro-USB 连接器插入树莓派上的电源接口,以启动到命令行界面登录提示符。
初始配置
我使用默认密码“centos”(不带引号)以 root 身份登录,并立即更改了 root 密码。我在 /etc/hostname 中更改了主机名,并按照 /root/README 中的说明扩展了 root 分区,以填充 microSD 卡上的所有可用空间。这包括重启。
此时,我将板载网络适配器连接到我的内部网络,以便我可以安装更多软件并测试网络功能。我安装了各种我认为有用的实用程序,包括 which、screen、vim、rwhois、mlocate、Midnight Commander (mc)、mailx、bind-utils、chrony 和 wget。
我的一些其他最爱,例如 atop 和 htop,尚未在 CentOS 存储库中提供。我没有一次性安装所有这些,因为我不知道哪些缺失了。相反,我不得不遇到一个需要的工具未安装的问题,然后在我完成此过程的其他步骤时安装它。希望这个列表能让您更轻松一些。当然,您可能会使用我没有使用的一些工具,它们也可能缺失。
我使用 SSH 密钥从我的网络登录,所以我使用 ssh-copy-id 将 SSH 公钥从我的主内部工作站复制到树莓派。
第二个网络接口
因为这个树莓派将用作防火墙,所以我需要另一个网络适配器。在关闭 eth0 后,我添加了一个 ASIX AX88178 USB 千兆以太网适配器。我断开了内部网络与板载网络适配器的连接,并将其连接到适配器。我将适配器配置为 eth1,在我的内部网络上使用静态地址,并将板载以太网配置为静态外部地址,并将其连接到我的 ISP 的路由器。请务必在接口配置文件中使用 HWADDR= 行来设置配置文件所属的 MAC 地址。我还为内部适配器的接口配置文件添加了网关 IP 地址和至少两个名称服务器。
我启动了两个网络适配器,并使用 ifconfig 和几个 ping 命令来验证网络适配器是否绑定到正确的 IP 地址并正常工作。现在我可以从我的主工作站上的终端会话登录到树莓派,并从那里继续工作。
更新和更多配置
现在是时候安装所有更新并重启了——我已经完成了。我发现有趣的是,当前 ARM 版本的 CentOS 都使用 firewalld 和 systemd 之类的东西,但仍然使用 yum 而不是 dnf 进行高级软件包管理。
当我安装新主机时,我总是会向我的环境添加一些别名和启动命令。这些命令可以添加到 /etc/bashrc 中,或者更好的是,作为一个单独的文件 /etc/profile.d/mybash.sh。/etc/profile.d 中任何带有 .sh 文件扩展名的文件都会在登录期间由 /etc/bashrc 引用。
日期和时间
此版本的 CentOS 默认未安装任何类型的时钟同步,因此我安装了 chrony,并使用我的本地 NTP 时间服务器配置了 chrony.conf。我启动了 chronyd,并配置 systemctl 在启动时启动 chronyd。我还设置了 /etc/localtime 符号链接以指向所需的时区数据文件。
防火墙
新的 firewalld 对于我的环境来说确实是过度杀伤,所以我安装了 iptables-services 和 iptables-utils。我配置了一个默认的 /etc/sysconfig/iptables 文件,然后,在关闭外部网络连接后,我停止了 firewalld,并配置 systemd 在启动时不启动它。我启动了 iptables,并配置 systemd 在启动时启动它。然后我重新启动了外部网络连接。
瞧!
一旦您到达这一点,树莓派就完全可以作为防火墙和侧门使用了。
再采取两个步骤就可以很容易地将其变成路由器。首先,将文件 /proc/sys/net/ipv4/ip_forward 的内容设置为“1”,然后在 /etc/sysctl.conf 中添加或设置以下行 “net.ipv4.ip_forward = 1”,这将使您的计算机成为路由器。然后为 iptables 防火墙添加适当的源 NAT 和转发规则。
我昨天刚收到三台新的树莓派 3 计算机。我已经用 CentOS-Userland-7-armv7hl-Minimal-1602-RaspberryPi3.img 镜像设置好了一台,将在接下来的几天完成配置,使其成为我的主要防火墙和路由器。
IPTables 规则
有人在评论中要求查看我为此项目使用的 IPTables 规则,我怀疑其他人也感兴趣,所以这里是它们。这是一个相当标准的最小集合,仅允许入站 SSH。
# Generated by iptables-save v1.4.16.2 on Thu Feb 21 14:51:28 2013
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -p tcp -m conntrack --ctstate NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Thu Feb 21 14:51:28 2013
11 条评论