Chciałbym rozpocząć projekt „Firewall”. Będzie to wymagało przechwytywania danych w sieci przetwarzającej je i przekazywanych po drodze.
Czy ktoś próbował (lub teoretycznie), jak dodać drugi port Ethernet do Modelu B?
Możliwe rozwiązania
Odpowiedzi:
Alternatywnie do zakupu adaptera Ethernet USB możesz utworzyć dwa interfejsy na jednej karcie sieciowej. Jedna będzie skierowana do Twojej lokalnej podsieci, a druga otrzyma swój adres IP od twojego dostawcy usług internetowych. Pojęcie o nazwie „Router na patyku” lub „Router jednouzbrojony”.
Ale do tego potrzebny będzie przełącznik obsługujący Vlan, aby oddzielić dwie sieci. Większość nie. Ten robi.
Aby utworzyć drugi interfejs na RPI NIC, możesz użyć ip linkpolecenia (z pakietu iproute) w następujący sposób:
# vlan with mac tag
ip link add link eth0 address <mac address> name mywan type macvlan
# vlan with id tag (IEEE 802.1q)
ip link add link eth0 name mywan type vlan id <xx>
# set interface up
ip link set up dev mywan
# get an public ip from your ISP (assuming dhcp protocol is used)
dhclient -v mywan
Zrobię kilka testów i zaktualizuję ten post, jeśli się powiedzie.
Edycja: Potwierdzam, że powyższa konfiguracja działa poprawnie. Pojedyncza nici RPi i modem powinny należeć do tego samego vlan. Modem powinien być podłączony jako „trunk” lub „Access” (tryby nieoznaczone).
macvlanmodułu, używam różnych identyfikatorów VLAN na każdym porcie. W ten sposób pakiety z port1będą widoczne na, powiedzmy, vlan1interfejsie i pakiety z port2będą widoczne na vlan2, itd. BTW, powinno być również możliwe użycie macvlanbez przełącznika VLAN.
macvlanprzełącznika innego niż VLAN, obie sieci nie zostaną rozdzielone, a żaden host nie będzie mógł uzyskać bezpośredniego dostępu do modemu, omijając jednouzbrojony router / zaporę.
Oto podobna dyskusja na oficjalnych forach .
Wypróbowałem „Wintech USB 2.0 LanCard Model: LAU-15 (CK0049C). Udało się. Pracują ze sterownikiem mcs7830.
Nie wiem, czy (niezmodyfikowane) RPi mogą zapewnić wystarczającą moc. Na moim RPi skróciłem oba bezpieczniki USB i korzystałem z nieuzbrojonego osobnego zasilacza / wejścia (5V 1,5A).
Od drugiego komentarza możesz potrzebować zasilanego koncentratora, jeśli twoje Pi jest niezmodyfikowane, ale poza tym nie powinno być problemu.
Istnieje co najmniej jedna opcja, której można użyć, która nie wymaga dodania dodatkowego portu Ethernet do RaspberryPi - za pomocą przełącznika VLAN. Może to być dość drogie, ponieważ najtańsze przełączniki VLAN, które znam, kosztują około 35 $. Ma jednak dodatkowe zalety (jeszcze więcej portów Ethernet, znacznie więcej do nauki itp.). Możesz je skonfigurować, aby oznaczać każdy port innym identyfikatorem VLAN, a następnie utworzyć wiele interfejsów VLAN na swoim Pi. Każdy oznaczony pakiet będzie widoczny na odpowiednim oznaczonym interfejsie na twoim Pi, skutecznie zapewniając coś wielu interfejsów wirtualnych.