2. 程式人生 > >OpenWrt防火墻配置(極路由)

OpenWrt防火墻配置(極路由)

阿新 發佈:2018-02-07
detail order forward tar 列表 指定 inpu -c tails

說明:

1、極路由使用的是OpenWrt做為操作系統,本身就是一個Linux,包管理使用opkg,只是改了一個界面而已。

2、Linux下的防火墻最終都會歸iptables進行管理,OpenWrt的防火墻機制同樣也是,最上層采用了自己基於UCI標準的配置方法管理防火墻firewall,最終寫入到iptables。

3、UCI是OpenWrt統一配置文件的標準,真心不太喜歡這種語法,沒iptables來的清晰。

4、OpenWrt基於firewall的配置,由於涉及到多個網口,有Wan和Lan這些,最終會轉換成很多自定義的鏈,看來來很吃力,我的建議是直接在firewall層全部開啟,然後自己使用iptables做限制。不建議停掉之後再自己寫配置,不然你無法知道哪些網口是走向什麽地方的。

5、firewall不能單獨關閉,不然會無法上網。

簡單教程:

OpenWrt下的NAT、DMZ、Firewall rules都是由配置文件“/etc/config/firewall”進行控制管理的。此文件可以使用UCI進行控制,也可以使用vi編輯器直接修改。

該文件最後會在/etc/init.d/firewall啟動的時候由UCI進行解碼並且生成iptables規則生效。因此使用者不需要了解iptables即可通過配置文件實現防火墻規則。

防火墻的修改生效,需要重啟防火墻執行一下命令:

/etc/init.d/firewall reload  

/etc/init.d/firewall restart

查看當前iptables的已啟用策略語法為:

iptables -L

防火墻的基本設置

  • config defaults防火墻默認參數表
    是否必須設置 說明
    input ACCEPT 設置 INPUT 鏈(chain) 的過濾策略,可選值: ACCEPT 允許, REJECT 拒絕
    output ACCEPT 設置 OUTPUT 鏈(chain) 的過濾策略,可選值: ACCEPT 允許, REJECT 拒絕
    forward REJECT 設置 FORWARD 鏈(chain) 的過濾策略,可選值: ACCEPT 允許, REJECT 拒絕
    syn_flood 1 是否啟用防洪水攻擊。可選值:0關閉,1啟用。
    synflood_rate 字符串 設置 SYN 包傳輸洪水攻擊檢測比率值,默認為:25 單位(包/秒)
    synflood_burst 字符串 設置 SYN 包傳輸比率值識別洪水攻擊,默認為:50 單位(包/秒)
    disable_ipv6 1 設置關閉掉 IPv6 的防火墻策略, 可選值:0忽略,1關閉。

這部分參考值使用系統默認值即可,無需修改:

config defaults  
        option syn_flood        1  
        option input            ACCEPT  
        option output           ACCEPT  
        option forward          REJECT  
# Uncomment this line to disable ipv6 rules  
#       option disable_ipv6     1
  • config zone用於WAN/LAN域(zone)的參數表
    是否必須設置 說明
    name 字符串 域,必須是唯一值,可選值:wan,lan
    network 列表值 哪些接口被捆綁到這個域中,可選接口的名稱,比如:lan,wan,wan6
    input ACCEPT 設置INPUT鏈(chain)的過濾策略,可選值: ACCEPT 允許, REJECT 拒絕
    output ACCEPT 設置OUTPUT鏈(chain)的過濾策略,可選值: ACCEPT 允許, REJECT 拒絕
    forward ACCEPT 設置FORWARD鏈(chain)的過濾策略,可選值: ACCEPT 允許, REJECT 拒絕
    masq 1 設置傳輸偽裝,如果是WAN口必須為1
    mtu_fix 1 設置MTU的MSS鉗制,如果是WAN口請為1

這部分配置也不需要做修改,參考: 

config zone  
        option name             lan  
        list   network          lan  
        option input            ACCEPT  
        option output           ACCEPT  
        option forward          ACCEPT  
  
config zone  
        option name             wan  
        list   network          wan  
        list   network          wan6  
        option input            REJECT  
        option output           ACCEPT  
        option forward          REJECT  
        option masq             1  
        option mtu_fix          1
  • config forwarding路由轉發參數表
    是否必須設置 說明
    src lan 設置轉發來源
    dest wan 設置轉發目標

這部分也需要修改,參考:

config forwarding  
        option src              lan  
        option dest             wan

防火墻的規則

如果在路由產品中需要開發 “允許 WAN 口訪問設備的特定端口”,可以設置本規則(比如開放 WAN 口允許 SSH 登入,或允許 WAN 口訪問設備的 FTP),一般情況下無需設置。

防火墻規則在 /etc/config/firewall 中可以有任意數量的規則,這些規則定義了數據傳輸的動作和行為是被允許還是拒絕。

規則配置文件結構 
config rule  
option name 規則名稱  
.....
config rule可選參數表
是否必須設置 說明
name 字符串 設置當前這個 rule 的名稱
target 字符串 設置防火墻的動作,可選值:ACCEPT 許可, REJECT 拒絕, DROP 拋棄
src 字符串 數據源的zone域是哪個。可選值: wan / lan
src_ip 字符串 數據源的IP地址是哪個。
src_mac 字符串 數據源的 MAC 地址是哪個。
src_port 字符串 數據源的端口,可以是一個端口,或一個端口範圍,但是必須同時指定了協議類型
proto 字符串 數據源的協議類型,可選值: tcp, udp, tcpudp, udplit, icmp, esp, ah, sctp, 或all表示全部
dest 字符串 數據目標的 zone 域是哪個,可選值:wan / lan
dest_ip 字符串 數據目標的IP地址。
dest_port 字符串 數據目標的端口,可以是一個端口,或一個端口範圍,但是必須同時指定了協議類型
family 字符串 數據的協議族,可選值: ipv4, ipv6, any

rule規則可以靈活設置,比如允許WAN口可以ssh到系統,舉例:

config rule  
option name wan-ssh  
option src wan  
option dest_port 22  
option proto tcp  
option target ACCEPT

端口轉發和 DMZ(demilitarized zone 隔離區)

端口轉發是路由產品中常見的配置,它允許使用者通過WAN口訪問特定的端口轉發給局域網的一臺電腦設備(比如WAN口訪問80端口(HTTP)將轉發給局域網某臺網站服務器)。

端口轉發也是在防火墻配置/etc/config/firewall中定義redirect段策略實現的。所有匹配的來源數據將根據目標設置轉發到目標主機上。

firewall配置中可以有多個redirect轉發策略,默認是沒有開放任何轉發的,如果需要轉發請使用vi或UCI進行配置。

規則配置文件結構

config redirect  
option name 名稱  
....

config redirect可選參數表

是否必須設置 說明
name 字符串 設置當前這個 redirect 的名稱
src 字符串 轉發源的 zone 域,一般轉發都是轉發從 wan 過來的訪問
src_ip 字符串 轉發源的 IP 地址指定
src_mac 字符串 轉發源的 MAC 地址指定
src_port 字符串 轉發源的端口指定
proto 字符串 轉發源的協議類型,可選值:tcp, udp, tcpudp, udplit, icmp, esp, ah, sctp, 或all表示全部
dest 字符串 轉發目標的 zone 域
dest_ip 字符串 轉發目標的IP地址指定
dest_mac 字符串 轉發目標的MAC地址指定
dest_port 字符串 轉發目標的端口指定

端口轉發的可配置性十分靈活,比如我們將 9020 這個端口轉發給內網一臺服務器的 80,舉例:

config redirect  
option name 9020-80  
option proto tcp  
option src wan  
option src_dport 9020  
option dest lan  
option dest_ip 192.168.1.100  
option dest_port 80

將電腦192.168.1.2設置DMZ隔離區,舉例:

config redirect  
option src wan  
option proto all  
option dest_ip 192.168.1.2

參考:

http://wiki.openwrt.org/zh-cn/doc/uci(UCI)

http://wiki.openwrt.org/zh-cn/doc/uci/firewall(防火墻配置)

https://www.haiyun.me/archives/openwrt-iptables.html(自定義iptables替換firewall)

http://blog.csdn.net/u011641885/article/details/49303699(以上內容部分轉自此篇文章)

OpenWrt防火墻配置(極路由)

相關推薦

OpenWrt防火配置路由

detail order forward tar 列表 指定 inpu -c tails 說明: 1、極路由使用的是OpenWrt做為操作系統,本身就是一個Linux,包管理使用opkg,只是改了一個界面而已。 2、Linux下的防火墻最終都會歸iptables進行管理

CentOS7 OpenVPN Firewalld防火配置1

openvpn firewalld接口處於Public區域,網卡名稱為ens33firewall-cmd --list-all查看所有信息public (active) target: default icmp-block-inversion: no interfaces: ens33 sources

Mac下使用PF進行端口轉發和防火配置類似Linux的iptables

火墻 get 端口 生效 proto 保護 功能 net inet6 在Mac沒有iptables這些,替代的軟件為PF,命令為pfctl。在早些版本用ipfw(<=10.10),後面改為PF。還有一些可以使用OpenBsd,不過這個不太好用。 網上關於pfctl的

簡單明了的nftables防火配置arch為例

設置 包含 hab 資料 監聽 php style lis 一個 Arch Linux的內核已經包含了netfilter包過濾框架。 在/etc/nftables.conf默認包含著一個簡單的防火墻設置,但過於簡單, 現在重新編寫nft的設置(這裏列舉的規則適合個人電腦,服

Yeslab 華為安全HCIE七門之-防火基礎12篇

nat原理 分享課 多出口 spf 鏈接 baidu 路徑 .com 體系 Yeslab 華為安全HCIE七門之-防火墻基礎(12篇) Yeslab 全套華為安全HCIE七門之第二門防火墻基礎(12篇),第一門課論壇很早就有了,可自行下載,後面的陸續分享給大家。 華為安全H

太亞DB-120 WG路由器openwrt設定埠轉發二級路由

前面說到,我是用刷了openwrt的大亞db120-gw路由器中繼了隔壁的WiFi實現上網的。 現在樹莓派連著大亞,想在openwrt中設定埠對映實現外網訪問樹莓派。 上網找教程:在網路>防火牆>埠轉發 處新增轉發規則 結果如下: v

本地XAMPP虛擬域名配置配合路由

本地XAMPP虛擬域名配置使用環境:XAMPP整合環境上面介紹完路由,下面我們來介紹一個和上面類似的一個比較好用的小操作,滿足一下本地開發時候想偷偷懶的人。我們使用的是Apache,所以我們這個第一步是要找到Apache的虛擬主機配置檔案:\xampp\apache\conf

Linux添加防火、iptables的安裝和配置親測

accept verbose conf inpu wall ron -h 數據流 ack iptables基礎 規則(rules)其實就是網絡管理員預定義的條件,規則一般的定義為“如果數據包頭符合這樣的條件,就這樣處理這個數據包”。規則存儲在內核空間的信息

關於SQL SEVER防火配置問題:遠程調試要求開通DCOMTCP端口135和IPESCUDP端口4500/500

soft tex 意思 調試 body 操作 post gpo eight 初學SQL SEVER 2008,結果第一次調試就出現了這個問題: 然後 百度了一下,這三個選項的意思: 取消遠程調試:取消啟動調試的嘗試。您的計算機的安全設置保持不變。 取消禁止從本地網

FTP(二ftp部署與防火配置

vsftp服務部署 ftp服務與iptables防火墻一、ftp部署繼上文對ftp原理的分析說明,接下實戰部署ftp服務器。1、環境 CentOS6.8 X64 vsftp#yum install vsftpd -y#rpm -qa |grep vsftpd#vsftpd-2.2.2-21.e

靜態路由配置ip route-路由的靜態跳轉

路由 靜態 配置 靜態路由配置實驗拓撲: 實驗步驟:第一步:配置pc機的ip地、子網掩碼;第二步:配置路由器接口的ip地址,操作步驟如下:Router10:Router10>enaRouter10#configure terminalRouter10(config)#interface g

防火基礎

防火墻基礎(一)防火墻基礎 防火墻:一套安全隔離工具; 工作在網絡邊緣,對經過防火墻的數據報文,根據預先定義的匹配規則進行檢測,如果能匹配,用預先定義好的處理機制進行處理, 如果不匹配,則用默認的處理機制進行處理的一套安全

Linux防火iptables

登錄 發現 實驗 置配 才有 設置 是我 簽名 all Linux防火墻iptables(三)我們前面兩篇已經把iptables介紹的比較充分了,今天來說一個iptables對layer 7的實踐。我們說過iptables/netfilter工作在內核空間是不支持應用層協議

pfSense 防火Floating浮動規則詳解

××× 方法 作用 all 定義 quick 的人 net wal 什麽是Floating(浮動)規則?官方解釋:(摘自https://www.netgate.com/docs/pfsense/firewall/floating-rules.html)浮動規則浮動規則是高級

中山大學路由器如何通過h3c認證上網路由設定方法

我在前一陣子因為Linux系統難以用yah3c上網的關係,所以花了錢狠心地買了個極路由。本文所提及的安裝方法是在極路由的基礎下進行安裝的,若需要刷系統等,請自行尋找方法刷系統 1. 確認自己交了網費和netID已經啟用用網線可以正常上網 2. 按照極路由設定

騰訊雲伺服器配置https訪問證書-nginx

1.安裝nginx yum install openssl-devel nginx 依賴關係(y安裝、d只下載、N不安裝),選y即可 Is this ok [y/d/N]: y 如果出現Complete!安裝完成 2.配置檔案在/etc/nginx 3.從騰訊

阿裏雲ECS Linux服務器外網無法連接MySQL解決方法自己親身遇到的問題是防火的問題已經解決

連接 size tro 防火墻設置 tcp sysconf 們的 can mysql配置文件 我的服務器買的是阿裏雲ECS linux系統。為了更好的操作數據庫,我希望可以用navicat for mysql管理我的數據庫。 當我按照正常的模式去鏈接mysql的時候, 報錯

銳捷 ws6816 AC 配置生產環境

ruijie ws6816 ac ipv6AYC_1#-WS6816#show versionSystem description : Ruijie 10G Wireless Switch(WS6816) By Ruijie Networks.System uptime : 88

MySQL配置5.7

move mov windows服務 host ica 重新 mysql5 字符集 com 一、配置MySQL數據庫 1、解壓綠色版mysql,並改名為mysql5.7,如下圖 對比一下下圖5.6以前的版本,少data目錄(存放數據)和my-default.ini文

Iptables防火配置

dport -m nts enter 火墻 pop lis input net Iptables防火墻配置 安裝防火墻 sudo apt-get install iptables 查看狀態 sudo iptab