OpenWRT 防火墙介绍
本章目标
了解 OpenWrt 防火墙的基本内容
OpenWrt 是一个 GNU/Linux 的发行版, 和其他大多数的发行版一样,Openwrt 的防 火墙同样也是基于 iptables。在 OpenWRT下防火墙的默认行为已经可以满足路由器的需 要,一般情况下也无需修改。
1. OpenWrt 内置防火墙介绍
OpenWrt 关于 NAT、DMZ、防火墙规则等等都是由配置文件 /etc/config/firewall 文 件进行控制的,有关于什么是 NAT 或者 DMZ 等内容,下文会讲到。对于防火墙的修改工 作,我们采用 vi 进行直接的文件编辑完成。
防火墙文件总会在/etc/init.d/firewall 启动的时候由 UCI 进行解码并且生成 iptables 规则生效。因此使用者不需要了解 iptables 即可通过配置文件实现防火墙控制。
防火墙的修改生效,需要重启防火墙执行以下指令:
root@OpenWrt:/# /etc/init.d/firewall reload
或执行:
root@OpenWrt:/# /etc/init.d/firewall restart
查看当前 iptables 的已启用策略语法为:
root@OpenWrt:/# iptables – L
2. 防火墙文件内容分析
我们打开防火墙文件查看一下:
root@OpenWrt:/# vi /etc/config/firewall
我们可以看到第一部分的内容(默认参数表) :
这里是防火墙默认的参数表 ,其内容和相应的动作可以有如下选择 :
防火墙文件这方面的内容为:
syn_flood 1 表示: 是否启用防洪水攻击。可选值: 0 关闭, 1 启用。
input ACCEPT 表示: 设置 INPUT 链(chain)的过滤策略,可选值: ACCEPT 允许, REJECT 拒绝。
output ACCEPT 表示: 设置 OUTPUT 链(chain)的过滤策略,可选值: ACCEPT 允许, REJECT 拒绝。
forward REJECT 是 设置 FORWARD 链(chain)的过滤策略,可选值: ACCEPT 允许, REJECT 拒绝。
disable_IPv6 1 表示: 设置关闭掉 ipv6 的防火墙策略,可选值: 0 忽略, 1 关闭
这部分参考值既是系统默认的即可,无需修改:
防火墙的第二个内容(域) :
config 后面是表示配置项的名称,这里”zone”为域的意思。
name 表示域的名字 ,必须是唯一值,可选值:wan, lan
network 表示网络列表,用来指示哪些接口被捆绑到这个域中,可选接口的名称,比如:lan, wan, wan6
input ACCEP 允许 INPUT 链(chain)的过滤策略
output ACCEPT 允许 OUTPUT 链(chain)的过滤策略
forward ACCEPT 允许 FORWARD 链(chain)的过滤策略
masq 1 表示: 设置传输伪装,如果是 WAN 口必须为 1
MTU_fix 1 表示: 设置 MTU 的 mss 钳制,如果是 WAN 口请为 1
简单来说:
mtu 是网络传输最大报文包。
mss 是网络传输数据最大值。
mss 加包头数据就等于 mtu.
这部分的设置作用如下:
A zone section groups one more interfaces and serves as a source or destination for forwardings, rules and redirects. Masquerading (NAT) of outgoing traffic is controlled on a per-zone basis.
防火墙的第三部分内容(转发) :
