src lan 是 设置转发来源
dest wan 是 设置转发目标
这部分作用描述如下:
The forwarding sections control the traffic flow between zones and may enable MSS clamping for specific directions. Only one direction is covered by a forwarding rule. To allow bidirectional traffic flows between two zones, two forwardings are required, with src and dest reversed in each.
防火墙的第四部分内容(规则) :
这里只是罗列出了几个防火墙的规则,其实防火墙规则在/etc/config/firewall 中可以有任 意数量的规则,这些规则定义了数据传输的动作和行为是被允许还是拒绝。
对于防火墙规则的作用描述如下:
Sections of the type rule can be used to define basic accept or reject rules to allow or restrict access to specific ports or hosts. Like redirects the rules are tied to
the given source zone and match incoming traffic occuring there.
我们再解释一下防火墙规则的相应选项的意思:
name 表示: 设置当前这个 rule 的名称
target 表示: 设置防火墙动作,可选值: ACCEPT 许可, REJECT 拒绝, DROP 抛弃
src 表示: 数据源的 zone 域是哪个。可选值: wan / lan src_ip 表示: 数据源的 IP 地址是哪个。 src_mac 表示: 数据源的 MAC 地址是哪个。 src_port 表示: 数据源的端口,可以是一个端口,或一个端口范围,但是必须同时指定了 协议类型
proto 表示: 数据源的协议类型, 可选值: tcp, udp, tcpudp, udplit, icmp, esp, ah, sctp, 或 all 表示全部
dest 表示: 数据目标的 zone 域是哪个。可选值: wan / lan dest_ip 表示: 数据目标的 IP 地址。 dest_port 表示:数据目标的端口,可以是一个端口,或一个端口范围,但是必须同时指定 了协议类型
family 表示: 数据的协议族,可选值: ipv4, ipv6, any
rule 规则设置可以灵活,比如允许来自 WAN 口的 ping ,例:
config rule
option name Allow-Ping
option src wan
option proto icmp
option icmp_type echo-request
option family ipv4
option target ACCEPT
防火墙的第五部分内容(重定向):
OpenWrt 防火墙允许使用者通过 WAN 口访问特定的端口重定向给局域网的一台电脑 设备(比如 WAN 口访问 80 端口(HTTP)将重定向给局域网某台网站服务器)。 端口重定向是 在防火墙配置/etc/config/firewall 中定义 redirect 段策略实现的。所有匹配的来源数据将
根据目标设置转发到目标主机上。 firewall 配置中可以有多个 redirect 策略,默认是没有开 放任何重定向的,如果你需要重定向请使用 vi 或 UCI 进行配置。
name 表示: 设置当前这个 redirect 的名称
src 表示: 转发源的 zone 域,一般转发都是转发从 wan 过来的访问
src_ip 表示: 转发源的 IP 地址指定
src_mac 表示: 转发源的 MAC 地址指定
src_port 表示: 转发源的端口指定
proto 表示:转发源的协议类型, 可选值: tcp, udp, tcpudp, udplit, icmp, esp, ah, sctp, 或 all 表示全部
dest 表示: 转发目标的 zone 域
dest_ip 表示: 转发目标的 IP 地址指定
dest_mac 表示: 转发目标的 MAC 地址指定
dest_port 表示: 转发目标的端口指定
端口重定向的可配置性很灵活。比如我们将 9020 这个端口转发给内网一台服务器的 80 端 口 ,如下 :
config redirect
option name '9020-80'
option proto 'tcp'
option src 'wan'
option src_dport '9020'
option dest 'lan'
option dest_ip '192.168.1.100'
option dest_port '80'
3. DMZ 介绍
DMZ 是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化 区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个 非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网 络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业 Web 服务器、 FTP 服务器和论坛等。另一方面,通过这样一个 DMZ 区域,更加有效地保护了内部网络, 因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。
端口映射与 DMZ 的区别在于: 端口映射只是映射指定的端口, DMZ 相当于映射所有 的端口,并且直接把主机暴露在网关中,比端口映射方便但是不安全。
下面是关于 dmz 的一个示意图:
图 dmz 示意图
好的,结合之前简单的规则部分,这里我们给出一个将电脑 192.168.1.2 设置 DMZ 隔离区 的例子:
Simple DMZ rule
The following rule redirects all WAN ports for all protocols to the internal host
192.168.1.2.
config redirect
option src option proto option dest_ip | wan all 192.168.1.2 |
