正文

openwrt防火墙配置（极路由）

Jim  Jim  2022-10-14  411

关键词：

说明：

1、极路由使用的是OpenWrt做为操作系统，本身就是一个Linux，包管理使用opkg，只是改了一个界面而已。

2、Linux下的防火墙最终都会归iptables进行管理，OpenWrt的防火墙机制同样也是，最上层采用了自己基于UCI标准的配置方法管理防火墙firewall，最终写入到iptables。

3、UCI是OpenWrt统一配置文件的标准，真心不太喜欢这种语法，没iptables来的清晰。

4、OpenWrt基于firewall的配置，由于涉及到多个网口，有Wan和Lan这些，最终会转换成很多自定义的链，看来来很吃力，我的建议是直接在firewall层全部开启，然后自己使用iptables做限制。不建议停掉之后再自己写配置，不然你无法知道哪些网口是走向什么地方的。

5、firewall不能单独关闭，不然会无法上网。

简单教程：

OpenWrt下的NAT、DMZ、Firewall rules都是由配置文件“/etc/config/firewall”进行控制管理的。此文件可以使用UCI进行控制，也可以使用vi编辑器直接修改。

该文件最后会在/etc/init.d/firewall启动的时候由UCI进行解码并且生成iptables规则生效。因此使用者不需要了解iptables即可通过配置文件实现防火墙规则。

防火墙的修改生效，需要重启防火墙执行一下命令：

/etc/init.d/firewall reload

或

/etc/init.d/firewall restart

查看当前iptables的已启用策略语法为：

iptables -L

防火墙的基本设置

config defaults防火墙默认参数表

键	值	是否必须设置	说明
input	ACCEPT	是	设置 INPUT 链(chain) 的过滤策略，可选值： ACCEPT 允许， REJECT 拒绝
output	ACCEPT	是	设置 OUTPUT 链(chain) 的过滤策略，可选值： ACCEPT 允许， REJECT 拒绝
forward	REJECT	是	设置 FORWARD 链(chain) 的过滤策略，可选值： ACCEPT 允许， REJECT 拒绝
syn_flood	1	是	是否启用防洪水攻击。可选值：0关闭，1启用。
synflood_rate	字符串	否	设置 SYN 包传输洪水攻击检测比率值，默认为：25 单位(包/秒)
synflood_burst	字符串	否	设置 SYN 包传输比率值识别洪水攻击，默认为：50 单位(包/秒)
disable_ipv6	1	否	设置关闭掉 IPv6 的防火墙策略，可选值：0忽略，1关闭。

这部分参考值使用系统默认值即可，无需修改：

config defaults  
        option syn_flood        1  
        option input            ACCEPT  
        option output           ACCEPT  
        option forward          REJECT  
# Uncomment this line to disable ipv6 rules  
#       option disable_ipv6     1

config zone用于WAN/LAN域(zone)的参数表

键	值	是否必须设置	说明
name	字符串	是	域，必须是唯一值，可选值：wan，lan
network	列表值	否	哪些接口被捆绑到这个域中，可选接口的名称，比如：lan，wan，wan6
input	ACCEPT	否	设置INPUT链(chain)的过滤策略，可选值: ACCEPT 允许, REJECT 拒绝
output	ACCEPT	否	设置OUTPUT链(chain)的过滤策略，可选值: ACCEPT 允许, REJECT 拒绝
forward	ACCEPT	否	设置FORWARD链(chain)的过滤策略，可选值: ACCEPT 允许, REJECT 拒绝
masq	1	否	设置传输伪装,如果是WAN口必须为1
mtu_fix	1	否	设置MTU的MSS钳制,如果是WAN口请为1

这部分配置也不需要做修改，参考：

config zone  
        option name             lan  
        list   network          ‘lan‘  
        option input            ACCEPT  
        option output           ACCEPT  
        option forward          ACCEPT  
  
config zone  
        option name             wan  
        list   network          ‘wan‘  
        list   network          ‘wan6‘  
        option input            REJECT  
        option output           ACCEPT  
        option forward          REJECT  
        option masq             1  
        option mtu_fix          1

config forwarding路由转发参数表

键	值	是否必须设置	说明
src	lan	是	设置转发来源
dest	wan	是	设置转发目标

这部分也需要修改，参考：

config forwarding  
        option src              lan  
        option dest             wan

防火墙的规则

如果在路由产品中需要开发 “允许 WAN 口访问设备的特定端口”，可以设置本规则(比如开放 WAN 口允许 SSH 登入，或允许 WAN 口访问设备的 FTP)，一般情况下无需设置。

防火墙规则在 /etc/config/firewall 中可以有任意数量的规则，这些规则定义了数据传输的动作和行为是被允许还是拒绝。

规则配置文件结构

config rule  
option name ‘规则名称‘  
.....

config rule可选参数表

键	值	是否必须设置	说明
name	字符串	是	设置当前这个 rule 的名称
target	字符串	是	设置防火墙的动作，可选值：ACCEPT 许可, REJECT 拒绝, DROP 抛弃
src	字符串	否	数据源的zone域是哪个。可选值: wan / lan
src_ip	字符串	否	数据源的IP地址是哪个。
src_mac	字符串	否	数据源的 MAC 地址是哪个。
src_port	字符串	否	数据源的端口，可以是一个端口，或一个端口范围，但是必须同时指定了协议类型
proto	字符串	否	数据源的协议类型，可选值: tcp, udp, tcpudp, udplit, icmp, esp, ah, sctp, 或all表示全部
dest	字符串	否	数据目标的 zone 域是哪个，可选值：wan / lan
dest_ip	字符串	否	数据目标的IP地址。
dest_port	字符串	否	数据目标的端口，可以是一个端口，或一个端口范围，但是必须同时指定了协议类型
family	字符串	否	数据的协议族，可选值: ipv4, ipv6, any

rule规则可以灵活设置，比如允许WAN口可以ssh到系统，举例：

config rule  
option name wan-ssh  
option src wan  
option dest_port 22  
option proto tcp  
option target ACCEPT

端口转发和 DMZ(demilitarized zone 隔离区)

端口转发是路由产品中常见的配置，它允许使用者通过WAN口访问特定的端口转发给局域网的一台电脑设备(比如WAN口访问80端口(HTTP)将转发给局域网某台网站服务器)。

端口转发也是在防火墙配置/etc/config/firewall中定义redirect段策略实现的。所有匹配的来源数据将根据目标设置转发到目标主机上。

firewall配置中可以有多个redirect转发策略，默认是没有开放任何转发的，如果需要转发请使用vi或UCI进行配置。

规则配置文件结构

config redirect  
option name ‘名称‘  
....

config redirect可选参数表

键	值	是否必须设置	说明
name	字符串	是	设置当前这个 redirect 的名称
src	字符串	是	转发源的 zone 域，一般转发都是转发从 wan 过来的访问
src_ip	字符串	否	转发源的 IP 地址指定
src_mac	字符串	否	转发源的 MAC 地址指定
src_port	字符串	否	转发源的端口指定
proto	字符串	否	转发源的协议类型，可选值：tcp, udp, tcpudp, udplit, icmp, esp, ah, sctp, 或all表示全部
dest	字符串	是	转发目标的 zone 域
dest_ip	字符串	否	转发目标的IP地址指定
dest_mac	字符串	否	转发目标的MAC地址指定
dest_port	字符串	否	转发目标的端口指定

端口转发的可配置性十分灵活，比如我们将 9020 这个端口转发给内网一台服务器的 80，举例：

config redirect  
option name ‘9020-80‘  
option proto ‘tcp‘  
option src ‘wan‘  
option src_dport ‘9020‘  
option dest ‘lan‘  
option dest_ip ‘192.168.1.100‘  
option dest_port ‘80‘

将电脑192.168.1.2设置DMZ隔离区，举例：

config redirect  
option src wan  
option proto all  
option dest_ip 192.168.1.2

参考：

http://wiki.openwrt.org/zh-cn/doc/uci（UCI）

http://wiki.openwrt.org/zh-cn/doc/uci/firewall（防火墙配置）

https://www.haiyun.me/archives/openwrt-iptables.html（自定义iptables替换firewall）

http://blog.csdn.net/u011641885/article/details/49303699（以上内容部分转自此篇文章）

openwrt-19.07.2forhc5861(极路由3)/hiwifi/gee最新固件，极路由3刷openwrt(代码片段)

OpenWrtForHiWiFi(HC5861)自编译精减固件，极路由3自用固件HC5861-uboot.binv19.07.2下载支持NTFS读写支持Wi-Fi5G驱动默认开启WiFi不支持Fat文件系统默认语言为中文支持samba共享支持Luci挂载点支持LED灯SD卡驱动、USB2.0驱动刷固件教程将HC5861-uboot... 查看详情

openwrt包管理软件opkg的使用（极路由）

说明：1、OpenWrt本身系统没什么问题，关键点是一些路由器尝试的限制，比如一些厂商设置成内存分区为只读，那么这个安装软件就变得没什么意义了。2、opkg的操作有点反人类，正常步骤是查询，安装；而opkg在一些厂商的限制... 查看详情

openwrt安装zerotier

...路由器的【Auth】项第四步：添加路由表第五步：路由器防火墙设置，在【网络】→【防火墙】→【自定义规则】中添加如下规则，【重启防火墙】iptables-IFORWARD-i123-jACCEPTiptables-IFORWARD-o123-jACCEPTiptables-tnat-IPOSTROUTING-o123-jMASQUERADE其... 查看详情

求一个配置高点的的路由器要求能刷openwrt

求一个内部千兆交换的路由器要求:一、能刷Openwrt实现单线多拨二、CPU500Hz以上三、内存128M以上四、flash起码16M五、内网交换最好是千兆六、功耗越低越好羡慕极路由的1.6W七、无线300M以上------------------------------------------------------... 查看详情

软路由openwrt教程收集（插件开发教程，opkg安装软件教程）

说明：现在几乎所有家庭级别的路由器都是基于OpenWrt进行衍生搭建的。https://openwrt.io/（极路由HiWifi创建的开源站点，极路由系统有这个衍生而来）http://www.openwrtdl.com/http://www.openwrt.org.cn/https://openwrt.org/（官网）查看详情

极路由hc5661刷了openwrt之后wifi无法使用，求助

行下一步登陆无线路由器界面，家庭由各品牌的软件设计都比较人性化，进去后很容易设置，先设置WAN口，选择PPPOE，输入账号和密码然后点连接最后看下无线路由器系统信息里面的连接状态。如果有IP了就说明连接正常了如果... 查看详情

openwrt旁路由设置教程

...连接方式3、旁路由配置(1)设置与主路由于同一网段内(2)防火墙配置4、客户端配置四、额外补充：旁路由的端口转发设置一、前言本文会介绍旁路由的原理以及搭建旁路由系统的集体操作流程。由于支持旁路由的设备群非常... 查看详情

openwrt对外网开放vsftp服务(代码片段)

...able默认已经启用,所以只需要指定端口范围,以便后面设置防火墙打开对应的端口2.在"网络->防火墙->通信规则"下,增加两个"打开路由器端口"一个是21端口,一个是10024-10032,都是TCP协议,结果类似于任何tcp来自所有主机位于wan到所... 查看详情

openwrt无法重启防火墙

参考技术A题主是否想询问“openwrt无法重启防火墙怎么办”？网络负载均衡，接口删除，重启路由器。查看详情

如何将openwrt路由器挂载移动硬盘远程访问硬盘？

开FTP，FTP地址为路由地址，FTP文件夹指向移动硬盘，防火墙开个端口转发，再开个DDNS。参考技术A开FTP，FTP地址为路由地址，FTP文件夹指向移动硬盘，防火墙开个端口转发，再开个DDNS~~~OK本回答被提问者采纳参考技术B您好，路... 查看详情

redmi路由器ac2100之openwrt旁路由设置

...取消勾选lan接口的桥接接口。4、禁用旁路由DHCP。5、打开防火墙进行设置6、防火墙添加自定义规则：iptables-tnat-IPOSTROUTING-oeth0-jMASQUERADE。至此，旁路由设置完毕。三、主路由设置1、路由器拨号并打开DHCP服务，网关设置为旁路由... 查看详情

openwrt防火墙规则没生效

参考技术AOpenwrt无法上网重启防火墙规则就可以了过一会又不可以了有谁...回答时间:2021年03月05日最佳答案：然后我吧网络-负载均衡-接口里的那个接口删除了，重启路由器，就好了。知乎查看详情

如何在openwrt路由器上安装使用openconnect客户端？

参考技术A如何在openwrt路由器上安装使用openconnect客户端？系统环境：OpenWrt19.07.1硬件：极路由1S在OpenWrt官方网站选择适合自己路由器的固件，然后刷机。我用的极路由1s的芯片是MT7620，型号为HC5661，所以选择如下固件：http://downlo... 查看详情

大集中添加软路由怎样转换

...路由网络设置，包括IP地址、网关、DNS等。4.配置软路由防火墙规则，根据需求设置不同的防火墙规则，保障网络安全。5.配置软路由VPN，如果需要通过VPN实现远程访问或者保障网络安全，可以配置VPN服务。6.配置软路由端口转发... 查看详情

openwrt如何放行端口@jean

...行。否则即使做了端口映射也不能通信。在openwrt默认的防火墙规则下，即wan区域默认允许出站流量，默认拒绝入站和转发流量。OpenWrt可以被描述为一个嵌入式的Linux发行版，（主流路由器固件有dd-wrt,tomato,openwrt三类）而不是试... 查看详情

openwrt如何禁止内网用户访问上级路由web页面？

...修改默认WEB管理端口的，比如把80改成8081端口参考技术A防火墙规则里加查看详情

koolshare之openwrt上安装zerotier

...到对于的虚拟局域网中。5、查询选择zerotier接口6、配置防火墙，防火墙都选择接受，添加自定义规则：iptables-IFORWARD-i虚拟接口名称-jACCEPTiptables-IFORWARD-o虚拟接口名称-jACCEPTiptables-tnat-IPOSTROUTING-o虚拟接口名称-jMASQUERADE示例：iptable... 查看详情

智能路由器-openwrt系列六（远程迅雷离线下载）

OpenWRT系列教程智能路由器-OpenWRT系列一（OpenWRT刷机）智能路由器-OpenWRT系列二（OpenWRT初始配置）智能路由器-OpenWRT系列三（OpenWRT安装LuCI&网络配置）智能路由器-OpenWRT系列四（挂载移动设备）智能路由器-OpenWRT系列五（NAS-SMB家... 查看详情