09.OpenWrt-防火墙

防火墙是OPenWrt非常重要的一部分,基础篇只说防火墙的配置和一些常用的命令.

9.1 防火墙配置文件

root@Togetek:/# cat /etc/config/firewallconfig defaultsoption syn_flood        1option input            REJECToption output           ACCEPToption forward          REJECT# Uncomment this line to disable ipv6 rules#       option disable_ipv6     1config zoneoption name             lanlist   network          'lan'option input            ACCEPToption output           ACCEPToption forward          ACCEPTconfig zoneoption name             wanlist   network          'wan'list   network          'wan6'option input            ACCEPToption output           ACCEPToption forward          REJECToption masq             1option mtu_fix          1config forwardingoption src              lanoption dest             wan# We need to accept udp packets on port 68,# see https://dev.openwrt.org/ticket/4108config ruleoption name             Allow-DHCP-Renewoption src              wanoption proto            udpoption dest_port        68option target           ACCEPToption family           ipv4# Allow IPv4 pingconfig ruleoption name             Allow-Pingoption src              wanoption proto            icmpoption icmp_type        echo-requestoption family           ipv4option target           ACCEPTconfig ruleoption name             Allow-IGMPoption src              wanoption proto            igmpoption family           ipv4option target           ACCEPT# Allow DHCPv6 replies# see https://github.com/openwrt/openwrt/issues/5066config ruleoption name             Allow-DHCPv6option src              wanoption proto            udpoption dest_port        546option family           ipv6option target           ACCEPTconfig ruleoption name             Allow-MLDoption src              wanoption proto            icmpoption src_ip           fe80::/10list icmp_type          '130/0'list icmp_type          '131/0'list icmp_type          '132/0'list icmp_type          '143/0'option family           ipv6option target           ACCEPT# Allow essential incoming IPv6 ICMP trafficconfig ruleoption name             Allow-ICMPv6-Inputoption src              wanoption proto    icmplist icmp_type          echo-requestlist icmp_type          echo-replylist icmp_type          destination-unreachablelist icmp_type          packet-too-biglist icmp_type          time-exceededlist icmp_type          bad-headerlist icmp_type          unknown-header-typelist icmp_type          router-solicitationlist icmp_type          neighbour-solicitationlist icmp_type          router-advertisementlist icmp_type          neighbour-advertisementoption limit            1000/secoption family           ipv6option target           ACCEPT# Allow essential forwarded IPv6 ICMP trafficconfig ruleoption name             Allow-ICMPv6-Forwardoption src              wanoption dest             *option proto            icmplist icmp_type          echo-requestlist icmp_type          echo-replylist icmp_type          destination-unreachablelist icmp_type          packet-too-biglist icmp_type          time-exceededlist icmp_type          bad-headerlist icmp_type          unknown-header-typeoption limit            1000/secoption family           ipv6option target           ACCEPTconfig ruleoption name             Allow-IPSec-ESPoption src              wanoption dest             lanoption proto            espoption target           ACCEPTconfig ruleoption name             Allow-ISAKMPoption src              wanoption dest             lanoption dest_port        500option proto            udpoption target           ACCEPT# allow interoperability with traceroute classic# note that traceroute uses a fixed port range, and depends on getting# back ICMP Unreachables.  if we're operating in DROP mode, it won't# work so we explicitly REJECT packets on these ports.config ruleoption name             Support-UDP-Tracerouteoption src              wanoption dest_port        33434:33689option proto            udpoption family           ipv4option target           REJECToption enabled          false# include a file with users custom iptables rulesconfig includeoption path /etc/firewall.user### EXAMPLE CONFIG SECTIONS# do not allow a specific ip to access wan#config rule#       option src              lan#       option src_ip   192.168.45.2#       option dest             wan#       option proto    tcp#       option target   REJECT# block a specific mac on wan#config rule#       option dest             wan#       option src_mac  00:11:22:33:44:66#       option target   REJECT# block incoming ICMP traffic on a zone#config rule#       option src              lan#       option proto    ICMP#       option target   DROP# port redirect port coming in on wan to lan#config redirect#       option src                      wan#       option src_dport        80#       option dest                     lan#       option dest_ip          192.168.16.235#       option dest_port        80#       option proto            tcp# port redirect of remapped ssh port (22001) on wan#config redirect#       option src              wan#       option src_dport        22001#       option dest             lan#       option dest_port        22#       option proto            tcp### FULL CONFIG SECTIONS#config rule#       option src              lan#       option src_ip   192.168.45.2#       option src_mac  00:11:22:33:44:55#       option src_port 80#       option dest             wan#       option dest_ip  194.25.2.129#       option dest_port        120#       option proto    tcp#       option target   REJECT#config redirect#       option src              lan#       option src_ip   192.168.45.2#       option src_mac  00:11:22:33:44:55#       option src_port         1024#       option src_dport        80#       option dest_ip  194.25.2.129#       option dest_port        120#       option proto    tcp

9.2 防火墙常用操作

   #阻止防火墙服务开机自动启动/etc/init.d/firewall disable#关闭防火墙/etc/init.d/firewall stop#开启防火墙/etc/init.d/firewall start#重启防火墙/etc/init.d/firewall restart

09.OpenWrt-防火墙相关推荐

  1. 万字讲解OpenWrt防火墙iptables,并使用UCI配置防火墙

    一.防火墙简介 "防火墙"(Firewall)术语来自建筑设计领域,是指用来起分割作用的墙,当某一部分 着火时可以减缓或保护其他部分免受火灾影响.在计算机网络中,防火墙是在两个或多 ...

  2. 关闭防火墙_从零开始学Linux运维|09.关闭防火墙和SElinux

    firewalld是centos7默认的防火墙 安全增强型 Linux(Security-Enhanced Linux)简称 SELinux 初学者建议先关闭,等熟悉了之后再来使用 前期联系中的好多错 ...

  3. openwrt 防火墙

    防火墙 一:开启防火墙 二:配置防火墙 三:关闭防火墙 一:开启防火墙 二:配置防火墙 配置文件修改位置: lede_17.01/package/network/config/firewall/fil ...

  4. OpenWrt上搭建纯L2TP服务器[ZT]

    转自:http://www.openwrt.pro/post-389.html 纯L2TP(l2tp + ppp,无IPSec) 首先安装xl2tpd软件包 opkg update opkg inst ...

  5. openwrt固件的下载编译流程

    openwrt官方wiki http://wiki.openwrt.org/doc/howto/start Ubuntu环境: Linux wilson-virtual-machine 4.10.0- ...

  6. OpenWRT学习笔记(1)环境部署代码下载及编译

    一 . 安装虚拟机,我选择安装ubuntu14.04版本. 二. 安装编译工具 更新ubuntu软件仓库中软件包的索引文件. sudo apt-get update 安装如下工具: sudo apt- ...

  7. OpenWrt开发指南博文导航

    自博主更新该专栏也很久了,今天博主就给出关于OpenWrt开发的一个导航,为的是读者朋友能更好找到自己所感兴趣的那一块,当然博主以后对OpenWrt有新的发现和想法也会在第一时间发表在CSDN上,在此 ...

  8. openwrt入门经典案例

    一:下载编译 编译出来的镜像位于 bin 目录下面 其中 openwrt-ramips-rt305x-mpr-a2-squashfs-sysupgrade.bin 这个就是我们要的镜像.烧写到板子上面 ...

  9. Openwrt旁路由设置vs无法打开国内网站解决方法。

    20230427经测试,国内不能上网,就关passwall2 :开SSRP+影响国内网:兼容国内网络,最好开Hello World .最主要是DNS的问题,DNS解析到位开任何软件都能全球网. Ope ...

  10. openwrt 版本下载

    openwrt 源码下载.官网地址如下: http://git.openwrt.org/ 可以看到有很多版本 10.03/openwrt.git OpenWrt 10.03 release branc ...

最新文章

  1. 如何向非技术人员解释“稀疏傅里叶变换”算法?
  2. 安徽理工大学计算机技术研究生,安徽理工大学(专业学位)计算机技术研究生辅导...
  3. layer.open 模态弹窗, 隐藏关闭按钮, 隐藏按钮组
  4. Dockerfile 部署Djano项目
  5. vue商城项目开发:底部导航样式、顶部导航矩阵和轮播图
  6. 量子计算入门-第一部分
  7. 基于eclipse RCP的文件夹管理工具
  8. python进阶08并发之四map, apply, map_async, apply_async差异
  9. python定义二维空数组_带有空第二维的数组/向量的Python / numpy问题
  10. 构建一个简单的卷积神经网络,使用DRL框架tianshou匹配DQN算法
  11. 21天实战人工智能系列:人工智能产品经理最佳实践(2)
  12. 【leetcode】二叉树(python)
  13. 自动驾驶 2-5 自动驾驶汽车的未来 The Future of Autonomous Vehicles
  14. 盘点:近一年全球十大数据安全事件
  15. BUUCTF--[GUET-CTF2019]number_game
  16. Nature:我叫“P值” 这是我的故事
  17. 网易再次下注10亿元,能在视频领域“砸”出水花吗
  18. 城市规划计算机辅助设计综合实践,城市规划计算机辅助设计综合实践:AutoCAD2015/ArcGIS/PS/SU...
  19. vb.net如何打包exe安装文件
  20. oracle 数据库口令,oracle的口令资料

热门文章

  1. 美团Java岗年薪70W招不到人,越高端的岗位,竞争越小!
  2. 手动清楚smsc病毒
  3. shell脚本自动化巡检报告
  4. 互联网金融支付体系变革趋势
  5. 【文章转载】- 微信小程序域名收集工具
  6. 安徽考区计算机水平考试例题,全国高等学校(安徽考区)计算机水平考试(一级)模拟试题...
  7. 移动端实时音视频详解(二):处理
  8. 2023年11大热门IT技能,网络安全赢麻了
  9. 带你简单了解音频放大电路
  10. Google翻译接口