有关 IPtable 的相关说明请见这篇文章:
http://blog.chinaunix.net/uid-22780578-id-3346350.htmlhtml
openwrt 中使用 uci 可实现对 IPtable 进行配置。配置文件位于
/etc/config/firewallweb
1 默认配置sql
config defaults
option syn_flood '1'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'REJECT'
咱们能够看到。IPtable 的默认规则为:
输入 输出 容许
转发 明示拒绝网络
2 zone 区。代表每一个网络的默认规则svg
config zone
option name 'lan'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'ACCEPT'
option network 'lan wwan'
option masq '1'
option mtu_fix '1'
config zone
option name 'wan'
list network 'wan'
list network 'wan6'
option input 'REJECT'
option output 'ACCEPT'
option forward 'REJECT'
option masq '1'
option mtu_fix '1'
config zone
官方解释:
A zone section groups one more interfaces and serves as a source or destination for forwardings, rules and redirects. Masquerading (NAT) of outgoing traffic is controlled on a per-zone basis.
The options below are defined within zone sections:
我的理解:
防区,做用于各个网络。定义该网络的默认设置。例如,第一个防区,做用于 “lan wwan” 网络。而 lan wwan 在 /etc/config/network 中被定义为 stabridge ui
config interface 'stabridge'
option network 'lan wwan'
第二个防区则被做用于 "wan" "wan6"
option input
对于从该网络进去的数据作何处理:
option output
对于从该网络出去的数据作何处理
option forward
转发管卡 作何种处理
以上配置。有以下几种取值:spa
DROP:悄悄丢弃。通常咱们多用DROP来隐藏咱们的身份,以及隐藏咱们的链表 REJECT:明示拒绝 ACCEPT:接受 custom_chain:转向一个自定义的链 DNAT SNAT MASQUERADE:源地址假装 REDIRECT:重定向:主要用于实现端口重定向 MARK:打防火墙标记的 RETURN:返回。在自定义链执行完毕后使用返回,来返回原规则链。
3 config rule 规则.net
config rule
option name 'Allow-DHCP-Renew'
option src 'wan'
option proto 'udp'
option dest_port '68'
option target 'ACCEPT'
option family 'ipv4'
咱们能够看到 上面有关 zone 第二区的默认设置。对于 “wan” 的输入。默认是拒绝的。
然而。对于某些情景。咱们是要容许某些从 “wan” 进来的数据请求
option src ‘wan’
指定 源为 “wan”
option proto ‘udp’
指定协议为 udp
option dest_port ‘68’
目标端口号为 68
option family ‘ipv4’
家族协议为 ipv4
option target
容许
因此上面的配置项的做用是:
对于从 wan 口进入的数据。若是该数据符合下面的条件,则让其经过:
目标端口号为 68
家族协议为 ipv4
传输协议为:udpunix