Differences

This shows you the differences between two versions of the page.

--- firewall [2018/05/09 00:41] – [4. rule段：规则配置] midas_zhou
+++ firewall [2025/10/14 06:22] (current) – external edit 127.0.0.1
@@ Line 11: / Line 11: @@
 域(zone)是一组网络接口，域可作为IP转发的源地或目的地来进行相应配置。这里主要是对wan域和lan域的策略进行配置，选项有：
    name       域名称
-   network    列表，指明被绑定到此域的网络接口，比如lan,wan,wan6
+   network    （列表） 被绑定到此域的网络接口，比如lan,wan,wan6
    input      输入策略  可选: ACCEPT--接受，REJECT--拒绝。
    output     输出策略  可选: ACCEPT--接受，REJECT--拒绝。
@@ Line 17: / Line 17: @@
    masq       是否设置传输伪装   可选: 1--是，0--否。如果是wan口，必须设置为1。
    mtu_fix    是否设置MTU的MSS钳制  可选: 1--是，0--否。如果是wan口，设置为1。
-==== 3. forwarding段；转发配置 ====
+==== 3. forwarding段：转发配置 ====
 配置2个域之间的路由转发。选项有：
    src      转发来源域，一般为lan域
    dest     转发目的域, 一般为wan域
 ==== 4. rule段：规则配置 ====
-Rule段可以对特定的端口或主机设置基本的"接受/拒绝"规则。
+Rule段可以对特定的端口或主机设置基本的"接受/拒绝"规则，其主要选项有：
+  src         数据包源地址所属域(zone)
+  src_ip      数据包源IP地址
+  src_port    源地址端口号
+  dest        数据包目的地所属域(zone)
+  dest_ip     数据包目的地IP地址
+  dest_port   目的地端口号
+  proto       数据包的协议类型
+  target      设置防火规则, 可选：ACCEPT, REJECT, DROP, MARK, NOTRACK
+例子,允许wan域进行SSH连接:
+  config rule
+        option name Allow-wan-SSH
+        option src wan
+        option dest_port 22
+        option proto tcp
+        option target ACCEPT
 ==== 5. redirect段：端口转发配置 ====
-最后执行命令/etc/init.d/firewall restart 使修改后的配置生效。
+如果从外域来访的数据包符合转发规则, 那么数据包将会被转发到目的域中指定的地址和端口。主要选项有：
+   src          数据包源地址所属域(zone)
+   src_ip       数据包源IP地址
+   src_mac      数据包源MAC地址
+   src_port     数据包源端口
+   proto        数据包的协议类型
+   dest         数据包目的地址所属域(zone)
+   dest_ip      数据包目的IP地址
+   dest_port    数据包目的端口
+   dest_mac     数据包目的MAC地址
-更详细的配置参见: https://wiki.openwrt.org/doc/uci/firewall
+最后执行命令/etc/init.d/firewall restart 使修改后的配置生效。
+更详细的配置参见: https://openwrt.org/docs/guide-user/firewall/firewall_configuration