firewall
This is an old revision of the document!
Table of Contents
通过修改配置文件/etc/config/firewall可以调整防火墙策略和规则。firewall配置文件主要含有以下几个段(config section):
1. default段:默认基本配置
默认基本配置的选项有:
syn_flood 是否启用防洪水攻击。可选: 0--关闭,1--启用。 input 输入策略 可选: ACCEPT--接受,REJECT--拒绝。 output 输出策略 可选: ACCEPT--接受,REJECT--拒绝。 forward 转发策略 可选: ACCEPT--拒绝,REJECT--拒绝。 disable_ipv6 是否禁用IPv6防火墙策略 可选: 1--禁用,0--启用。
这里input是指接收的数据包的目的IP地址属于当前域的情况;output指发送的数据包的源IP地址属于当前域的情况;forward是指数据包通过当前域进行转发的情况。
2. zone段:域配置
域(zone)是一组网络接口,域可作为IP转发的源地或目的地来进行相应配置。这里主要是对wan域和lan域的策略进行配置,选项有:
name 域名称 network 列表,指明被绑定到此域的网络接口,比如lan,wan,wan6 input 输入策略 可选: ACCEPT--接受,REJECT--拒绝。 output 输出策略 可选: ACCEPT--接受,REJECT--拒绝。 forward 转发策略 可选: ACCEPT--接受,REJECT--拒绝。 masq 是否设置传输伪装 可选: 1--是,0--否。如果是wan口,必须设置为1。 mtu_fix 是否设置MTU的MSS钳制 可选: 1--是,0--否。如果是wan口,设置为1。
3. forwarding段;转发配置
配置2个域之间的路由转发。选项有:
src 转发来源域,一般为lan域 dest 转发目的域, 一般为wan域
4. rule段:规则配置
Rule段可以对特定的端口或主机设置基本的“接受/拒绝”规则。
src
5. redirect段:端口转发配置
最后执行命令/etc/init.d/firewall restart 使修改后的配置生效。
firewall.1525826736.txt.gz · Last modified: (external edit)