IPtablesファイアウォールノート1
Openwrtのファイアウォールルールはuciコマンドを使用して構成できますが.プロファイルは/etc/config/firewallで分析/etct/init.d/firewallスクリプトファイル.実際にファイアウォール機能を実行するプログラムはfw 3であることがわかります.Openwrtはlinuxシステムとしてiptablesをサポートしています.だから.iptablesをマスターしました.
iptables-Lを入力して、現在のファイアウォールルールを表示します.
デフォルトのファイアウォールルールは次のとおりです.
つまり、入出力は許可されています.転送はこっそり捨てられた.一般的な値は次のとおりです.
さらに、各チェーンには、delegate_というルールがあります.input delegate_forward delegate_output
この3つのルールを見てみましょう.
各ルールの下にはいくつかのルールが含まれています
iptables-Lを入力して、現在のファイアウォールルールを表示します.
root@goldsunny:~# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
delegate_input all -- anywhere anywhere
Chain FORWARD (policy DROP)
target prot opt source destination
delegate_forward all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
delegate_output all -- anywhere anywhere
デフォルトのファイアウォールルールは次のとおりです.
Chain INPUT (policy ACCEPT)
Chain FORWARD (policy DROP)
Chain OUTPUT (policy ACCEPT)
つまり、入出力は許可されています.転送はこっそり捨てられた.一般的な値は次のとおりです.
DROP:
DROP ,
REJECT:
ACCEPT:
custom_chain:
DNAT
SNAT
MASQUERADE:
REDIRECT: :
MARK:
RETURN:
, 。
さらに、各チェーンには、delegate_というルールがあります.input delegate_forward delegate_output
この3つのルールを見てみましょう.
Chain delegate_forward (1 references)
target prot opt source destination
forwarding_rule all -- anywhere anywhere /* user chain for forwarding */
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
zone_lan_forward all -- anywhere anywhere
zone_lan_forward all -- anywhere anywhere
zone_wan_forward all -- anywhere anywhere
reject all -- anywhere anywhere
Chain delegate_input (1 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
input_rule all -- anywhere anywhere /* user chain for input */
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
syn_flood tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN
zone_lan_input all -- anywhere anywhere
zone_lan_input all -- anywhere anywhere
zone_wan_input all -- anywhere anywhere
Chain delegate_output (1 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
output_rule all -- anywhere anywhere /* user chain for output */
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
zone_lan_output all -- anywhere anywhere
zone_lan_output all -- anywhere anywhere
zone_wan_output all -- anywhere anywhere
各ルールの下にはいくつかのルールが含まれています