OpenWrt路由器iptables防火墙自行手工设置示例-Kernel的makefile-ChinaUnix博客

Kernel的makefile

首页　| 　博文目录　| 　关于我

Kernel的makefile

博客访问： 3125279
博文数量： 685
博客积分： 0
博客等级：民兵
技术积分： 5303
用户组：普通用户
注册时间： 2014-04-19 14:17

个人简介

文章分类

全部博文（685）

Ubuntu12.04小应（4）
语音识别及语音合（3）
Pjsips与mqtt（17）
Linux内存管理子（2）
笔记本内核升级及（5）
Linux内核态进程（14）
Linux内核设计模（1）
Linux开发常用命（22）
Ubuntu常见系统故（19）

init进程_Ubuntu（3）

Grub与wingrub（4）

Ubuntu系统启动（5）
Tools Packa（34）

fstools（2）

内核热插拔事件的（3）

shell相关（2）

json-c0.9库与jso（1）

Tc：traffic-cont（3）

uci（2）

Ctags与Taglist（3）

uhttpd（7）

busybox（0）

netifd（2）

procd（0）

ubus（1）

Uboot（5）
Linux-2014（70）

I2C接口存储芯片(（3）

LED灯添加删除（4）

单板启动重要函数（1）

flash芯片更换（20）

内核重要函数（8）
TMP:boot/busybox（1）
人脸识别openCV（4）
摄像头（2）
openSIPS与流媒体（4）
Samba服务器安装（1）
Web服务器与Cgi/i（7）
Linux内核调试（10）
内核网络编程（18）
shell（1）
Android安卓（45）

Goldfish安卓模拟（4）

Android系统移植（5）

安卓驱动（1）

Android系统集成（7）

Cubietruck（1）

MTK的解决方案（8）

S3c6410（8）
原创--TMP（46）
openWRT（145）

brctl网桥（3）

lua（19）

系统机制（4）

智能路由：必备功（8）

基本路由配置：联（1）

防火墙/DMZ/UPNP（3）

dnsmasq与dnsmasq（1）

linux常用网络命（0）

netifd（1）

netstat（2）

文件系统（9）

应用软件包及内核（5）

系统日志syslogd+（1）

procd+libubox（2）

DHCP移植（1）

Hostapd与wpa移植（5）

Iptables移植（6）

Arm移植wifi驱动（5）

Ifconfig移植：网（2）

Iwpriv移植：Wifi（5）

Web服务器（2）

迅雷（0）

ARM移植openWRT（5）

工具（2）

pppoe拨号上网（2）

刷机（5）

底层驱动（11）

系统编译框架及脚（16）

LuCI（19）
driver（22）
名词概念（7）
Linux（148）

Cfg80211内核（2）

物理地址与虚拟地（1）

按键驱动（1）

Timer定时器（1）

linux_Platform设（1）

linux_tty串口驱（3）

flash驱动（3）

I2c子系统（3）

/sys与/proc（10）

MMU、cache、DDR（3）

Mips裸机（7）

pinctrl（2）

leds子系统（3）

workqueue与taskl（1）

input子系统（3）

内核机制（4）

开源应用工具移植（2）

编译链接vmlinux.（5）

函数解读（7）

内核挂死（3）

DTS设备树（4）

内核调试Kernel&n（3）

内核移植与升级（10）

根文件系统（22）

软件配置及工具链（7）

rootfs与Initramf（4）
Uboot（23）
代码检视&&心得（1）
未分配的博文（9）

文章存档

2015年（116）

2014年（569）

我的朋友

相关博文

OpenWrt路由器iptables防火墙自行手工设置示例

分类：嵌入式

2014-09-28 18:46:22

原文地址：http://blog.appdevp.com/archives/282

OpenWrt默认安装自带了iptables防火墙，并且默认设置了不少规则和策略，尤其是自定义了很多用户规则链，看起来比较复杂。
用iptables -nL 查看，会发现特别多自定义用户链，
root@myopenwrt:~# iptables -nL
Chain INPUT (policy ACCEPT)
target prot opt source destination
bw_ingress all — 0.0.0.0/0 0.0.0.0/0
ACCEPT all — 0.0.0.0/0 0.0.0.0/0
ACCEPT all — 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
ACCEPT all — 0.0.0.0/0 0.0.0.0/0
input_rule all — 0.0.0.0/0 0.0.0.0/0
input all — 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy DROP)
target prot opt source destination
bw_ingress all — 0.0.0.0/0 0.0.0.0/0
ingress_restrictions all — 0.0.0.0/0 0.0.0.0/0
egress_restrictions all — 0.0.0.0/0 0.0.0.0/0
ACCEPT all — 0.0.0.0/0 0.0.0.0/0
ACCEPT all — 0.0.0.0/0 0.0.0.0/0
ACCEPT all — 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
forwarding_rule all — 0.0.0.0/0 0.0.0.0/0
forward all — 0.0.0.0/0 0.0.0.0/0
reject all — 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all — 0.0.0.0/0 0.0.0.0/0
ACCEPT all — 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
ACCEPT all — 0.0.0.0/0 0.0.0.0/0
output_rule all — 0.0.0.0/0 0.0.0.0/0
output all — 0.0.0.0/0 0.0.0.0/0

Chain bw_ingress (2 references)
target prot opt source destination
all — 0.0.0.0/0 0.0.0.0/0 bandwidth –id total1-download-2-449 –type combined –current_bandwidth 0 –reset_interval 2 –reset_time 2 –intervals_to_save 449
all — 0.0.0.0/0 0.0.0.0/0 match-set local_addr_set dst bandwidth –id bdist1-download-minute-15 –type individual_dst –reset_interval minute –intervals_to_save 15
all — 0.0.0.0/0 0.0.0.0/0 bandwidth –id total2-download-minute-359 –type combined –current_bandwidth 0 –reset_interval minute –intervals_to_save 359
all — 0.0.0.0/0 0.0.0.0/0 match-set local_addr_set dst bandwidth –id bdist2-download-900-24 –type individual_dst –reset_interval 900 –reset_time 900 –intervals_to_save 24
all — 0.0.0.0/0 0.0.0.0/0 bandwidth –id total3-download-180-479 –type combined –current_bandwidth 0 –reset_interval 180 –reset_time 180 –intervals_to_save 479
all — 0.0.0.0/0 0.0.0.0/0 match-set local_addr_set dst bandwidth –id bdist3-download-hour-24 –type individual_dst –reset_interval hour –intervals_to_save 24
all — 0.0.0.0/0 0.0.0.0/0 bandwidth –id total4-download-7200-359 –type combined –current_bandwidth 0 –reset_interval 7200 –reset_time 7200 –intervals_to_save 359
all — 0.0.0.0/0 0.0.0.0/0 match-set local_addr_set dst bandwidth –id bdist4-download-day-31 –type individual_dst –reset_interval day –intervals_to_save 31
all — 0.0.0.0/0 0.0.0.0/0 bandwidth –id total5-download-day-365 –type combined –current_bandwidth 0 –reset_interval day –intervals_to_save 365
all — 0.0.0.0/0 0.0.0.0/0 match-set local_addr_set dst bandwidth –id bdist5-download-month-12 –type individual_dst –reset_interval month –intervals_to_save 12

Chain egress_restrictions (1 references)
target prot opt source destination
egress_whitelist all — 0.0.0.0/0 0.0.0.0/0

Chain egress_whitelist (1 references)
target prot opt source destination

Chain forward (1 references)
target prot opt source destination

Chain forwarding_rule (1 references)
target prot opt source destination

Chain ingress_restrictions (1 references)
target prot opt source destination
ingress_whitelist all — 0.0.0.0/0 0.0.0.0/0

Chain ingress_whitelist (1 references)
target prot opt source destination

Chain input (1 references)
target prot opt source destination

Chain input_rule (1 references)
target prot opt source destination

Chain output (1 references)
target prot opt source destination

Chain output_rule (1 references)
target prot opt source destination

Chain pf_loopback_B (0 references)
target prot opt source destination

Chain reject (1 references)
target prot opt source destination
REJECT tcp — 0.0.0.0/0 0.0.0.0/0 reject-with tcp-reset
REJECT all — 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable

——————————————————————————————————-
上面的显示结果，是不是看着就有点懵了！建议直接清空好了，完全可以根据自己的需要重新配置iptables，可满足一般用户需求。
下面我们来一步一步设置，完全根据自身需要进行定制。

root@myopenwrt:~#vi /etc/firewall.user
用户自定义的防火墙规则可以存在/etc/firewall.user文件中，实际就是iptables具体的设置命令。

##首先清空系统默认规则（filter表）
iptables -F #删除所有规则链中的所有规则
iptables -X #删除用户自定义规则链
iptables -Z #计数清零

#设置各规则链的默认策略。
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i br-lan -j ACCEPT
iptables -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT

iptables -A FORWARD -i br-lan -o pppoe-wan -j ACCEPT
iptables -A FORWARD -m state –state RELATED,ESTABLISHED -j ACCEPT
#iptables -A FORWARD -p tcp –dport 10080 -j ACCEPT
#iptables -A FORWARD -p udp –dport 10080 -j ACCEPT

##清空系统默认规则（nat表）
iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z

iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

##pppoe拨号网络支持nat
iptables -t nat -A POSTROUTING -i br-lan -o pppoe-wan -j MASQUERADE
#iptables -t nat -A PREROUTING -p tcp –dport 10080 -j DNAT –to-destination 10.10.7.2
#iptables -t nat -A PREROUTING -p udp –dport 10080 -j DNAT –to-destination 10.10.7.3

##清空系统默认规则（mangle表）
#iptables -t mangle -F
#iptables -t mangle -X
#iptables -t mangle -Z
#iptables -t mangle -A PREROUTING -i pppoe-wan -j TTL –ttl-inc 1
#iptables -t mangle -A POSTROUTING -o pppoe-wan -j TTL –ttl-set 128
#iptables -t mangle -A POSTROUTING -o pppoe-wan -j IPID –ipid-pace 1
#iptables -I FORWARD -p tcp –tcp-flags RST RST -j DROP

阅读(15038) | 评论(0) | 转发(0) |

上一篇：Mii.c分析：eth0: link downeth0: link up, 100Mbps, full-duplex, lpa 0x45E1

下一篇： iptables的应用实例

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6