OpenWrt 中的 Netfilter

最新推荐文章于 2024-07-08 12:31:46 发布
最新推荐文章于 2024-07-08 12:31:46 发布
阅读量2k 收藏 3
点赞数
分类专栏: OpenWrt 文章标签: openwrt 防火墙
原文链接:https://openwrt.org/docs/guide-user/firewall/netfilter_iptables/netfilter_openwrt
版权

OpenWrt 中的 Netfilter

本节的目的是简要描述 netfilter/iptables 子系统,然后深入研究 OpenWrt 的细节。

Netfilter 和 iptables 概述

Netfilter是Linux 内核中的数据包过滤框架。它允许进行数据包过滤、网络地址[和端口] 转换 (NA[P]T) 和其他数据包操作。它不仅仅是一个简单的防火墙,而且非常强大!

Netfilter 在内核网络堆栈中具有代码挂钩(NF_HOOK_ 定义的一些函数)和一组 netfilter 内核模块(主要以nf_,ipt_xt_ 开头)

iptables是内核 netfilter 子系统的用户接口。iptables 应用程序使用 netfilterlibiptc库与 netfilter 内核模块进行通信。 libiptc与网络堆栈一样,使用 BSD 套接字接口在用户空间和内核空间之间进行通信。

有很多 netfilter/iptables 参考,所以我们不会在这里重复,主要是因为这几乎是纯粹的剪切和粘贴工作,精度水平有限。一些很好的参考是:

OpenWrt 中的 Netfilter 功能

本节包含 OpenWrt 提供的 netfilter 的高级视图。

网络过滤器功能

netfilter 功能存在于内核中,可以编进内核,也可以是可加载的内核模块。默认情况下,OpenWrt 使用一组有用的 netfilter 功能构建内核,用于强大的路由器。

  • NAT (网络地址转换)

  • REJECT (拒绝)

  • REDIRECT (重定向)

  • CONNTRACK (跟踪)

  • LOG (日志)

  • TCPMSS

  • COMMENT

  • MATCH:MAC、STATE(连接状态)、TIME、MULTIPORT(一个或多个IP端口)、LIMIT……

  • MARK

  • MASQUERADE

Netfilter 用户接口 (iptables)

主要存在iptablesip6tables两个用户接口

网络过滤器表

默认情况下,OpenWrt 使用三个 netfilter 表:filternatmangle。这些足以提供所需的 netfilter 功能。

另外两个 netfilter 表是:raw, security.

raw表可以通过make menuconfig Kernel modules → Netfilter Extensions → kmod-ipt-raw添加到内核中。这将启用 netfilterIP_NF_RAW配置:

config IP_NF_RAW
	tristate  'raw table support (required for NOTRACK/TRACE)'
	help
	  This option adds a `raw' table to iptables. This table is the very
	  first in the netfilter framework and hooks in at the PREROUTING
	  and OUTPUT chains.
	
	  If you want to compile it as a module, say M here and read
	  <file:Documentation/kbuild/modules.txt>.  If unsure, say `N'.

security表似乎不在 OpenWrt 菜单配置中。内核ipv4/netfilter/Kconfig中有对它的引用,但不清楚如何启用内核支持

config IP_NF_SECURITY
	tristate "Security table"
	depends on SECURITY
	depends on NETFILTER_ADVANCED
	help
	  This option adds a `security' table to iptables, for use
	  with Mandatory Access Control (MAC) policy.
	 
	  If unsure, say N.

fw3 和 netfilter 详细示例

如前所述,有大量的 netfilter 参考和示例。但是,我发现跟踪特定 fw3 规则从定义到数据包处理(“ 从头到尾 ”)的每个步骤很有帮助。

此示例fw3 应用程序 配置规则允许从路由器WAN侧的任何站到LAN 侧的任何站的SSH访问 。

config rule
	option src 'wan'
	option dest 'lan'
	option proto 'tcp'
	option dest_port '22'
	option target 'ACCEPT'
	option name 'ACCEPT-SSH-WAN-LAN'

fw3 UCI 将规则解析为以下 iptables 规则(还有一些用于上下文,隐式创建)。规则按照它们在fw3 print列表中的显示方式列出

...
iptables -t filter -N zone_lan_dest_ACCEPT
iptables -t filter -N zone_lan_dest_REJECT
...
iptables -t filter -N zone_wan_forward
...
# TCP/22 from WAN jumps to zone_lan_dest_ACCEPT chain
iptables -t filter -A zone_wan_forward -p tcp -m tcp --dport 22 -m comment --comment "!fw3: ACCEPT-SSH-WAN-LAN" -j zone_lan_dest_ACCEPT
...
# All TCP from WAN jumps to zone_lan_dest_REJECT
iptables -t filter -A zone_wan_forward -p tcp -m comment --comment "!fw3: REJECT-ALL-WAN-LAN" -j zone_lan_dest_REJECT
...
# zone_lan_dest_ACCEPT jumps to final ACCEPT target
iptables -t filter -A zone_lan_dest_ACCEPT -o br-lan -m comment --comment "!fw3" -j ACCEPT
...
# All traffic jumps to final reject target
iptables -t filter -A zone_lan_dest_REJECT -o br-lan -m comment --comment "!fw3" -j reject
...
# FORWARD hook, jump to chain zone_wan_forward
iptables -t filter -A FORWARD -i eth1 -m comment --comment "!fw3" -j zone_wan_forward

上面的zone_lan_dest_ACCEPTzone_lan_dest_REJECTzone_wan_forward 链的创建,主要是出于方便,这样他们可以被添加和容易地除去。
添加到zone_wan_forward链中的第一条规则为 tcp/22 ( SSH )执行数据包匹配,如果通过,则跳转到zone_lan_dest_ACCEPT 链。再往下走,这条链在输出接口br-lan(lan-bridge)上匹配 并跳转到最终ACCEPT目标。

通常,每个匹配项和目标都是唯一的内核模块。TCP /22 使用 xt_tcpudp模块,注释使用xt_comment模块(总是返回成功)。mangle TCPMSS 目标使用xt_TCPMSS;该reject目标使用ipt_REJECT。在ACCEPTDROP目标是基本无操作:ACCEPT允许网络堆栈继续处理,DROP立即丢弃该数据包。

如果“ TCP /22”规则不匹配,netfilter 将继续匹配所有TCP流量(非SSH)的下一个规则并跳转到zone_lan_dest_REJECT。下一个规则链跳转到最终reject目标,该目标将ICMP数据包发回 给发起者

最后,zone_wan_forward链被附加到 FORWARD 链,匹配eth1(WAN 接口) 的输入。FORWARD 这个钩子在内核 ipv4 网络堆栈中被静态调用(参见 ./net/ipv4/ip_forward.c:ip_forward 中的NF_HOOK调用)

综上这呈现一个概念规则就是:允许从WAN 到LAN 的TCP / SSH流量。

fw3 和 netfilter 附加功能

除了 OpenWrt 版本中提供的标准 netfilter 功能之外,这些功能都很有用(但不是必需的)。

ipset

ipset是一种 netfilter 机制,用于快速管理类似实体的列表。

一种强大的用途是阻止垃圾邮件。通常会添加一条规则来拒绝/丢弃来自每个来源的流量。在标准防火墙中,以下规则阻止单一来源向邮件服务器发送大量垃圾邮件(SMTP是端口 25)。

目前,OpenWrt 中最可维护的机制是将规则添加到WAN区域中的新链中/etc/firewall.user

iptables -N spam_block
iptables -A forwarding_rule -j spam_block
iptables -t filter -A spam_block -s 103.110.144.0/22 -p tcp -m tcp --dport 25 -j DROP
iptables -t filter -A spam_block -s 114.67.64.0/18 -p tcp -m tcp --dport 25 -j DROP
...

有数千个垃圾邮件源,因此(自定义)spam_block 链中的规则数量可能非常大。

使用 ipset

这个例子展示了如何使用ipset来阻止大量垃圾邮件发送者!

还没有测试…

config ipset
	option external         spam_block
	option match            'dest_ip dest_port'
	option family           ipv4
	option storage          hash

将每个规则添加到 ipset 变得难以管理。因此一般将 iptable 规则放入/etc/firewall.user.

★临★
关注
专栏目录
openwrt tcpdump 在路由网口不能捕获响应的数据包
wgl307293845的博客
03-20 751
问题描述: 异常log,可以看到只能看到出去的数据包,无法看到回复的数据包 root@OpenWrt:/# tcpdump -i wlan0 icmp 03:08:57.531335 IP 192.168.1.189 > 14.215.177.38: ICMP echo request, id 3, seq 29399, length 40 03:08:58.544088 IP 19...
openwrt-21.02】mt7981 openwrt 增加mwan3支持,实现load balancing/failover
最新发布
wgl307293845的博客
07-12 184
mwan3提供以下功能和能力基于数值权重分配的出站 WAN 流量负载均衡或使用多个 WAN 接口进行故障转移使用重复测试监控每个 WAN 连接,如果第一个 WAN 接口失去连接,则可以自动将出站流量路由到另一个 WAN 接口创建出站流量规则以自定义哪些出站连接应使用哪个 WAN 接口(基于策略的路由)。这可以根据源 IP、目标 IP、源端口、目标端口、IP 协议类型等进行定制支持物理和/或逻辑 WAN 接口可以在 globals 部分配置用于标记传出流量的防火墙掩码(默认)。mwan3。
万字讲解OpenWrt防火墙iptables,并使用UCI配置防火墙
董哥的黑板报
10-25 1万+
一、防火墙简介 “防火墙”(Firewall)术语来自建筑设计领域,是指用来起分割作用的墙,当某一部分 着火时可以减缓或保护其他部分免受火灾影响。在计算机网络防火墙是在两个或多个 网络之间用于设置安全策略的一个或多个系统的组合。防火墙起到隔离异常访问的作用, 仅允许可靠的流量通过,从而保护了家庭和企业内部网络信息的安全 下图是一 个典型的防火墙部署结构 Linux防火墙通常包含两部分,...
OpenWRT WIFI连接白名单
aswasw的博客
07-08 273
option key 'xxxxxxxx' ‘密码。list maclist 'XX:XX:XX:XX:XX:XX' ‘可以连接的设备MAC。配置修改完成后,执行一下 /etc/init.d/network restart 使配置生效。配置位置: /etc/config/wireless。
OpenWrt 防火墙组件
我的学习笔记
08-25 1405
OpenWrt 防火墙组件 OpenWrt 防火墙实现是过滤通过路由器的网络流量的机制,在高层次上,将发生以下三种结果之一:数据包被丢弃(丢弃)而不采取任何进一步行动、拒绝(对源进行适当的响应)或接受(路由到目的地)。 OpenWrt 防火墙围绕 Linux netfilter项目展开。OpenWrt 防火墙有以下主要组件: 该firewall3应用 内核网络堆栈的一组 netfilter 钩子 一组处理网络数据包检查的 linux 内核模块 一组用于配置网络堆栈和防火墙模块的内核调整参数 Firew
OpenWrt 防火墙概述
我的学习笔记
08-26 5337
防火墙概述 OpenWrt 使用 firewall3 ( fw3) netfilter/iptable 规则构建器应用程序。它在用户空间运行,将配置文件解析为一组iptables规则,将每个规则发送到内核 netfilter 模块。 fw3目的 对于典型的路由器,netfilter 规则集可能非常复杂。这是必然的;每个规则都针对路由器提供的离散功能进行定制,以保护其支持的网络,提供 NAT以节省稀缺的IPv4 地址。一个典型的路由器有超过 100 条旨在支持数据包路由的规则。 OpenWRT 使用 fw3
netfilter
nongfuchui的博客
08-28 974
#firewalld&amp;netfilter permissive,遇到真正需要阻断时不会真正阻断,只会提醒 在centos7以前叫netfilter,在7称之为netfilter 由于好多服务受限于selinux,并且开启selinux会增大运营成本, 所以大多时候会处于关闭状态 在centos7 firewalld是默认开启的,下图显示如何开启netfilter关闭fi...
【智能路由器】基于netfilter的高效广告植入(非代理方式)
热门推荐
图像、视频、算法、Linux
11-30 2万+
【智能路由器】系列文章连接 http://blog.csdn.net/u012819339/article/category/5803489 一 广告植入最终目标 路由器子网下的设备访问外部web服务器时,其数据需要流经网关(这里就是路由啦),我们可以在路由器设立“检查站”,对流经的数据包先“调戏”一番,如果对某个数据包“满意”,就会注入我们的—— js脚本。 广告植入的目标是要
openwrt 内核编译纪要
qq_18292553的博客
01-27 2980
错误1:error: linux/netfilter/xt_DSCP.h No such file or directory 解决办法:自己编写xt_DSCP.h部分代码 内容如下: #ifndef _XT_DSCP_TARGET_H #define _XT_DSCP_TARGET_H #include #include /* target info */ struct x
OpenWRT NAT配置
weixin_41294460的博客
02-20 2万+
OpenWRT防火墙工具fw3之NAT篇 NAT的原理 网卡收到数据包,首先进行的是DNAT检查,检查数据包的包头是否符合DNAT的规则,如果符合,将数据包的包头目的地址(包括端口,后文不在赘述)按规则替换。 替换完目的地址后,根据新的包头匹配路由表进行路由,确定数据包从哪个端口出去。 路由完成后再检查是否符合源地址替换规则(SNAT),如果符合源地址替换规则,则按照规则将数据包做SNAT,然后将...
OpenWRT Wifi自动启动
一座明亮的小塔
04-18 2901
本人所写的博客都为开发之遇到问题记录的随笔,主要是给自己积累些问题。免日后无印象,如有不当之处敬请指正(欢迎进扣群 24849632 探讨问题),如需转载,请复制全部内容包括此行; 经过近十天的折腾,MT7628的WIFI驱动算是移植成了,但移植成功驱动是远远不够的,我们还需要使用它,那么就从自动加载内核驱动开始吧!经过摸索,MT7628WIFI模块算是成功了。先上两张图片,证明一下 ...
netfilter框架完全解析
09-14
很完整的netfilter 框架解析。对想了解网络底层的童鞋很有用
利用netfilter NFQUEUE实现网关认证的HTTP重定向
01-14
摘 要:利用netfilter的NFQUEUE机制,将未认证用户的TCP 80端口流量发送至用户态进程redir_http,redir_http使用原始套接字发送应答数据分组,在用户态实现HTTP重定向功能。这种实现方法既保证了重定向的高性能,又能避免Linux内核的繁琐程序开发,降低程序开发复杂度,提高系统运行的稳定性。
Linux下OpenWebmail邮件服务器配置.pdf
07-14
Linux下OpenWebmail邮件服务器配置.pdf
Openwrt路由搭建pptp-server操作说明
wgl307293845的博客
10-22 5131
ssh登录到路由后台 使用putty或者SecureCRT软件 安装PPTP软件包 opkg update opkg install pptpd kmod-nf-nathelper-extra kmod-mppe 防火配置 # Configure kernel parameters cat << EOF >> /etc/sysctl.conf net.netfilter.nf_conntrack_helper=1 EOF /etc/init.d/sys...
NetFilter/iptables防火墙设置
zhangxinrun的专栏
01-03 1976
<br />大多数主要的Linux发行商,包括SuSE,在防火墙设置方面都有某些独特的用户接口特征。他们这样并没有错,但是这样我就无法直接得到最想要的配置,所以只好自己手动设置。Iptable man页面完全是个依照iptable命令行句法的文件,它不提供关于将不同规则的防火墙结合起来的指导说明。你可以搜索到许多零散的关于iptables的信息,但是这些都不足以教会我想要弄明白的东西。最后我用运行着SuSE Linux Pro10.0 的一个Vmware虚拟机终于弄清楚了到底应该怎样做。下面就是用iptab
linux内核netfilter,linux内核netfilter实现url重定向
weixin_39760295的博客
04-29 242
原标题:linux内核netfilter实现url重定向一、NetFilterNetFilter在2.4.x内核引入,成为linux平台下进行网络应用的主要扩展,不仅包括防火墙的实现,还包括报文的处理(如报文加密、报文分类统计等)等。1、NetFilter数据结构:struct nf_hook_ops {struct list_head list;/* User fills in from he...
OpenWRT文wiki
02-21
OpenWRT文wiki是一个关于OpenWRT的简体文维基百科页面,提供了关于OpenWRT的各种教程、FAQ和其他相关信息。你可以在该页面上找到关于OpenWRT的安装、配置、使用和故障排除等方面的详细指南和解答。 该维基百科页面包含了大量的OpenWRT教程和文档,可以帮助你了解和使用OpenWRT。你可以在该页面上找到如何安装OpenWRT固件、如何配置网络和无线设置、如何使用OpenWRT的各种功能和插件等信息。 此外,OpenWRT文wiki还提供了FAQ页面,其包含了一些常见问题和解答,可以帮助你解决在使用OpenWRT过程遇到的一些常见问题。 你可以通过访问以下链接来查看OpenWRT文wiki页面: [OpenWrt简体文Wiki](http://my.oschina.net/alphajay/blog/28815)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值