OpenWrt 防火墙应用--uci工具

最新推荐文章于 2024-05-12 08:41:30 发布
最新推荐文章于 2024-05-12 08:41:30 发布
阅读量1.1k 收藏 9
点赞数 1
分类专栏: OpenWrt 防火墙 文章标签: linux openwrt iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/esansiy/article/details/120308696
版权
本文介绍了OpenWrt防火墙如何利用UCI工具进行配置管理,包括defaults、zone、rule和redirect参数表,以及读取和写入命令,涉及端口转发、DMZ隔离和iptables规则的设定。
摘要由CSDN通过智能技术生成

OpenWrt 防火墙–UCI工具

OpenWrt 防火墙--UCI工具

OpenWrt 防火墙

openwrt 下的 NAT、DMZ、firewall、rules 都是由配置文件 “/etc/config/firewall” 进行控制管理的。此文件可以使用 UCI 进行控制,也可以使用 vi 编辑器直接修改。
该文件最后会在 /etc/init.d/firewall 启动的时候由 UCI 进行解码并且生成 iptables 规则生效。

2 uci

UCI是集中式配置信息管理接口(Unified Configuration Interface)的缩写,他是OpenWrt引进的一套配置参数管理系统。UCI管理了OpenWrt下最主要的系统配置参数并且提供了简单、容易、标准化的人机交互接口。UCI中已经包含了网络配置、无线配置、系统信息配置等作为基本路由器所需的主要配置参数。同时UCI也可以帮助开发人员快速的建立一套基于OpenWrt的智能路由产品控制界面。

UCI的配置文件全部存储在/etc/config目录下。

文件 作用
/etc/config/dhcp 面向LAN口提供的IP地址分配服务配置
/etc/config/dropbear SSH服务配置
/etc/config/firewall 路由转发,端口转发,防火墙规则
/etc/config/network 自身网络接口配置
/etc/config/system 时间服务器时区配置
/etc/config/wireless 无线网络配置

模式

config 节点 以关键字 config 开始的一行用来代表当前节点
section-type 节点类型
section 节点名称
option 选项 表示节点中的一个元素
key 键
value 值
list 列表选项 表示列表形式的一组参数。
list_key 列表键
list_value 列表值

2.1 参数表

config defaults 防火墙默认参数表
是否必须设置 说明
input ACCEPT 设置 INPUT 链(chain) 的过滤策略,可选值: ACCEPT 允许, REJECT 拒绝
output ACCEPT 设置 INPUT 链(chain) 的过滤策略,可选值: ACCEPT 允许, REJECT 拒绝
forward REJECT 设置 INPUT 链(chain) 的过滤策略,可选值: ACCEPT 允许, REJECT 拒绝
syn_flood 1 是否启用防洪水攻击。可选值:0关闭,1启用。
synflood_rate string 设置 SYN 包传输洪水攻击检测比率值,默认为:25 单位(包/秒)
synflood_burst string 设置 SYN 包传输比率值识别洪水攻击,默认为:50 单位(包/秒)
disable_ipv6 1 设置关闭掉 IPv6 的防火墙策略, 可选值:0忽略,1关闭。

这部分参考值使用系统默认值即可,无需修改:

config defaults
        option syn_flood        1
        option input            ACCEPT
        option output           ACCEPT
        option forward          REJECT
最低0.47元/天 解锁文章
esansiy
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
09.OpenWrt-防火墙
shuige2215的博客
11-25 2869
防火墙OPenWrt非常重要的一部分,基础篇只说防火墙的配置和一些常用的命令.
openwrt上用stun实现NAT类型检测
awe1p
05-27 6130
一、安装stun: 相关组件下载参照:https://github.com/awe1p/stuncd到openwrt源代码路径git glone https://github.com/awe1p/stun package/network/stunmake menuconfig,选中新增的stun-client和stund,保存退出make V=s 镜像编译并烧录后,多了两个指令:stund stun-client。使用方法参照官网所述:https://openwrt.org/docs/guide-user/
OpenWrt上配置原生IPv6 NAT,,实现校园网路由器使用ipv6
weixin_51558138的博客
05-20 1万+
OpenWrt上配置原生IPv6 NAT,,实现校园网路由器使用ipv6
OpenWrt项目UCI配置介绍
最新发布
酌沧
05-12 977
UCI(Unified Configuration Interface)是 OpenWrt 项目中使用的一种配置管理系统。它旨在为嵌入式设备提供一个统一且易于理解的配置接口。UCI 主要用于简化 OpenWrt 系统的各种配置过程,使得管理网络、服务和其他系统参数变得更加方便。
OpenWRT的NAT环回似乎失效问题
aplsc的专栏
01-25 1万+
自己编译了一个OpenWRT作为主路由,但是一开始端口转发无效,经过一番摸索,端口转发问题解决,但是在内网使用ddns外网+端口号无法访问又出现了,经过另外的折腾终于解决,现在记录一下,希望对存在类似问题的朋友有帮助。 OpenWRT版本号: 固件版本 OpenWrt R22.1.1 / LuCI Master (git-21.335.48743-5f363d9) 内核版本 5.10.93 一、端口转发失效的问题 有人说是内核的问题,有人说是docker的问题,再重新编译也比较麻烦,看看能不能省事哪里设置一
openwrt vpn防火墙设置
石牌桥网管笔记
01-04 2421
openwrt openvpn client firewall config
树莓派玩转openwrt软路由:5.OpenWrt防火墙配置及SSH连接
qq_42523645的博客
10-11 3243
树莓派OpenWrt配置防火墙以及SSH访问认证
OpenWrt编译工具链】mipsel-openwrt-linux-gcc
04-09
OpenWrt-Toolchain-ramips-mt7688_gcc-4.8-linaro_uClibc-0.9.33.2.Linux-x86_64
20200328.openwrt-x86-64-combined-squashfs.img_openwrt-x86-64_ope
10-01
标题中的"20200328.openwrt-x86-64-combined-squashfs.img"指的是OpenWrt项目在2020年3月28日发布的针对x86-64架构的固件镜像文件。OpenWrt是一个高度模块化、完全可配置的嵌入式Linux发行版,主要用于路由器和其他...
openwrt-gdq-winter2022-x86-64-generic-squashfs-uefi.img
06-22
eSir openwrt 高大全 2022 winter uefi 固件版本
openwrt-gdq-autumn2022-x86-64-generic-squashfs-legacy.img
12-02
eSir openwrt 高大全 2022 autumn legacy 固件版本
openwrt配置手册
08-07
openwrt的配置手册,记录了无线网,局域网,广域网的配置方法,供大家参考
openwrt-gdq-winter2022-x86-64-generic-squashfs-legacy.img
06-22
eSir openwrt 高大全 2022 winter legacy 固件版本
Openwrt的IPV6 NAT的实现
wherelse的博客
07-29 8517
Openwrt’s implementation of IPV6 NAT 文章同时上传于本人独立博客 wherelse.cc,欢迎访问 身处校园网环境,只能通过 PPPOE 获取到一个 /64 的 IPV6 地址,如果想使用路由器则只能通过 IPV6 NAT 或者 relay 中继的方式获得地址。relay方式可以获得公网地址,但是我尝试了很多次,即时获得了公网地址,也不能成功的上网,不知问题出在何处,转而继续研究 IPV6 NAT。 IPV6 NAT 其实并不推荐,因为路由下的设备就不能获得公网的 I
Openwrt中动态IPV6 防火墙的正确设置方法
瑞哥的博客
02-24 3626
环境:光猫桥接+公网IPV6问题:动态IPV6地址不知道怎么设置防火墙解决办法:模糊匹配前缀,特定后缀背景:将家中光猫桥接后,获得了公网的IPV6地址,可以从外部用IPV6访问家中的设备,但IPV6地址前缀是运营商分发的,每次拨号会变,openwrt中的防火墙不能写固定地址,不然每次重启防火墙就失效了解决过程:使用IPV6地址模糊匹配前段,精确匹配后端的方式。
万字讲解OpenWrt防火墙iptables,并使用UCI配置防火墙
董哥的黑板报
10-25 1万+
一、防火墙简介 “防火墙”(Firewall)术语来自建筑设计领域,是指用来起分割作用的墙,当某一部分 着火时可以减缓或保护其他部分免受火灾影响。在计算机网络中,防火墙是在两个或多个 网络之间用于设置安全策略的一个或多个系统的组合。防火墙起到隔离异常访问的作用, 仅允许可靠的流量通过,从而保护了家庭和企业内部网络信息的安全 下图是一 个典型的防火墙部署结构 Linux防火墙通常包含两部分,...
【笔记】openwrt - full cone NAT(全锥NAT)、解决“arp_cache: neighbor table overflow!”
热门推荐
LawssssCat的博客
01-25 4万+
最近安装了比特彗星(bitcomet)后,老是收到警告说日志的接收超过每秒上限了。一看日志,好家伙,一堆的日志,还是kernel的,还是info的?网上找问题原因、解决方法,最接近的就是lede的这个issue两个东西共同造成的在openwrt中打开了FullCone NAT(全锥NAT)在比特彗星(bitcomet)中默认设置了network.max_udp_pkt_per_sec(每秒最大udp数据包发送量)为1000但至于这些东西是什么?做什么的?什么意思?为啥这样这样就会有日志警告?
centos7 iptables 端口转发 保存_iptables 概念及相关规则学习
weixin_39907939的博客
11-24 686
iptables 不是防火墙,而是一个客户端,通过执行命令将防火墙的配置放置在真正的防火墙框架中,位于用户空间,netfilter 才是真正的防火墙安全框架,位于内核空间。我们可以通过 iptables 对进入主机和从主机的 ip 以及端口进行限制,还可以进行网络转发。下面图片来源于博客 iptables详解:iptables 概念链如上图所示,”链“ 表示的是数据流经过的一个一个的关卡,一共有五...
商业虚拟专用网络技术五IPSec
weixin_42227328的博客
03-24 9291
IPSec虚拟专用网:就是利用开放的公众IP/MPLS网络建立专用数据传输通道,将远程的分支机构、移动办公人员等连接起来。这个专用数据传输通道称为IPSec隧道,位于OSI模型的第三层,传送IP包。 IPSec实现访问控制、机密性、完整性校验、数据源验证、拒绝重播报文等安全功能。IPSec是运行在IP网络层,其上层TCP、UDP以及依赖于这些协议的应用协议都受到隧道的保护。
arm-openwrt-linux-gcc
03-06
arm-openwrt-linux-gcc是一个用于在Linux下进行交叉编译的工具。它是GCC编译器的一个变体,专门用于ARM架构的OpenWrt操作系统。通过使用arm-openwrt-linux-gcc,开发人员可以在主机上编译ARM架构的应用程序,并将其部署到OpenWrt设备上。 以下是一个使用arm-openwrt-linux-gcc进行交叉编译的示例[^1]: ```shell arm-openwrt-linux-gcc -o hello hello.c ``` 上述命令将使用arm-openwrt-linux-gcc编译名为hello.c的源文件,并生成一个名为hello的可执行文件。 请注意,使用arm-openwrt-linux-gcc进行交叉编译时,需要提供正确的交叉编译工具链和目标平台的配置参数。这些参数可以通过配置文件或命令行选项进行设置,具体取决于项目的需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值