openWrt firewall分析以及nftables配置方法

已于 2025-01-15 22:44:27 修改
阅读量6.9k 收藏 22
点赞数 12
分类专栏: openwrt firewall nftables 文章标签: linux
于 2024-08-09 15:41:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39580537/article/details/141056845
版权

目录

一、openwrt原生页面

二、配置文件 

defaults

zone

forwarding

rule

include

三、配置生效流程

总流程

procd初始化注册config.change事件流程

四、Nftables

ruleset层级操作常用命令

表table

Family集合

链chain

        常用命令

参数解析

规则rule

        常用命令

一、openwrt原生页面

二、配置文件 

        如下为firewall的uci配置文件,该配置文件位于/etc/config目录下,下图中包括了defaults、zone、forwarding三个部分;

defaults

defaults部分声明了不属于特定区域的全局防火墙设置

config defaults

option syn_flood '1'   #布尔值,启动SYN洪水攻击保护

option input 'ACCEPT'  #字符串,设置过滤表INPUT链的策略

option output 'ACCEPT'   #字符串,设置过滤表OUTPUT链的策略

option forward 'REJECT'   #字符串,设置过滤表FORWARD链的策略

# option disable_ipv6  '1'   #布尔值,关闭ipv6防火墙

zone

zone安全域配置节

        一个安全域根据接口来划分,可以包含一个或多个接口,在源和目的之间进行转发、生成规则和重定向。输出的流量伪装是每一个安全域的基础控制。注意伪装是对即将报文离开的接口进行定义,是将报文的源ip转换为路由器的出口ip。

 

forwarding

forwarding转发配置节

        转发部分控制安全域之间的数据流量,可以使MSS(最大分片大小)为特定方向。

        一个转发规则仅代表一个方向。允许两个区域之间的双向流量,这需要两个转发规则,src和dest部分颠倒过来即可,转发配置节的类型为forwarding

        iptables规则生成该部分依靠需要链接跟踪工作来生成状态匹配。在src和dest安全域至少需要有一个连接跟踪通过MASQ或连接跟踪选项启用。如果没有启用连接跟踪机制,那报文只能单向通过,返回的报文将被拒绝。

rule

如下为rule规则部分

规则用于定义基本的接受、丢弃或拒绝规则,以允许或限制特定端口或主机的访问

规则定义如下:

        如果src和dest均指定,规则作用于转发流量

        如果仅指定了src,规则匹配流入本机的流量,即目的地址为防火墙的报文

        如果仅指定了dest,规则匹配本机作为源地址的流量

        如果src和dest均没有给出,则默认作用于本机作为源地址的流量

include

配置节

最低0.47元/天 解锁文章
rk3568 buildroot 移植openwrt rootfs: nft based firewall问题分析
十年通信老兵的技术修炼之路——从3G到5G,从地面基站到卫星通信。
01-11 182
本文主要将 buildroot kernel + openwrt rootfs搭配使用中遇到的 防火墙的问题,也就是openwrt 基于[[nftables wiki](https://wiki.nftables.org/wiki-nftables/index.php/Main_Page)](https://www.cnblogs.com/ryanyangcs/p/11611730.html) 的firewall使用问题
openwrtopenwrt PBR(Policy-Based Routin)介绍及使用
wgl307293845的博客
12-15 404
OpenWrt 中,PBR(Policy-Based Routing,基于策略的路由)是一种高级路由技术,允许根据特定的策略(如源地址、目的地址、端口等)来决定数据包的路由路径,而不是仅仅依赖于目的地址。这在需要对不同类型的流量进行不同处理时非常有用,比如将某些流量通过 VPN 路由,而其他流量则通过默认网关。以下是 OpenWrt 中实现 PBR 的基本步骤:安装 PBR 软件包:配置 PBR:定义路由表:启用并测试:日志和调试:通过 PBR,你可以实现更灵活的网络流量管理,满足复杂的网络需求说明假设
OpenWrt 防火墙配置 /etc/config/firewall
我的学习笔记
08-26 2万+
防火墙配置 /etc/config/firewall OpenWrt防火墙管理应用fw3具有三种配置机制 配置文件: /etc/firewall.user /etc/config/firewall 本 wiki 中的大部分信息将集中在配置文件和内容上。LuCI 和 UCI 接口是用户抽象,最终修改配置文件。 管理 主要的防火墙配置文件是/etc/config/firewall,编辑此文件以修改防火墙设置 在进行更改之前创建防火墙配置的备份 如果更改导致与路由器的连接丢失,您需要在故障安全模式下
OpenWrt网络配置详解
zhouwu_linux的专栏
03-05 2万+
OpenWrt网络配置方法,以及总结开发过程中的实例
IPV6公网暴露下的OPENWRT防火墙安全设置(只允许访问局域网中指定服务器指定端口其余拒绝)
m0_74824845的博客
03-05 592
则只需要匹配最后一段)**如何选择主机号后缀?**在查询出的多个地址中必须选择你DDNS做同步的那个ipv6地址的后缀。注意!你的IPV6必须为EUI64生成这样主机位不会变动。如果是stable-privacy生成则会每次生成不同的后缀,虽然有利于安全性,但是并不适用于防火墙规则编写。可以按照以下教程修改。如果你不想修改,每次的地址都完全随机难以匹配,因此目的地址栏只能空着,仅依靠目标端口实现限制。(指定主机:端口 变为 所有主机:端口)
树莓派玩转openwrt软路由:5.OpenWrt防火墙配置及SSH连接
qq_42523645的博客
10-11 4295
树莓派OpenWrt配置防火墙以及SSH访问认证
OpenWrt防火墙配置(极路由)
weixin_34343689的博客
02-07 4392
说明: 1、极路由使用的是OpenWrt做为操作系统,本身就是一个Linux,包管理使用opkg,只是改了一个界面而已。 2、Linux下的防火墙最终都会归iptables进行管理,OpenWrt防火墙机制同样也是,最上层采用了自己基于UCI标准的配置方法管理防火墙firewall,最终写入到iptables。 3、UCI是OpenWrt统一配置文件的标准,真心不太喜欢这种语法,没ipta...
编译openwrt
weixin_48006170的博客
06-28 3016
git clone https://source.codeaurora.org/external/qoriq/qoriq-components/openwrt.git ./scripts/feeds update -a ./scripts/feeds update -a 遇到的问题
20. 详解 OpenWrt 防火墙配置、NAT配置
weixin_38387929的博客
06-12 3万+
1 OpenWrt 内置防火墙介绍 Openwrt 是一个 GNU/Linux 的发行版, Openwrt防火墙实现与Linux防火墙是通过netfilter内核模块,加上用户空间的iptables管理工具;同样是五链四张表、五元素的管理框架。 OpenWRT开发了一套与iptables同地位的netfilter管理工具fw3,这个工具侧重于从uci格式的配置文件中获取过滤信息下发到内核的netfilter中去。 防火墙文件总会在/etc/init.d/firewall 启动的时候由 UCI 解码并且
openwrt vpn防火墙设置
石牌桥网管笔记
01-04 3861
openwrt openvpn client firewall config
详解 OpenWrt 防火墙配置、NAT配置
l00102795的博客
01-19 3998
OpenWrt内置防火墙介绍Openwrt 是一个 GNU/Linux 的发行版, Openwrt防火墙实现与Linux防火墙是通过netfilter内核模块,加上用户空间的iptables管理工具;同样是五链四张表、五元素的管理框架。OpenWRT开发了一套与iptables同地位的netfilter管理工具fw3,这个工具侧重于从uci格式的配置文件中获取过滤信息下发到内核的netfilter中去。
openwrt配置手册
08-07
openwrt配置手册,记录了无线网,局域网,广域网的配置方法,供大家参考
【调试笔记-20240729-Linux-OpenWrt 23.05 安装 Docker 使用 fw4 和 nftables
David唐辉的博客
07-29 1253
本文记录在 Windows 的 QEMU 环境下运行 OpenWrt 安装调试 Docker 使用 fw4 和 nftables。实验使用的电脑如下:本文记录在 Windows 的 QEMU 环境下运行 OpenWrt 安装调试 Docker 使用 fw4 和 nftables
OpenWrt 防火墙应用--iptables工具
esansiy的博客
09-22 7327
OpenWrt 防火墙应用--iptables工具OpenWrt 防火墙应用--iptables工具iptables1.1 规则处理动作自定义链常用扩展模块黑白名单机制1.2 常用参数1.3 案例 OpenWrt 防火墙应用–iptables工具 OpenWrt 防火墙 openwrt 下的 NAT、DMZ、firewall、rules 都是由配置文件 “/etc/config/firewall” 进行控制管理的。此文件可以使用 UCI 进行控制,也可以使用 vi 编辑器直接修改。 该文件最后会在 /etc
OpenWrtFirewall
我的学习笔记
08-25 1625
OpenWrtFirewall 防火墙文档 防火墙和网络接口 防火墙组件 防火墙配置 /etc/config/firewall 防火墙概述 fw3 配置 桥接防火墙 DNS劫持 带有 IP 集的基于 DNS 的防火墙 防火墙使用指南 fw3 DMZ 配置使用 VLAN fw3 IP 集示例 fw3 IPv4 配置示例 fw3 IPv6 配置示例 fw3 记录拒绝的数据包 fw3 NAT 配置 fw3 端口转发 fw3 参考网络拓扑 家长控制权 防火墙杂页 如何使用 tcpdump 或 wir
Openwrt修改防火墙规则
热门推荐
时有限
07-08 4万+
本文翻译自 OpenWrt WIKI 防火墙配置/etc/config/firewall openwrt防火墙管理应用fw3有三种有三种使用机制: 配置文件: /etc/firewall.user /etc/config/firewall 本文主要关注配置文件和其内容,LUCI和UCI是用户抽象,最终也是修改的配置文件。 管理 主要的防火墙配置文件是/etc/config/fi...
简单明了的nftables防火墙配置(arch为例)
weixin_30379531的博客
12-02 1608
Arch Linux的内核已经包含了netfilter包过滤框架。 在/etc/nftables.conf默认包含着一个简单的防火墙设置,但过于简单, 现在重新编写nft的设置(这里列举的规则适合个人电脑,服务器或是其它的机器可以参考其它资料配置更加适合的规则)。 # nft list ruleset 检查已经写了的过滤规则 # nft flush ruleset 清除当...
我发现我的openwrt混用了nftable和iptable,如何去除iptable相关的规则
最新发布
03-17
<think>嗯,用户提到他的OpenWrt系统里同时使用了nftables和iptables,想要去除iptables相关的规则。首先,我需要确认OpenWrt的版本,因为从21.02开始,默认使用nftables而不是iptables。不过,用户可能还在使用旧版本,或者可能手动安装了iptables相关的包,导致两者共存。 接下来,用户想要完全移除iptables的规则,可能需要检查当前系统中有哪些iptables相关的软件包。通常,OpenWrtnftables是通过firewall4来实现的,而iptables则属于firewall3。如果用户升级过系统,可能还残留了旧的iptables包,或者某些依赖导致它们被保留下来。 然后,用户可能需要停止iptables服务,并禁用它们,防止开机启动。同时,删除相关的包,比如iptables-nft或者legacy版本。但需要注意,有些包可能被其他程序依赖,直接删除可能导致问题,所以需要谨慎处理。 另外,用户可能担心现有的nftables规则是否会受到影响。需要确保在移除iptables之后,防火墙功能仍然正常,可能需要重新启动防火墙服务,或者重新加载nftables配置。还要检查是否存在混合规则的情况,比如有些规则可能通过iptables-nft兼容层加载到nftables中,导致混乱。 此外,用户可能不太清楚如何检查当前系统使用的是nftables还是iptables,可以指导他们使用命令如`iptables -V`查看版本,如果显示是nftables后端,说明使用的是兼容层。而`nft list ruleset`可以查看当前的nftables规则,确认是否有残留的iptables规则。 最后,用户可能需要清理残留的配置文件,或者重启服务来确保更改生效。还要提醒他们在操作前备份现有配置,防止意外丢失重要规则。如果有依赖问题无法删除包,可能需要找出哪些包依赖了iptables,并考虑替代方案或者重新配置。</think>--- ### 彻底移除OpenWrt中iptables规则的完整方案 --- #### 一、现状确认 1. **检测混合使用情况** ```bash iptables -V # 若显示"legacy"则为传统iptables,显示"nf_tables"表示通过nftables兼容层运行 nft list ruleset ``` - 如果同时存在`iptables`规则和`nftables`规则,需进行清理 --- #### 二、核心操作步骤 1. **卸载iptables相关软件包** ```bash opkg remove --force-removal-of-dependent-packages \ iptables \ iptables-legacy \ iptables-mod-conntrack-extra \ iptables-mod-ipopt \ iptables-mod-nat-extra ``` 2. **清理残留配置** ```bash rm -rf /etc/iptables /etc/sysconfig/iptables* ``` 3. **禁用iptables服务**(如存在) ```bash /etc/init.d/iptables stop /etc/init.d/iptables disable ``` --- #### 三、防火墙配置迁移 1. **确认当前防火墙实现** ```bash uci get firewall.@defaults[0].flow_offloading ``` - 输出`1`表示使用`firewall4`(基于nftables) 2. **重建防火墙规则** ```bash uci commit firewall /etc/init.d/firewall restart ``` --- #### 四、深度清理与验证 1. **检查内核模块** ```bash lsmod | grep -E 'iptable|ip_tables' # 应无输出 ``` 2. **验证规则纯净度** ```bash nft list ruleset | grep -i 'hook input' -A20 # 查看INPUT链规则是否仅含nftables配置 ``` --- #### 五、常见问题处理 1. **依赖冲突解决方案** 若出现`package xxx is depended upon by packages: yyy`错误: ```bash opkg remove --force-depends [冲突包名] ``` 2. **混合规则残留处理** 手动清除`/etc/nftables.d/`目录下的遗留配置: ```bash find /etc/nftables.d/ -name "*-iptables*" -delete ``` --- ### 关键技术说明 1. **OpenWrt版本差异** | 版本范围 | 防火墙实现 | 内核支持 | |---------------|--------------|------------------| | ≤19.07 | firewall3 | iptables | | ≥21.02 | firewall4 | nftables | 2. **兼容层机制** `iptables-nft`本质是通过`xtables-nft-multi`将iptables命令转换为nftables规则,可通过以下命令检测: ```bash update-alternatives --list iptables ``` --- ### 操作前后对比验证 | 检测项 | 操作前示例 | 正常目标状态 | |---------------------|---------------------------|------------------------| | `iptables -L` | 显示多行规则 | `iptables: No chain/target/match by that name` | | `nft list ruleset` | 含`inet fw4`等标准规则集 | 无`ip`/`ip6`前缀的遗留规则 | --- #### 注意事项 1. **备份配置** ```bash sysupgrade -b /tmp/backup.tar.gz ``` 2. **服务重启顺序** ```bash /etc/init.d/network restart /etc/init.d/firewall reload ``` 3. **硬件加速兼容性** 若使用MTK/高通等硬路由,需确认卸载iptables后offloading功能正常: ```bash ethtool -k eth0 | grep hw-tc-offload ``` 通过以上步骤,可彻底清除OpenWrt系统中iptables的规则残留,确保网络栈完全基于nftables运行。建议操作完成后重启设备进行最终验证。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值