一、基礎知識
OpenWrt防火牆是OpenWrt路由器系統中的一個重要功能,通過這個功能可以管理和控制路由器的網絡訪問規則,有效的保護路由器及其下屬設備的網絡安全。
OpenWrt防火牆支持以下四種類型的規則:
- Zone規則
- Forwarding規則
- Input規則
- Output規則
其中Zone規則是OpenWrt防火牆的一個核心概念,表示一組網絡接口的集合。
一般情況下,OpenWrt防火牆中的規則會根據先來後到的原則進行匹配,即首先匹配Zone規則,然後根據規則中的定義進行匹配。
二、設置Zone規則
設置Zone規則是OpenWrt防火牆中的第一步,可以將網絡接口劃分為不同的安全域,提高防火牆的安全性。
# 創建Zone uci set firewall.@zone[0]=zone uci set firewall.@zone[0].name=lan uci set firewall.@zone[0].input=ACCEPT uci set firewall.@zone[0].output=ACCEPT uci set firewall.@zone[0].forward=ACCEPT uci set firewall.@zone[0].network=lan # 設置防火牆規則 uci set firewall.@rule[0]=rule uci set firewall.@rule[0].name=Allow-DHCP-Renew uci set firewall.@rule[0].src=lan uci set firewall.@rule[0].proto=udp uci set firewall.@rule[0].dest_port=68 uci set firewall.@rule[0].target=ACCEPT # 應用設置 uci commit firewall /etc/init.d/firewall reload
三、防止DDoS攻擊
DDoS攻擊是網絡安全中的一種比較常見的攻擊方式,可以通過一定的手段讓大量的流量湧向目標設備,導致網絡癱瘓。
OpenWrt防火牆可以通過設置DoS規則來限制同一個IP地址的連接數,從而減少DDoS攻擊的影響。
# 配置DoS規則 uci set firewall.@defaults[0]=defaults uci set firewall.@defaults[0].syn_flood=1 uci set firewall.@defaults[0].synflood_rate=500/s uci set firewall.@defaults[0].synflood_burst=1000 uci set firewall.@zone[1]=zone uci set firewall.@zone[1].name=wan uci set firewall.@zone[1].input=REJECT uci set firewall.@zone[1].output=ACCEPT uci set firewall.@zone[1].forward=REJECT uci set firewall.@zone[1].masq=1 uci set firewall.@zone[1].mtu_fix=1 uci set firewall.@zone[1].network=wan # 應用設置 uci commit firewall /etc/init.d/firewall reload
四、防止端口掃描
端口掃描是黑客攻擊常用的一種手段,可以通過掃描目標設備的端口,獲取其開放的服務和應用,從而進行下一步攻擊。
OpenWrt防火牆可以通過設置Port Scan規則,限制相同來源IP在一定時間內的端口掃描次數。
# 設置Port Scan規則 uci set firewall.@rule[1]=rule uci set firewall.@rule[1].name="Port Scan" uci set firewall.@rule[1].src=* uci set firewall.@rule[1].proto=tcp uci set firewall.@rule[1].dest_port=1:65535 uci set firewall.@rule[1].recent_conn=accept uci set firewall.@rule[1].recent_name="portscan" uci set firewall.@rule[1].recent_limit=20/s uci set firewall.@rule[1].recent_burst=50 uci set firewall.@rule[1].target=REJECT uci set firewall.@rule[1].extra='--reject-with tcp-reset' # 應用設置 uci commit firewall /etc/init.d/firewall reload
五、屏蔽特定IP地址
對於存在安全問題的IP地址,需要進行屏蔽,防止其對系統造成攻擊。
OpenWrt防火牆可以通過設置IP規則,屏蔽特定的IP地址。
# 設置IP規則 uci set firewall.@rule[2]=rule uci set firewall.@rule[2].name="Block IP" uci set firewall.@rule[2].src=* uci set firewall.@rule[2].family=ipv4 uci set firewall.@rule[2].target=DROP uci set firewall.@rule[2].src_ip=192.168.1.100 # 應用設置 uci commit firewall /etc/init.d/firewall reload
原創文章,作者:ERAC,如若轉載,請註明出處:https://www.506064.com/zh-hant/n/135631.html
微信掃一掃 
支付寶掃一掃 