1. 项目概述从“看门人”到“交通警察”如果你玩过OpenWrt或者任何软路由系统那你一定对“防火墙”这个词不陌生。在大多数人的第一印象里它就是个“看门人”——决定哪些数据包能进哪些不能进。这个理解没错但太浅了。在我折腾了上百台OpenWrt设备处理过无数网络故障后我越来越觉得把OpenWrt的防火墙仅仅看作一个“门卫”实在是低估了它的能力。更贴切的比喻它应该是一个功能强大的“交通警察”甚至是一个“城市规划师”。它不仅仅在“边界”比如WAN口执勤更在路由器内部的各个“路口”网络接口、区域指挥交通。它能做端口转发NAT、流量标记fwm、策略路由还能和QoS、SQM这些流量整形工具联动共同构建一个高效、安全、可控的内网环境。很多新手遇到的“设备无法上网”、“端口映射失败”、“内网服务访问不了”等问题十有八九根源都在防火墙的配置上而不是网络本身不通。第29章这个编号暗示它可能是一个系列教程的一部分。这意味着读者可能已经具备了一定的OpenWrt基础比如会刷机、会配网络接口。他们现在需要的是深入理解这个核心子系统从而解决实际部署中的复杂问题比如搭建一个兼具访客隔离、游戏加速、NAS外网访问的家庭网络。本章的目标就是带你穿透Web界面如LuCI上那些简单的开关直抵防火墙的底层逻辑——firewall3fw3和其背后的netfilter/iptables框架让你真正掌握指挥这个“交通警察”的能力。2. 防火墙整体架构与核心思想OpenWrt的防火墙系统是一个经过高度抽象和封装的设计目的是让复杂的功能变得易于配置。理解它的架构是避免配置混乱的关键。2.1 核心组件fw3、netfilter与配置层整个体系可以分成三层配置层就是我们直接打交道的部分。主要是/etc/config/firewall这个UCI统一配置接口文件。无论你是通过LuCI网页点点鼠标还是用命令行uci set firewall...最终修改的都是这个文件。它使用“区域zone”、“规则rule”、“转发forwarding”等高级概念而不是原始的iptables命令。转换层即firewall3fw3守护进程。它的核心工作就是读取/etc/config/firewall中的配置然后将其“翻译”成底层网络框架能理解的规则。在OpenWrt上这个底层框架主要是netfilter/iptables对于IPv4和netfilter/ip6tables对于IPv6。fw3在系统启动时或配置更改后执行/etc/init.d/firewall reload运行生成最终的iptables规则并应用到内核中。内核层即netfilter它是Linux内核中的一个子系统真正负责过滤数据包、进行地址转换NAT等脏活累活。iptables则是用户空间的一个工具用于和netfilter通信增删改查规则。注意很多高级用户会直接使用iptables命令添加规则但这些规则默认不会保存到UCI配置中重启后就会丢失。fw3在每次启动或重载时会基于UCI配置重建整个规则集覆盖掉非持久化的改动。理解这一点就能明白为什么有时命令行临时加的规则“失效了”。2.2 核心概念“区域Zone”模型这是OpenWrt防火墙设计中最精妙、也最需要理解的一点。它摒弃了传统iptables中从“网卡”入手的复杂思路引入了“区域”这个抽象概念。一个区域本质上是一个或多个网络接口如eth0,br-lan,wwan0的逻辑集合并预定义了一套针对该集合的默认策略。OpenWrt初始通常包含两个默认区域lan区域通常包含br-lan桥接了的LAN接口。其默认策略是accept接受意味着信任内网允许所有进出该区域的流量。wan区域通常包含eth1或pppoe-wan等WAN口接口。其默认策略是reject拒绝意味着不信任外网默认拒绝所有从WAN区域进入路由器的流量但允许内网主动访问外网的流量出去。为什么用区域想象一下你有一个复杂的网络一个主LAN一个给IoT设备用的隔离LAN一个访客Wi-Fi。如果没有区域你需要为每个接口单独写一大堆规则管理起来是噩梦。有了区域你可以创建iot区域包含br-iot接口默认策略设为accept或reject取决于你的信任度。创建guest区域包含guest-wifi接口默认策略设为reject。然后你只需要定义这几个区域之间的互访规则lan-wan允许lan-iot允许但guest-lan拒绝逻辑瞬间清晰。防火墙关注的是“区域间流量”而不是“某个物理网卡上的流量”。2.3 数据包的生命周期与处理流程当一个数据包到达路由器它会经历怎样的“审判”理解这个过程调试防火墙规则事半功倍。以最常见的场景——内网设备lan区域访问外网wan区域为例入口Input数据包从内网设备发出到达路由器的LAN口属于lan区域。防火墙首先检查“入站规则”但这里通常lan区域默认accept所以包被接收进入路由器本身如果目标是路由器IP比如访问LuCI流程就此结束如果是转发进入下一步。转发Forward数据包的目的地是外网因此需要被转发。这是最关键的一步。防火墙检查“转发规则”寻找匹配“源区域是lan目标区域是wan”的规则。默认情况下OpenWrt允许从lan到wan的转发因为要上网。匹配后包被允许转发。源地址转换SNAT/Masquerade在包被发出WAN口前需要进行NAT。路由器会把包的源IP内网私有IP如192.168.1.100替换成WAN口的公网IP或PPPoE获取的IP。这就是所谓的“IP伪装”Masquerade。这样外网服务器回包时才会回到你的路由器。出口Output经过转换的包从WAN口属于wan区域发出。防火墙会检查“出站规则”但wan区域的出站默认通常是accept允许路由器主动向外发流量。回包流程外网服务器回包到达WAN口目标IP是路由器的公网IP。防火墙检查“入站规则”发现是从wan区域进入且是已建立连接的相关包属于之前内网设备发起的那个连接则允许其进入。目的地址转换DNAT防火墙根据NAT连接跟踪表将回包的目标IP从路由器公网IP改回最初的内网设备IP192.168.1.100。转发回内网然后通过转发规则匹配wan到lan的相关连接允许最终从LAN口发回内网设备。这个流程中任何一个环节的规则不匹配都可能导致网络不通。比如如果你错误地禁止了lan到wan的转发内网就无法上网如果你没有正确配置端口转发DNAT外网就无法访问内网的NAS。3. 核心配置详解/etc/config/firewall 文件拆解这个文件是防火墙的“总司令部”。我们直接打开它逐部分解析。建议你边看边用cat /etc/config/firewall命令对照。3.1 全局配置config defaults这是文件开头的部分定义了一些全局默认参数。config defaults option syn_flood 1 option input ACCEPT option output ACCEPT option forward REJECTsyn_flood 1启用SYN洪水攻击防护。这是针对TCP协议的一种常见DDoS攻击的缓解措施建议保持开启。input ACCEPT注意这个input指的是路由器本身对未指定区域的数据包的默认策略。由于OpenWrt主要使用区域模型这个设置影响范围有限。通常保持ACCEPT即可真正的控制是在区域级别。output ACCEPT同上指路由器本身发出数据包的默认策略。通常保持ACCEPT。forward REJECT非常重要这是跨区域转发的默认策略。意思是如果两个区域之间没有显式配置允许转发的规则则默认拒绝它们之间的所有流量。这正是“白名单”安全思想的体现先全部禁止再按需开放。例如默认情况下lan和wan区域之间有一条允许转发的规则所以能上网。但如果你新建了一个guest区域它和lan区域之间如果没有规则则默认无法互访。3.2 区域定义config zone这是定义安全区域的地方。每个区域都必须关联一个或多个网络接口。config zone option name lan list network lan option input ACCEPT option output ACCEPT option forward ACCEPT option masq 1 option mtu_fix 1 config zone option name wan list network wan list network wan6 option input REJECT option output ACCEPT option forward REJECT option masq 1 option mtu_fix 1name区域名称如lan,wan。network关联的网络接口。可以是多个如wan区域常同时关联wan(IPv4) 和wan6(IPv6)。input控制发往路由器本身目标IP是路由器且从该区域进入的数据包。例如从LAN口访问LuCI页面就受lan区域的input策略控制。lan区域设为ACCEPT是合理的信任内网管理wan区域设为REJECT是必须的禁止外网直接访问路由器管理界面。output控制从路由器本身发出且从该区域离开的数据包。通常都设为ACCEPT保证路由器自身的服务如NTP时间同步、DDNS更新能正常工作。forward控制穿过路由器不是发给路由器自己且从该区域进入准备转发到其他区域的数据包。lan区域的forward设为ACCEPT意味着允许从LAN口进入、目标是其他区域如WAN的流量被转发这是上网的基础。wan区域的forward设为REJECT意味着默认拒绝从WAN口进入、目标是其他区域如LAN的流量这是安全屏障。masq是否对该区域发出的流量进行IP伪装MASQUERADE。wan区域的masq必须为1这是实现内网设备共享一个公网IP上网的关键SNAT。lan区域的masq通常为0因为内网之间不需要NAT。mtu_fix是否启用MTU修复。对于PPPoE等封装协议启用此选项可以避免某些“分包”问题导致的网页打开慢等奇怪现象建议保持为1。3.3 转发规则config forwarding这个部分定义了允许流量在哪些区域之间转发。它非常直观。config forwarding option src lan option dest wan这条规则的意思是允许从源区域lan到目标区域wan的流量转发。正是因为有了这条默认规则你的内网设备才能访问互联网。如果你想允许lan区域访问你新建的iot区域就需要添加一条src landest iot的规则。3.4 流量规则config rule这是防火墙最灵活的部分用于实现更精细的控制。它可以基于源/目标IP、端口、协议、时间等来允许或拒绝特定流量。config rule option name Allow-DHCP-Renew option src wan option proto udp option dest_port 68 option target ACCEPT option family ipv4 config rule option name Allow-ICMPv6-Input option proto icmp option icmp_type echo-request option limit 1000/sec option family ipv6 option target ACCEPTname规则描述方便识别。src/dest可以指定区域如wan也可以指定具体的IP或子网如192.168.2.0/24。proto协议如tcp,udp,icmp,icmp6等。dest_port目标端口。target动作ACCEPT接受REJECT拒绝并回复拒绝包DROP静默丢弃。familyIP协议族ipv4或ipv6。icmp_type针对ICMP协议的细化控制如echo-requestping请求。limit速率限制用于防止洪水攻击。实操心得规则是有顺序的防火墙从上到下逐条匹配一旦匹配就执行对应动作不再继续。所以通常更具体的规则要放在前面更通用的规则如最后的拒绝规则放在后面。在LuCI界面中调整规则顺序有时不直观直接编辑配置文件反而更可控。3.5 端口转发config redirect也就是常说的DNAT让外网能访问内网的特定服务。config redirect option name NAS-Web option src wan option src_dport 8080 option dest lan option dest_ip 192.168.1.10 option dest_port 80 option proto tcpname描述。src来自哪个区域通常是wan。src_dport外部访问时使用的端口公网端口。dest目标区域服务所在的内部区域通常是lan。dest_ip内网服务器的IP地址。dest_port内网服务实际监听的端口。proto协议。重要注意事项仅仅配置端口转发外网可能还是访问不了。因为从wan区域进入、目标是内网IP的流量还需要通过“转发forwarding”和“入站input”的检查。通常对于已建立或相关的连接即由端口转发规则引导进来的连接netfilter的连接跟踪conntrack机制会自动允许其通过。但为了确保有时需要在wan区域的input策略中对特定端口临时开放或者添加一条rule来允许目标端口是转发端口的流量。不过OpenWrt的fw3在生成规则时通常会处理好这些关联性。3.6 流量重定向与策略路由config include对于更高级的应用如广告过滤AdGuard Home、游戏加速UDPspeeder或自定义的透明代理我们需要将特定流量重定向到本地的一个进程。这通常通过config include引入自定义的防火墙脚本片段来实现。config include option path /etc/firewall.user/etc/firewall.user这个文件就是给你放置自定义iptables命令的地方。fw3在生成完基础规则后会执行这个文件里的命令。这是实现高级功能的“后门”。例如在/etc/firewall.user中添加# 将内网所有设备的53端口DNS流量重定向到AdGuard Home监听在192.168.1.1:5335 iptables -t nat -A PREROUTING -i br-lan -p udp --dport 53 -j DNAT --to 192.168.1.1:5335 iptables -t nat -A PREROUTING -i br-lan -p tcp --dport 53 -j DNAT --to 192.168.1.1:5335 # 重定向的流量也需要允许转发 iptables -A forwarding_rule -i br-lan -o br-lan -p udp --dport 5335 -j ACCEPT iptables -A forwarding_rule -i br-lan -o br-lan -p tcp --dport 5335 -j ACCEPT警告直接操作iptables需要一定的网络知识。错误的规则可能导致网络中断。建议在修改前备份原有规则iptables-save /tmp/iptables.backup并且最好通过计划任务或firewall.user脚本实现以便重启后能恢复。4. 实战构建一个多区域安全网络理论说再多不如动手配一遍。我们假设一个家庭网络场景主网络LAN、智能家居IoT、访客网络Guest。目标是LAN可以访问所有网络和互联网IoT可以上网但不能访问LANGuest只能上网不能访问LAN和IoT。4.1 步骤一创建网络接口与防火墙区域首先我们需要在OpenWrt上创建两个新的网络接口假设通过LuCI操作进入“网络 - 接口”点击“添加新接口”。创建iot接口协议“静态地址”分配一个不同的子网例如192.168.2.1/24。物理设置绑定到一个新的以太网交换机VLAN或一个独立的Wi-Fi SSID。同理创建guest接口子网192.168.3.1/24。接着配置防火墙编辑/etc/config/firewall# 在已有的 lan 和 wan 区域后面添加以下两个新区城 config zone option name iot list network iot option input ACCEPT # 允许从IoT网络访问路由器本身如用于设备配网 option output ACCEPT option forward REJECT # 默认禁止IoT转发到其他区域 option masq 1 # IoT上网需要NAT option mtu_fix 1 config zone option name guest list network guest option input REJECT # 拒绝从Guest网络访问路由器更安全 option output ACCEPT option forward REJECT # 默认禁止Guest转发到其他区域 option masq 1 # Guest上网需要NAT option mtu_fix 14.2 步骤二配置区域间转发规则现在定义谁可以访问谁# 允许 lan 访问 iot 和 guest主网络可管理所有子网 config forwarding option src lan option dest iot config forwarding option src lan option dest guest # 允许 iot 和 guest 访问 wan上网 config forwarding option src iot option dest wan config forwarding option src guest option dest wan # 注意我们没有添加 iot-lan, guest-lan, iot-guest 的转发规则。 # 因此根据全局默认 forward REJECT这些区域间的流量将被禁止。4.3 步骤三应用并测试配置保存/etc/config/firewall文件。应用配置/etc/init.d/firewall reload或通过LuCI点击“保存并应用”。测试将设备连接到IoT网络192.168.2.x应能 ping 通外网如 8.8.8.8但 ping 不通LAN网络的主机192.168.1.x。将设备连接到Guest网络192.168.3.x应能上网但 ping 不通LAN和IoT网段的主机。在LAN网络192.168.1.x的设备上应能 ping 通IoT和Guest网络的路由器接口IP192.168.2.1, 192.168.3.1如果配置了允许也能访问其下的设备这取决于你是否在LAN区域的input策略或额外规则中允许。踩坑记录有时候配置不生效可能是缓存或连接跟踪的问题。一个快速的排障方法是重启防火墙服务/etc/init.d/firewall restart。更彻底的方法是重启网络/etc/init.d/network restart。在测试时也记得关闭客户端的防火墙避免干扰判断。5. 高级功能与深度调优掌握了基础配置我们可以玩点更花的。这些高级功能往往能解决特定痛点。5.1 连接跟踪Conntrack与状态检测OpenWrt防火墙是有状态的stateful。它通过netfilter的conntrack模块跟踪所有经过它的连接。这对于配置规则极其有利因为你可以使用状态匹配-m state或-m conntrack。 在自定义规则firewall.user中你可以这样写# 只允许已建立的连接和相关的回包通过提高安全性 iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPTESTABLISHED指已建立的连接RELATED指与某个已建立连接相关的连接如FTP的数据通道。这意味着只要你允许了一个内向连接比如内网主机访问外网其所有的回包都会自动被允许你无需为回包单独写规则。这也是为什么默认配置下内网能上网的原因之一。5.2 使用IP集IPset进行批量管理如果你需要封禁或允许一大批IP地址比如广告服务器列表、游戏服务器IP段一条条写rule会非常低效。IPset是解决这个问题的利器。它可以在内核中创建一个IP地址、端口或MAC地址的集合然后防火墙规则直接匹配这个集合。 OpenWrt可以通过软件包ipset和firewall的扩展来支持。安装opkg update opkg install ipset在/etc/config/firewall中定义ipsetconfig ipset option name blocklist option match src_net option storage hash option enabled 1在firewall.user或自定义脚本中向集合添加IPipset create blocklist hash:net ipset add blocklist 10.0.0.0/8 ipset add blocklist 192.168.100.0/24创建一条防火墙规则来引用这个ipsetconfig rule option name Block-Bad-Networks option src wan option src_ipset blocklist option dest * option target DROP这条规则会丢弃所有来自blocklist集合中IP的流量。管理封禁列表时你只需要更新blocklist这个集合而无需改动防火墙规则本身。5.3 防火墙与QoS/SQM的协同防火墙和流量整形QoS/SQM是网络优化的左右手。防火墙负责“让谁过”QoS负责“过得怎么样”。它们可以协同工作。 例如你可以用防火墙的fwmark防火墙标记功能给特定流量打上标记然后让QoS基于这个标记进行优先级处理。首先在防火墙规则中标记流量在/etc/config/firewall中config rule option name Mark-Gaming-Traffic option src lan option dest wan option dest_port 443,1935,3478-3480 # 假设是一些游戏端口 option proto tcpudp # tcp和udp option target MARK option set_mark 0x10 # 设置一个标记值然后在SQMSmart Queue Management配置中使用iptables过滤器来匹配这个标记并将其分配到高优先级的队列。这通常在SQM的“高级设置”或自定义脚本中完成。 这样游戏流量在通过防火墙时被标记在出口排队时就能得到优先处理降低延迟。这是一个将L3/L4防火墙与L2/L3QoS控制结合起来的典型例子。6. 故障排查与调试指南防火墙配置出问题时网络行为会变得诡异。掌握一套排查方法至关重要。6.1 诊断工具三板斧logread -e fw3或logread | grep firewall查看防火墙守护进程fw3的日志。它在重载配置时会打印出解析和应用规则的过程任何配置错误都会在这里体现。iptables-save -c这是最强大的工具。它打印出当前内核中生效的所有iptables规则并且包含每个规则的匹配计数-c参数。你可以清晰地看到数据包流经了哪些链Chain命中了哪条规则以及命中了多少次。对比你心中的预期路径很快就能定位问题规则。tcpdump当你不确定数据包到底有没有到达路由器或者到达后发生了什么就用它。例如在WAN口抓取特定端口的包tcpdump -i eth1 port 8080 -nn -v。在内网抓取到某个IP的包tcpdump -i br-lan host 192.168.1.100 -nn -v。-nn表示不解析主机名和端口名-v表示详细输出。6.2 常见问题速查表问题现象可能原因排查步骤内网设备无法上网1.lan到wan的forwarding规则丢失或错误。2.wan区域的masq(NAT) 未启用。3. 存在更高优先级的规则拒绝了转发。1.cat /etc/config/firewall检查forwarding配置。2. 检查wan区域的masq选项。3. iptables-save -c外网无法访问内网端口转发服务1. 端口转发规则配置错误IP、端口。2. 内网服务器防火墙未开放端口。3. 运营商的入站封锁常见于80、443、25等端口。4.wan区域的input策略为REJECT且无规则允许该端口。1. 核对redirect规则。2. 在内网直接通过内网IP:端口访问服务确认服务正常。3. 在路由器WAN口用tcpdump抓包看请求是否到达。4. 临时在wan区域添加一条允许该端口的inputrule测试。新建区域如IoT无法上网1. 该区域到wan的forwarding规则未添加。2. 该区域的masq未启用。3. DNS解析问题区域内的设备可能未获取到正确的DNS。1. 检查forwarding规则。2. 检查该区域的masq选项。3. 在该区域设备上尝试ping 8.8.8.8测试网络连通性和nslookup google.com测试DNS。防火墙规则修改后不生效1. 未重载防火墙配置。2. 规则顺序问题被前面的规则拦截。3. 连接跟踪conntrack表中有旧连接状态。1. 执行/etc/init.d/firewall reload。2. 使用iptables-save -c查看规则顺序和匹配计数。3. 可以尝试重启防火墙/etc/init.d/firewall restart以清空状态表生产环境慎用。自定义firewall.user脚本不生效1. 脚本语法错误。2. 脚本中iptables命令的链chain或表table不正确。3.fw3重载时覆盖了自定义规则。1. 手动执行脚本/etc/firewall.user看是否有报错。2. 确保规则添加到正确的表和链。firewall.user中的规则在fw3基础规则之后添加通常不会被覆盖除非规则冲突。6.3 一个真实的排障案例端口转发“时好时坏”我曾遇到一个案例用户设置了端口转发外网有时能访问有时不能。iptables-save显示规则存在且计数在增加说明包匹配到了转发规则。但在内网服务器上抓包却发现外网IP发来的包时有时无。排查过程在路由器WAN口抓包 (tcpdump -i eth1 port [外部端口] -nn)确认外网请求稳定到达路由器。在路由器上跟踪经过nat表的PREROUTING链 (iptables -t nat -vL PREROUTING -n --line-numbers)确认转发规则被匹配。问题可能出在转发后的路径上。检查filter表的FORWARD链。发现有一条自定义的、用于限制连接数的规则 (-m connlimit) 被频繁匹配并DROP数据包。根源这条连接数限制规则本意是防止单IP攻击但它没有区分“新连接”和“已建立连接”。当外网多个用户同时访问或一个用户快速重连时触发了限制导致连接被丢弃。而连接跟踪机制下已建立的连接回包不受影响所以表现为“时好时坏”。解决方案修改那条限制规则使用-m conntrack --ctstate NEW来只限制新建连接放过已建立的连接。或者调整连接数的阈值。这个案例告诉我们防火墙规则之间会相互影响排查时要有一个全局的数据包流向图在心中并善用iptables-save -c和tcpdump这两个黄金组合。