OpenWrt 防火墙与网络接口
OpenWrt 防火墙与网络接口
路由器的目标是将数据包流从传入网络接口转发到传出网络接口。
防火墙规则定义了网络接口间转发的规则,如允许哪些数据包输入和输出到路由器。本节讨论防火墙代码和网络接口之间的关系。
所有路由器的核心是具有多个接口/端口的硬件交换机。当数据包进入其中一个交换机端口时,硬件交换机会匹配数据包中的一个固定字段,并将数据包转发到输出端口。
交换机一般通过MAC地址确定从哪个端口转发数据
当交换机收到数据时,它会检查它的目的MAC地址,然后把数据从目的主机所在的接口转发出去。交换机之所以能实现这一功能,是因为交换机内部有一个MAC地址表,MAC地址表记录了网络中所有MAC地址与该交换机各端口的对应信息。某一数据帧需要转发时,交换机根据该数据帧的目的MAC地址来查找MAC地址表,从而得到该地址对应的端口,即知道具有该MAC地址的设备是连接在交换机的哪个端口上,然后交换机把数据帧从该端口转发出去。
OpenWrt 路由器有两种类型的LAN接口:有线以太网(IEEE802.3 或 RFC894 以太网 II,以太网 II 是最常见的)和无线以太网(IEEE802.11。)
局域网网桥(LAN Bridge)
局域网网桥(LAN Bridge)将 WLAN 接口和 LAN 接口桥接在一起,形成一个逻辑上的网络接口,
在interface
配置中设置 option type bridge
或 LuCI Network→Interfaces→ LAN Bridge interfaces
框中,选择要桥接在一起的物理接口。网桥中的所有交换机端口将充当单个网络。
新的伪接口br-
在接口名称前有一个前缀,通常是br-lan
.
注:连接无线局域网(WLAN) 和 有线局域网时用 bridge , 否则,将端口划分到 VLAN
另请参阅:桥接防火墙
防火墙区域 (Firewall Zones)
OpenWrt 路由器的防火墙能够将网络接口划分成zones
来更好的使用过滤规则。一个 zones 可以是任何网络接口的组合,但通常至少有两个zone : lan 和 wan
通过在概念上对接口进行分组,这在一定程度上简化了防火墙规则逻辑:
- 源自某个区域的数据包的规则必须通过该区域的接口之一进入路由器,
- 转发到某个区域的数据包的规则必须在该区域的接口之一离开路由器。
注:对于具有单一br-lan
接口和单一wan
接口的简单路由器。每个接口都对应一个zone
防火墙和 VLAN
VLAN配置和使用记录在:
划分为多个 VLAN 的交换机进一步有助于组织交换机端口。建议每个VLAN与一个区域一对一映射。使用VLAN架构的优点是数据包用VLAN id标记以消除路由/防火墙决策的歧义。