Посібник з використання файрволу

У цьому розділі подано корисну інформацію та рекомендації щодо налаштування firewall3.

Залежно від мережевої топології кількість правил fw3 може бути досить великою. Для зручності обслуговування та налагодження доцільно створити власну схему іменування для параметра name у секціях конфігурації.

Використовуйте будь-який шаблон, який вам зручний.

Можливий приклад шаблону: target-port-source-dest, де:

• target — цільова дія netfilter (наприклад, ACCEPT, REJECT),
• port — номер порту (див. RFC 793, Розділ 2.7),
• source — зона, інтерфейс або конкретна станція-джерело пакета,
• dest — зона, інтерфейс або пристрій-призначення.

Приклади:

Дозволити SSH-запити від будь-якого пристрою із зони WAN до будь-якого пристрою у зоні LAN:

option name 'ACCEPT-SSH-WAN-LAN'

Дозволити SSH-запити від будь-якого пристрою в зоні WAN до самого маршрутизатора. Це правило потрібне лише тоді, якщо стандартне правило зони WAN має політику REJECT або DROP:

option name 'ACCEPT-SSH-WAN-DEVICE'

Параметр enabled задається для кожної секції й за замовчуванням має значення true. Щоб вимкнути правило, додайте: `option enabled '0'` або зніміть прапорець Enable у LuCI (Network → Firewall → Traffic Rule → Enable).

Це дуже зручно для тимчасового тестування нових правил.

Наприклад, наступне правило забороняє SSH-доступ з певного пристрою в зоні WAN до будь-яких пристроїв у зоні LAN. Для продуктивного використання краще ідентифікувати пристрій за MAC-адресою замість IP:

config rule
	option	src		'wan'
	option	dest		'lan'
	option	proto		'tcp'
	option	dest_port	'22'
	option	src_ip		'192.168.3.171'
	option	target		'REJECT'
	option	name		'REJECT-SSH-WANSTA-LAN'
	option	enabled		'0'

Обов'язково перевіряйте кожне правило файрволу, яке ви додаєте. Якщо воно працює — чудово!

Якщо результат не відповідає очікуванням, найімовірніше проблема — у сформованих правилах netfilter або їхньому порядку. Перегляньте Керування netfilter в OpenWrt для порад із налагодження.

Після першого встановлення OpenWrt на пристрій, у системі буде присутній типовий безпечний файл конфігурації файрволу: `/etc/config/firewall`.

Цей файл варто вивчити та за бажанням зберегти як резервну копію. Багато правил у ньому закоментовані, але їх можна активувати при потребі.

Типова конфігурація зазвичай потребує адаптації до ваших потреб.

Оригінальний шаблон конфігураційного файлу зберігається у вихідному коді пакету `firewall` під назвою `firewall.config` — він копіюється до файлової системи під час створення прошивки.