防火牆和網路介面

路由器的目標是將傳入網絡介面的封包流轉發到傳出的網絡介面。 防火牆規則增加了另一層粒度(granularity)到是否允許跨介面轉發-以及哪些封包是被允許從路由器輸入或輸出。本節討論防火牆代碼和網絡介面之間的關係。

所有路由器的核心是個帶有多個介面埠的硬體交換機。當封包進入交換機的一埠時，該交換機將匹配封包裡的固定欄位的封包轉發到輸出埠並傳輸它。

交換機通常使用第2層中目的地之媒體存取控制（MAC）位址來交換。 每個埠都有可觸及（附於其上）的各站（station）MAC位址的快取記憶體。 MAC位址快取中的條目會逐漸刪除，因此如果要再次使用該位址，則必須重新發現它。含有已知目的地的MAC位址的第2層框架（frame）會被切換到所欲的LAN埠。如果交換機的快取中都不存在該MAC位址，則為廣播封包（例如ARP）會發到所有LAN埠，以發現哪個埠可以存取目的地MAC位址。

OpenWrt路由器具有兩種類型的LAN介面：有線乙太網（IEEE802.3或RFC894以太網II，最常見的是以太網II。）和無線乙太網（IEEE802.11）

每個有線LAN埠都直接對應到一個交換機埠。通常只有一個802.11 wifi埠連接到Wifi射頻晶片（2.4Ghz，5Ghz）。 每個埠處理一個或多個IEEE802.11標準協議（例如802.11a，802.11n）以及對無線網路的輔助支援（例如802.11s網狀網絡）。wifi晶片可轉換802.11信號並注入到交換機埠中用於路由的正準乙太網框架中。連接到802.11存取點的所有wifi站都使用相同的射頻電波和相同的交換機埠。

LAN橋接器將WLAN埠與有線LAN埠結合在一起以創建一個邏輯的網絡。在“介面”組態集合中的option type bridge 或在LuCI中的網路→介面→ LAN 橋接介面框中，選擇所欲的實體介面來橋接在一起。所有橋接器中的埠都將做為單個網路。

新的虛擬介面在其名稱前通常加一個br-，即br-lan。

在組合WLAN和有線乙太網埠的場合時使用橋接。 否則應將埠分為多個VLAN。

參見: 橋接器防火牆

OpenWrt路由器的防火牆能夠將收集到的介面分配到區域中，以更邏輯地過濾流量。 可以任一區域配置為任何一組介面，但通常至少有兩個區域：lan是LAN介面的集合而wan是WAN介面的集合。

通過在概念上對介面進行分組，這在某種程度上簡化了防火牆規則的邏輯：

• 規則之一：源自某區域的封包必須進入路由器上的某區域的介面之中，
• 規則之二：轉發到某區域的封包必須從路由器上的某區域的介面離開。

認識到區域這概念並不能顯著地簡化一個簡單的SOHO路由器。它具有單個br-lan介面和單個wan介面。 每個介面都有一個與區域與它一對一對應。

下列文件說明 VLAN 和其使用：

• VLAN 概述
• 硬體交換組態
• 新增 VLANs
• 使用 VLANs 分割 DMZ

劃分為多個VLAN的交換機更加有助於組織交換機埠。建議把每個VLAN與區域一對一對應。使用VLAN架構的優點是可以使用VLAN ID標記封包以消除路由/防火牆決策時的模糊。