恩山无线论坛

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 425|回复: 8

[N1盒子] 旁路有非得加防火墙吗?

  [复制链接]
发表于 2020-8-14 07:19 | 显示全部楼层 |阅读模式
为什么我没加这个防火墙。也正常使用呢。谁解释下这到底是干啥的。~
注:如果用这个固件做旁路由的话不要忘了加自定义防火墙规则(网络->防火墙->自定义规则):
iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE

我的恩山、我的无线 The best wifi forum is right here.
发表于 2020-8-14 07:28 | 显示全部楼层
【终极指南】关于N1做旁路由添加 iptables 自定义防火墙规则的见解 https://www.right.com.cn/forum/forum.php?mod=viewthread&tid=2983767
来自安卓客户端来自安卓客户端
我的恩山、我的无线 The best wifi forum is right here.
发表于 2020-8-14 08:10 | 显示全部楼层
楼上正解,先弄懂防火墙规则,有可能你发现你所谓的正常使用其实压根就不正常
我的恩山、我的无线 The best wifi forum is right here.
发表于 2020-8-14 08:36 | 显示全部楼层
软路由一直没加过,只用不可描述,到现在感觉也没啥大区别
我的恩山、我的无线 The best wifi forum is right here.
发表于 2020-8-14 10:07 | 显示全部楼层
对于这个问题,之前我也不明白为什么都说要加规则,但经过自己实践和查找资料,理解如下:
openwrt作为旁路由,其实可以不添加防火墙规则 iptables -t nat -I POSTROUTING -j MASQUERADE 这个规则的,有的-o eth0选项,只是指定出接口为eth0,视情况而定
解释一下个人理解,如有大神有正确解释,请指正:
1、局域网内数据传输,实际上是二层地址通讯的,即MAC地址
2、openwrt支持ICMP重定向功能
3、openwrt作为旁路由,其某些功能是具有正向代理功能的,例如出国,解锁某云音乐
举例:   仅限于单网口旁路由
主路由地址:192.168.1.1   MAC:AA:AA:AA:AA:AA:AA  旁路openwrt:192.168.1.2  MAC  BB:BB:BB:BB:BB:BB 网关指向192.168.1.1      PC:192.168.1.100, MAC   CC:CC:CC:CC:CC:CC 网关指向旁路 192.168.1.2

情景1:不出国,如只访问网页   80端口
PC将数据包从CC:CC:CC:CC:CC:CC发到192.168.1.2 BB:BB:BB:BB:BB:BB,旁路发现在防火墙规则里并没有需要代理80端口的规则,则按默认路由转发数据,将数据包转发到主路由 AA:AA:AA:AA:AA:AA,并且旁路由发现192.168.1.1与192.168.1.2符合icmp重定向原则,发送icmp重定向包给pc,通知PC有更好的路由,以后PC则直接CC:CC:CC:CC:CC:CC  发送数据包到  AA:AA:AA:AA:AA:AA
数据通信过程如下:
第一次:CC:CC:CC:CC:CC:CC   ->  BB:BB:BB:BB:BB:BB  ->  AA:AA:AA:AA:AA:AA  即:PC->旁路由->主路由
以后:   CC:CC:CC:CC:CC:CC   ->  AA:AA:AA:AA:AA:AA 即:PC->主路由

情景2:出国
CC:CC:CC:CC:CC:CC  发送包给  BB:BB:BB:BB:BB:BB  ,旁路在规则里发现有代理规则,则通过代理转发数据
数据通信过程如下:
每次:CC:CC:CC:CC:CC:CC   ->  BB:BB:BB:BB:BB:BB  ->  AA:AA:AA:AA:AA:AA ,
出国数据实际出口IP地址是192.168.1.2旁路IP地址,即代理过后的地址,也就是iptables -t nat -I POSTROUTING -j MASQUERADE的作用

所以,个人总结如下:
旁路由可以不加iptables -t nat -I POSTROUTING -j MASQUERADE规则,加也可以,但加完之后,无论数据需要不需要出国代理,都会经过旁路由代理,失去了旁路由最初的作用,也不利于不出国数据的最佳路由

而对于二楼贴中,谁开dhcp之类的,我觉得主路由开DHCP还是旁路由开DHCP,都一样,DHCP作用只是用于分配IP地址和网关地址,只要IP地址不分配冲突,分配的网关是指向旁路由,谁开不是一样呢

ICMP重定向的条件如下
● 数据包进入路由器的接口与数据包被路由出的接口是同一个接口。● 源 IP 地址的子网或网络与被路由的数据包的下一跳 IP 地址处于同一个子网或网络上。● 数据报不是源路由的。● 内核被配置为发送重定向。
我的恩山、我的无线 The best wifi forum is right here.
发表于 2020-8-14 10:29 | 显示全部楼层
tangn 发表于 2020-8-14 10:07
对于这个问题,之前我也不明白为什么都说要加规则,但经过自己实践和查找资料,理解如下:
openwrt作为旁 ...

我也没有添加这个防火墙规则,主路由dh cp处于开启,旁路由Dhcp处于关闭状态。如果想要让某一台设备走旁路由,把那个设备的IP设为静态,网关设成旁路由的IP,这样设置之后,只有这一台设备走旁路由,其它设备仍然走主路由。我觉得这样做更灵活一些,即便旁路游出了什么bug,也不会影响到局域网中其他走主路由的设备。

点评

我也觉得这样设置是最灵活的,需要的设备访问旁路,不需要的主路由,各取所需。。实际使用中,并不会感觉到加不加防火墙规则有什么不同。有一种情况是,主路由加了端口映射,如果加了防火墙规则,被映射的主机网关又  详情 回复 发表于 2020-8-14 11:00
来自安卓客户端来自安卓客户端
我的恩山、我的无线 The best wifi forum is right here.
发表于 2020-8-14 10:41 | 显示全部楼层
思考再三,尤其是看了1楼发的帖子衔接的内容,我还是加了,试试有什么不同
来自安卓客户端来自安卓客户端
我的恩山、我的无线 The best wifi forum is right here.
发表于 2020-8-14 11:00 | 显示全部楼层
星空万里无云 发表于 2020-8-14 10:29
我也没有添加这个防火墙规则,主路由dh cp处于开启,旁路由Dhcp处于关闭状态。如果想要让某一台设备走旁 ...

我也觉得这样设置是最灵活的,需要的设备访问旁路,不需要的主路由,各取所需。。实际使用中,并不会感觉到加不加防火墙规则有什么不同。有一种情况是,主路由加了端口映射,如果加了防火墙规则,被映射的主机网关又是旁路由的话,会外网访问不了
我的恩山、我的无线 The best wifi forum is right here.
发表于 2020-8-16 00:02 | 显示全部楼层
试试有什么不同
来自苹果客户端来自苹果客户端
我的恩山、我的无线 The best wifi forum is right here.
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|手机版|小黑屋|Archiver|恩山无线论坛(常州市恩山计算机开发有限公司版权所有) ( 苏ICP备05084872号 )|网站地图

GMT+8, 2020-9-22 18:48

Powered by Discuz! X3.4

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表