Configuración del firewall
Utilice esta información para establecer la configuración del firewall.
Establecer firewall predeterminado
La sección de valores predeterminados establece los valores globales del firewall que no pertenecen a zonas específicas.
Sintaxis
|
Nombre | Tipo | Obligatorio | Predeterminado | Descripción |
---|---|---|---|---|
input | cadena | no | RECHAZAR | Establece directiva para la cadena de ENTRADA de la tabla de filtros. |
output | cadena | no | RECHAZAR | Establece directiva para la cadena de SALIDA de la tabla de filtros. |
forward | cadena | no | RECHAZAR | Establece directiva para la cadena de REENVÍO de la tabla de filtros. |
syn_flood | booleano | no | 0 | Habilita la protección contra ataques SYN (obsoleta por el valor synflood_protect). |
drop_invalid | booleano | no | 0 | Suelta paquetes no válidos (por ejemplo, cuando no coinciden con ninguna conexión activa). |
Ejemplo de comandos:
|
Añade una zona nueva
Esta sección define las propiedades comunes de la prueba
. Las opciones de entrada y salida establecen las políticas predeterminadas para el tráfico que entra y sale de esta zona, mientras que la opción de reenvío describe la política del tráfico reenviado entre distintas redes dentro de la zona. Las redes cubiertas especifican qué redes disponibles son miembros de esta zona.
Sintaxis
|
Parámetro | Tipo | Obligatorio | Predeterminado | Descripción |
---|---|---|---|---|
name | nombre de zona | sí | ninguno | Nombre de zona único. La longitud máxima del nombre de la zona de firewall en funcionamiento es de 11 caracteres. |
input | cadena | no | RECHAZAR | Establece directiva para la cadena de ENTRADA de la tabla de filtros. |
output | cadena | no | RECHAZAR | Establece directiva para la cadena de SALIDA de la tabla de filtros. |
forward | cadena | no | RECHAZAR | Establece directiva para la cadena de REENVÍO de la tabla de filtros. |
masq | booleano | no | 0 | Especifica si se debe enmascarar el tráfico saliente de la zona: esto suele estar habilitado en la zona wan. |
mtu_fix | booleano | no | 0 | Habilita fijación del MSS para el tráfico saliente de la zona. |
red | lista | no | ninguno | Lista de interfaces asociadas a esta zona. Si se omite y no se especifican opciones, subredes o dispositivos adicionales*, el valor del nombre se usa de forma predeterminada. Las interfaces de alias definidas en la configuración de red no se pueden utilizar como redes 'independientes' válidas. Utiliza la sintaxis de la lista como se explica en uci. |
family | cadena | no | 0 | Familia de protocolos (ipv4, ipv6 o cualquiera) para generar reglas de tablas de IP. |
masq_src | lista de subredes | no | 0.0.0.0/0 | Limita el enmascaramiento a las subredes de origen indicadas. La negación es posible anteponiendo el prefijo ! a la subred; se permiten varias subredes. |
masq_dest | lista de subredes | no | 0.0.0.0/0 | Limita el enmascaramiento a las subredes de destino indicadas. La negación es posible anteponiendo el prefijo ! a la subred; se permiten varias subredes. |
conntrack | booleano | no | 1 si se utiliza enmascaramiento, 0 de lo contrario | Fuerza el seguimiento de la conexión para esta zona (consulte la nota sobre seguimiento de conexiones). |
log | booleano | no | 0 | Crea reglas de registro para el tráfico rechazado y caído en esta zona. |
log_limit | cadena | no | 10/minuto | Limita la cantidad de mensajes de registro por intervalo. |
Ejemplo de comandos:
|
Añade un reenvío nuevo
Las secciones de reenvío controlan el flujo de tráfico entre las zonas y pueden habilitar la fijación del MSS para direcciones específicas. Una regla de reenvío cubre una dirección solamente. Para permitir flujos de tráfico bidireccional entre dos zonas, se requieren dos reenvíos, con src y dest invertidas en cada uno.
Sintaxis
|
Parámetro | Tipo | Obligatorio | Predeterminado | Descripción |
---|---|---|---|---|
src | nombre de zona | sí | ninguno | Especifica la zona de origen del tráfico. Debe hacer referencia a uno de los nombres de zona definidos. |
dest | nombre de zona | sí | ninguno | Especifica la zona de destino del tráfico. Debe hacer referencia a uno de los nombres de zona definidos. |
Ejemplo de comandos:
|
Añade un nuevo puerto de reenvío
Los reenvíos de puerto (DNAT) se definen por secciones de redirección. Todo el tráfico entrante en la zona de origen especificada que coincida con las reglas indicadas se dirigirá al host interno especificado. Los redireccionamientos también se conocen comúnmente como “reenvío de puerto” y “servidores virtuales”. Los rangos de puertos se especifican como start:stop, por ejemplo 6666:6670. Esto es similar a la sintaxis de las tablas de ip.
Sintaxis
|
Parámetro | Tipo | Obligatorio | Predeterminado | Descripción |
---|---|---|---|---|
enabled | cadena | no | 1 o sí | Habilita la regla de redireccionamiento o no. |
name | cadena | no | ninguno | Nombre de redireccionamiento único. |
proto | nombre o número de protocolo | sí | tcp udp | Hace coincidir el tráfico entrante utilizando el protocolo indicado. |
src | nombre de zona | no | sí para DNAT de destino | Especifica la zona de origen del tráfico. Debe hacer referencia a uno de los nombres de zona definidos. Para reenvíos de puerto típicos suele ser wan. |
src_mac | dirección mac | no | ninguno | Hace coincidir el tráfico entrante de la dirección mac especificada. |
src_ip | dirección ip | no | ninguno | Hace coincidir el tráfico entrante de la dirección IP fuente especificada. |
src_port | puerto o rango | no | ninguno | Hace coincidir el tráfico entrante que se originó en el puerto de origen o rango de puerto indicado (por ejemplo: '5000-5100') en el host cliente. |
src_dip | dirección ip | sí para SNAT de destino | ninguno | Para DNAT, hace coincidir el tráfico entrante dirigido a la dirección IP de destino indicada. Para SNAT sustituye la dirección de origen por la dirección indicada. |
src_dport | puerto o rango | no | ninguno | Para DNAT, hace coincidir el tráfico entrante dirigido al puerto o rango de puertos de destino indicado (por ejemplo: '5000-5100') en este host. Para SNAT sustituye los puertos de origen por el valor indicado. |
dest | nombre de zona | sí para SNAT de destino | ninguno | Especifica la zona de destino del tráfico. Debe hacer referencia a uno de los nombres de zona definidos. Para DNAT de destino en ajuste de actitud, el reflejo de NAT solo funciona si este es igual a lan. |
dest_ip | dirección ip | sí para DNAT de destino | ninguno | Para DNAT, redirige el tráfico entrante que coincide al host interno especificado. Para SNAT, hace coincidir el tráfico entrante dirigido a la dirección indicada. Para DNAT, si el valor dest_ip coincide con las direcciones ip locales del enrutador, como se muestra en ifconfig, la regla se traduce en una regla de 'aceptación' de DNAT + entrada. De lo contrario, se trata de una regla DNAT + reenvío. |
dest_port | puerto o rango | no | ninguno | Para DNAT, redirige el tráfico entrante que coincide con el puerto indicado del host interno. Para SNAT, hace coincidir el tráfico entrante dirigido a los puertos indicados. Solo se puede especificar un solo puerto o rango (por ejemplo, '5000-5100'), no puertos dispares como con las reglas (a continuación). |
reflection | booleano | no | 1 | Activa el reflejo de NAT para este redireccionamiento - se aplica a los destinos de DNAT. |
Ejemplo de comandos:
|
Añade una nueva regla de tráfico
Los reenvíos de puerto (DNAT) se definen por secciones de redirección. Todo el tráfico entrante en la zona de origen especificada que coincida con las reglas indicadas se dirigirá al host interno especificado. Los redireccionamientos también se conocen comúnmente como reenvío de puerto
y servidores virtuales
. Los rangos de puertos se especifican como start:stop, por ejemplo 6666:6670. Esto es similar a la sintaxis de las tablas de ip.
Sintaxis
|
Parámetro | Tipo | Obligatorio | Predeterminado | Descripción |
---|---|---|---|---|
enabled | booleano | no | sí | Habilita o deshabilita la regla. |
name | cadena | no | ninguno | Nombre de regla único. |
family | cadena | no | cualquiera | Familia de protocolos (ipv4, ipv6 o cualquiera) para generar reglas de tablas de IP. |
proto | nombre o número de protocolo | no | tcp udp | Hace coincidir el tráfico entrante utilizando el protocolo indicado. Puede ser tcp, udp, tcpudp, udplite, icmp, esp, ah, sctp o todos ellos o puede ser un valor numérico, que representa uno de estos protocolos o uno distinto. También se permite un nombre de protocolo de /etc/protocols. El número 0 equivale a todos. |
src | nombre de zona | sí (opcional desde el Firewall v2, versión 58 y superior) | ninguno | Especifica la zona de origen del tráfico. Debe hacer referencia a uno de los nombres de zona definidos. |
src_mac | dirección mac | no | ninguno | Hace coincidir el tráfico entrante de la dirección mac especificada. |
src_ip | dirección ip | no | ninguno | Hace coincidir el tráfico entrante de la dirección IP fuente especificada. |
src_port | puerto o rango | no | ninguno | Hace coincidir el tráfico entrante desde el puerto de origen o el rango de puerto especificado (por ejemplo, '5000:5100', el rango de puerto no se aplica a todos los protocolos), si se especifica el protocolo correspondiente. Se pueden especificar varios puertos, como '80 443 465' 1. |
dest | nombre de zona | no | ninguno | Especifica la zona de destino del tráfico. Debe hacer referencia a uno de los nombres de zona definidos o * para cualquier zona. Si se especifica, la regla se aplica al tráfico reenviado; de lo contrario, se la trata como una regla de entrada. |
dest_ip | dirección ip | no | ninguno | Hace coincidir el tráfico entrante dirigido a la dirección IP de destino especificada. Sin zona de destino, esta se trata como una regla de entrada. |
dest_port | puerto o rango | no | ninguno | Hace coincidir el tráfico entrante dirigido en el puerto de destino o el rango de puerto indicado (por ejemplo, '5000:5100', el rango de puerto no se aplica a todos los protocolos), si se especifica el protocolo correspondiente. Se pueden especificar varios puertos, como '80 443 465' 1. |
target | cadena | sí | SOLTAR | Activa el reflejo de NAT para este redireccionamiento - se aplica a los destinos de DNAT. |
weekdays | lista de días de la semana | no | (siempre) | Si se especifica, solo hace coincidir el tráfico de los días de la semana indicados, por ejemplo, dom lun jue vie para que solo coincida con los domingos, lunes, jueves y viernes. La lista puede invertirse anteponiendo un signo de exclamación, es decir, ! sab dom para que coincida siempre, excepto los sábados y domingos. |
monthdays | lista de fechas | no | (siempre) | Si se especifica, solo hace coincidir el tráfico de los días indicados, por ejemplo, 2 5 30 para que solo coincidan los días 2, 5 y 30 del mes. La lista puede invertirse anteponiendo un signo de exclamación, es decir, ! 31 para que coincida siempre, excepto el 31 de cada mes. |
start_time | hora (hh:mm:ss) | no | (siempre) | Si se especifica, solo hace coincidir el tráfico después de la hora indicada del día (inclusive). |
stop_time | hora (hh:mm:ss) | no | (siempre) | Si se especifica, solo hace coincidir el tráfico antes de la hora indicada del día (inclusive). |
start_date | fecha (aaaa-mm-dd) | no | (siempre) | Si se especifica, solo hace coincidir el tráfico después de la fecha indicada (inclusive). |
stop_date | fecha (aaaa-mm-dd) | no | (siempre) | Si se especifica, solo hace coincidir el tráfico antes de la fecha indicada (inclusive). |
utc_time | booleano | no | 0 | Trata todos los valores de hora indicados como hora UTC en lugar de la hora local. |
Ejemplo de comandos:
|
Añadir un NAT de origen nuevo
El NAT de origen cambia un paquete saliente de forma que parezca que el sistema de conmutador incorporado es el origen del paquete.
Definir el NAT de origen para el tráfico UDP y TCP dirigido al puerto 123 que se origina en el host con la dirección IP 10.55.34.85. La dirección de origen se sustituye por 63.240.161.99:
|