誰かがデフォルトのOpenWrtファイアウォールルールを監査したことがありますか?
私はOpenwrt 10.03.1を次の場所からインストールしました:openwrt-ar71xx-wrt160nl-squashfs-factory.bin(これでカスタマイズされたファイアウォール:sed 's/REJECT/DROP/g'/etc/config/firewall)-これに加えて、 それはデフォルトのOPENWRTインストールです
3つのクライアント用に3つのSSIDがあります。 WRT160NLです。
それはpppoe経由でインターネットに接続するので、pppoe-wanはWANインターフェースです(実際には "eth1"はWANインターフェースです、ケーブルはそのポートに差し込まれています)。
それで、私は次のものを紙に印刷しました:
iptables-save
root@OPENWRT:~# iptables-save
# Generated by iptables-save v1.4.6 on Wed Nov 21 16:59:23 2012
*nat
:PREROUTING ACCEPT [282:28098]
:POSTROUTING ACCEPT [12:748]
:OUTPUT ACCEPT [170:12487]
:nat_reflection_in - [0:0]
:nat_reflection_out - [0:0]
:postrouting_rule - [0:0]
:prerouting_lan - [0:0]
:prerouting_rule - [0:0]
:prerouting_wan - [0:0]
:zone_lan_nat - [0:0]
:zone_lan_prerouting - [0:0]
:zone_wan_nat - [0:0]
:zone_wan_prerouting - [0:0]
-A PREROUTING -j prerouting_rule
-A PREROUTING -i br-lan -j zone_lan_prerouting
-A PREROUTING -i pppoe-wan -j zone_wan_prerouting
-A POSTROUTING -j postrouting_rule
-A POSTROUTING -o br-lan -j zone_lan_nat
-A POSTROUTING -o pppoe-wan -j zone_wan_nat
-A postrouting_rule -j nat_reflection_out
-A prerouting_rule -j nat_reflection_in
-A zone_lan_prerouting -j prerouting_lan
-A zone_wan_nat -j MASQUERADE
-A zone_wan_prerouting -j prerouting_wan
COMMIT
# Completed on Wed Nov 21 16:59:23 2012
# Generated by iptables-save v1.4.6 on Wed Nov 21 16:59:23 2012
*raw
:PREROUTING ACCEPT [88762:5585776]
:OUTPUT ACCEPT [32677:185865297]
:zone_lan_notrack - [0:0]
:zone_wan_notrack - [0:0]
-A PREROUTING -i br-lan -j zone_lan_notrack
-A PREROUTING -i pppoe-wan -j zone_wan_notrack
COMMIT
# Completed on Wed Nov 21 16:59:23 2012
# Generated by iptables-save v1.4.6 on Wed Nov 21 16:59:23 2012
*mangle
:PREROUTING ACCEPT [88762:5585776]
:INPUT ACCEPT [86059:4425898]
:FORWARD ACCEPT [2664:1156339]
:OUTPUT ACCEPT [32677:185865297]
:POSTROUTING ACCEPT [35338:187021465]
:zone_wan_MSSFIX - [0:0]
-A FORWARD -j zone_wan_MSSFIX
-A zone_wan_MSSFIX -o pppoe-wan -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Wed Nov 21 16:59:23 2012
# Generated by iptables-save v1.4.6 on Wed Nov 21 16:59:23 2012
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:forward - [0:0]
:forwarding_lan - [0:0]
:forwarding_rule - [0:0]
:forwarding_wan - [0:0]
:input - [0:0]
:input_lan - [0:0]
:input_rule - [0:0]
:input_wan - [0:0]
:nat_reflection_fwd - [0:0]
:output - [0:0]
:output_rule - [0:0]
:reject - [0:0]
:syn_flood - [0:0]
:zone_lan - [0:0]
:zone_lan_ACCEPT - [0:0]
:zone_lan_DROP - [0:0]
:zone_lan_REJECT - [0:0]
:zone_lan_forward - [0:0]
:zone_wan - [0:0]
:zone_wan_ACCEPT - [0:0]
:zone_wan_DROP - [0:0]
:zone_wan_REJECT - [0:0]
:zone_wan_forward - [0:0]
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j syn_flood
-A INPUT -j input_rule
-A INPUT -j input
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j forwarding_rule
-A FORWARD -j forward
-A OUTPUT -m state --state INVALID -j DROP
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -j output_rule
-A OUTPUT -j output
-A forward -i br-lan -j zone_lan_forward
-A forward -i pppoe-wan -j zone_wan_forward
-A forwarding_rule -j nat_reflection_fwd
-A input -i br-lan -j zone_lan
-A input -i pppoe-wan -j zone_wan
-A output -j zone_lan_ACCEPT
-A output -j zone_wan_ACCEPT
-A reject -p tcp -j REJECT --reject-with tcp-reset
-A reject -j REJECT --reject-with icmp-port-unreachable
-A syn_flood -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 25/sec --limit-burst 50 -j RETURN
-A syn_flood -j DROP
-A zone_lan -j input_lan
-A zone_lan -j zone_lan_ACCEPT
-A zone_lan_ACCEPT -o br-lan -j ACCEPT
-A zone_lan_ACCEPT -i br-lan -j ACCEPT
**-A zone_lan_DROP -o br-lan -j DROP**
**-A zone_lan_DROP -i br-lan -j DROP**
**-A zone_lan_REJECT -o br-lan -j reject**
**-A zone_lan_REJECT -i br-lan -j reject**
-A zone_lan_forward -j zone_wan_ACCEPT
-A zone_lan_forward -j forwarding_lan
-A zone_lan_forward -j zone_lan_DROP
-A zone_wan -p udp -m udp --dport 68 -j ACCEPT
-A zone_wan -p icmp -m icmp --icmp-type 8 -j DROP
-A zone_wan -j input_wan
-A zone_wan -j zone_wan_DROP
-A zone_wan_ACCEPT -o pppoe-wan -j ACCEPT
-A zone_wan_ACCEPT -i pppoe-wan -j ACCEPT
-A zone_wan_DROP -o pppoe-wan -j DROP
-A zone_wan_DROP -i pppoe-wan -j DROP
-A zone_wan_REJECT -o pppoe-wan -j reject
-A zone_wan_REJECT -i pppoe-wan -j reject
-A zone_wan_forward -j forwarding_wan
-A zone_wan_forward -j zone_wan_DROP
COMMIT
# Completed on Wed Nov 21 16:59:23 2012
root@OPENWRT:~#
ifconfig
root@OPENWRT:~# ifconfig
br-lan Link encap:Ethernet HWaddr AA:AA:AA:AA:AA:AA
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:87174 errors:0 dropped:0 overruns:0 frame:0
TX packets:137186 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:4532245 (4.3 MiB) TX bytes:192952659 (184.0 MiB)
eth0 Link encap:Ethernet HWaddr AA:AA:AA:AA:AA:AA
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:16 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 B) TX bytes:2578 (2.5 KiB)
Interrupt:4
eth1 Link encap:Ethernet HWaddr BB:BB:BB:BB:BB:BB
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:3661 errors:0 dropped:0 overruns:0 frame:0
TX packets:3447 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1221049 (1.1 MiB) TX bytes:224533 (219.2 KiB)
Interrupt:5
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:24 errors:0 dropped:0 overruns:0 frame:0
TX packets:24 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:2088 (2.0 KiB) TX bytes:2088 (2.0 KiB)
mon.wlan0 Link encap:UNSPEC HWaddr CC-CC-CC-CC-CC-C1-00-00-00-00-00-00-00-00-00-00
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:263 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:32
RX bytes:20929 (20.4 KiB) TX bytes:0 (0.0 B)
pppoe-wan Link encap:Point-to-Point Protocol
inet addr:1.2.3.4 P-t-P:10.0.0.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1
RX packets:1646 errors:0 dropped:0 overruns:0 frame:0
TX packets:1448 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:1063783 (1.0 MiB) TX bytes:132628 (129.5 KiB)
wlan0 Link encap:Ethernet HWaddr CC:CC:CC:CC:CC:C1
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:16 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:32
RX bytes:0 (0.0 B) TX bytes:2850 (2.7 KiB)
wlan0-1 Link encap:Ethernet HWaddr CC:CC:CC:CC:CC:C2
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:16 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:32
RX bytes:0 (0.0 B) TX bytes:2850 (2.7 KiB)
wlan0-2 Link encap:Ethernet HWaddr CC:CC:CC:CC:CC:C3
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:16 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:32
RX bytes:0 (0.0 B) TX bytes:2850 (2.7 KiB)
brctl show
root@OPENWRT:~# brctl show
bridge name bridge id STP enabled interfaces
br-lan 8000.129ce121c98e no eth0
wlan0
wlan0-1
wlan0-2
root@OPENWRT:~#
...そしてそれを数回詳しく見てみましょう。理解できないことがいくつか見つかりました。
1)
これらのルールは完全に無用であると私は確信しています。これについては確信しているので、これに関する本当の質問はありません。少なくとも「fixme」です。
-A zone_lan_DROP -o br-lan -j DROP
-A zone_lan_DROP -i br-lan -j DROP
-A zone_lan_REJECT -o br-lan -j reject
-A zone_lan_REJECT -i br-lan -j reject
2)
本当の質問は...なぜテーブルが多すぎるのですか?
nat_reflection_in、nat_reflection_out、postrouting_rule、prerouting_lan、prerouting_rule、prerouting_wan、zone_lan_nat、zone_lan_prerouting、zone_wan_nat、zone_wan_prerouting、zone_lan、zone_lan_forward、zone_wan、zone_wan_forwardなど。
ルールはテーブルなしで実行できませんでしたか?OpenWrtルーターは通常、CPUが小さいので、なぜ複雑なルールを使用するのですか?なぜもっとシンプルではないのですか?テーブルなし?
3)
...なぜこれらのテーブルが必要なのかという良い答えがだれにも出てこない場合は……すべてのルールなどをフラッシュして、手動で実行します。より簡単な方法.
1)これらのルールは完全に無用であると私は確信しています。したがって、これについては本当の質問はありません。少なくとも「修正」です。
いいえ、これらのルールは役に立ちます。あなたが彼らが役に立たないと思う理由を私に言ったら、私はあなたにその理由を教えます。
わかりました、冗談です。あなたがそれを望んでいるかどうかを教えます。これらのルールの目的は、設計をシンプルに保つことです。単純さは、ルールの数では測定されません。これらのルールには方法があります。各テーブルには、その名前から明らかなわかりやすい目的があります。 デフォルトの設定の場合一部のテーブルに単一のルールがあることがあります。単一ルールテーブルを最適化するために、OpenWRTでかなり複雑なコードが必要になります。また、システム管理者がこの架空のコンパイラを経由せずにルールを微調整することも難しくなります。
2)本当の質問は...なぜテーブルが多すぎるのですか?
これらの表は、OpenWRTのファイアウォール設定の機能に対応しています。ルールを少なくすることもできますが、一部のユーザーに役立つ機能が失われます。
テーブルなしでルールを作成できませんでしたか? OpenWrtルーターは通常、CPUが小さいですが、なぜ複雑なルールを使用するのですか?なぜもっと単純ではないのですか?テーブルなし?
間違いなく独自の設定を少ないテーブルで作成できます(ファイアウォールが非常に単純なものでない限り、おそらくいくつか作成することになります)。 OpenWRTは多くのユーザーに対応するため、より柔軟です。
ルールの数はCPUの速度やRAM=サイズとは無関係です。テーブルの数の影響は、テーブルを通過するのにかかる時間とはかなり相関がありません。逆に、テーブルとテーブルあたりのルールが少ないということは、各パケットが通過するパスが短くなることを意味します(ツリーが広いほど、ツリーの深さが浅くなります)。メモリへの影響は無視できます:テーブルあたり数百バイトと数メガバイトのRAM。