Конфігурація міжмережевого екрана /etc/config/firewall

Система керування фаєрволом OpenWrt — firewall — переважно конфігурується через файл /etc/config/firewall.

Основна увага у цьому розділі приділяється саме конфігураційним файлам і їхньому вмісту. Інтерфейси LuCI та UCI є лише зручними абстракціями, що в результаті змінюють ці самі файли.

• Основний файл конфігурації фаєрволу — /etc/config/firewall; саме його потрібно редагувати для зміни налаштувань.
  • Перед змінами обов’язково зробіть резервну копію файлу!
    • Якщо після змін ви втратите доступ до маршрутизатора, знадобиться аварійний режим (failsafe) для відновлення з копії.
  • Після редагування файлу, і подвійної перевірки всіх змін, оновіть конфігурацію командою:

    /etc/init.d/firewall reload

    • Це shell-скрипт, що викликає `fw4 reload` і виводить повідомлення до консолі. Обов’язково перевірте наявність помилок!
• Рядки, що починаються з #, ігноруються парсером
  • Коментарі можна використовувати для пояснення, опису чи тимчасового вимкнення секцій.
• Починаючи з OpenWrt 22.03, за замовчуванням використовується firewall4, що працює поверх nftables. Він підтримує той самий синтаксис UCI, що й fw3.
• Конфігурація UCI у /etc/config/firewall охоплює більшість, але не всі можливості NetFilter
  • Для розширення можливостей доступний механізм include
    • Можна додавати shell-скрипт з nftables-командами або фрагмент nft-конфігурації.
      • Див. приклади: fw3_config_examples (можуть бути застарілими!)
• Коли можливо, використовуйте файл UCI-конфігурації /etc/config/firewall
  • У складних випадках дозволяється використання власних nftables-правил
    • Детальніше: Netfilter в OpenWrt

LuCI — зручний спосіб переглядати та змінювати налаштування фаєрволу:

• Розташування: Network → Firewall
• Відображає конфігурацію у структурованому вигляді, що відповідає секціям конфігураційного файлу.

Після внесення змін натисніть Save & Apply.

• LuCI видаляє всі коментарі (#) з файлу /etc/config/firewall!

UCI — низькорівнева абстракція для керування конфігураційними файлами. Доступна також через SSH.

uci add firewall rule
uci set firewall.@rule[-1].name='Відхилити VPN → LAN'
uci set firewall.@rule[-1].src='vpn'
uci set firewall.@rule[-1].dest='lan'
uci set firewall.@rule[-1].proto='all'
uci set firewall.@rule[-1].target='REJECT'
uci commit firewall
service firewall restart

Це створить правило у кінці списку, що відхиляє весь трафік з VPN у LAN (усі протоколи).

Перегляд поточної конфігурації фаєрволу:

uci show firewall
# Приклад:
firewall.@rule[20]=rule
firewall.@rule[20].name='Відхилити VPN → LAN'
firewall.@rule[20].src='vpn'
firewall.@rule[20].dest='lan'
firewall.@rule[20].proto='all'
firewall.@rule[20].target='REJECT'
...

UCI зручний для перегляду, але не дуже підходить для складного редагування, оскільки:

• Потрібно знати точну позицію, куди вставити правило;
• UCI не бачить вміст файлу /etc/firewall.user;
• Після змін потрібно виконати `uci commit`, а потім ще й `firewall reload`.

Нижче — короткий огляд типів секцій у конфігурації фаєрволу.

• Мінімальна конфігурація для маршрутизатора зазвичай складається з однієї секції defaults, принаймні двох zones (lan і wan) та однієї forwarding для дозволу трафіку з lan у wan.
• Секція forwarding не є обов’язковою, якщо є лише дві зони — можна вказати global defaults.

Секція defaults задає глобальні параметри фаєрволу, які не належать до окремих зон:

config defaults
  option  input     'ACCEPT'
  option  output      'ACCEPT'
  option  forward     'REJECT'
  option  custom_chains   '1'
  option  drop_invalid    '1'
  option  synflood_protect  '1'
  option  synflood_rate   '25/s'
  option  synflood_burst    '50'
  option  tcp_ecn     '1'
  option  tcp_syncookies    '1'
  option  tcp_window_scaling  '1'

Секція zone об’єднує один або кілька інтерфейсів та слугує джерелом або ціллю для секцій forwardings, rules та redirects.

config zone
  option name 'wan'
  option network 'wan wan6'
  option input 'REJECT'
  option output 'ACCEPT'
  option forward 'REJECT'
  option masq '1'
  option mtu_fix '1'

• MASQUERADE (NAT) для вихідного трафіку зони визначається на рівні зони.
• input — трафік до маршрутизатора з цієї зони.
• output — трафік з маршрутизатора через цю зону.
• forward — трафік між інтерфейсами в цій зоні.

Секції forwarding визначають правила переспрямування трафіку між зонами.

config forwarding
  option src 'lan'
  option dest 'wan'

• Одне правило forwarding охоплює лише один напрямок. Для двостороннього трафіку потрібно створити два правила зі зміненими місцями src і dest.

Для роботи цих правил необхідне відстеження з’єднань (conntrack). Принаймні одна із зон повинна мати увімкнений masq або інше, що активує conntrack.

Секція rule використовується для створення простих правил прийому (accept), відхилення (drop) або заборони (reject) трафіку для дозволу або обмеження доступу до певних портів чи хостів.

config rule
  option  name    'Заборонити LAN → WAN для певної IP'
  option  src   'lan'
  option  src_ip    '192.168.1.2'
  option  src_mac   '00:11:22:33:44:55'
  option  src_port  '80'
  option  dest    'wan'
  option  dest_ip   '194.25.2.129'
  option  dest_port '120'
  option  proto   'tcp'
  option  target    'REJECT'

Наступний приклад демонструє переспрямування між зонами (де переспрямування заборонене), з однією зоною lan, яка містить два інтерфейси. Один інтерфейс має сервер з IP-адресою 172.30.100.1, інший — типовий LAN-інтерфейс з діапазоном 192.168.1.0/24. Конфігурація дозволяє IPv4-трафік tcp лише до IP сервера на порт 22.

config rule
  option name             'Переспрямувати SSH до сервера'
  option family           'ipv4'
  option src              'lan'
  option src_ip           '192.168.1.0/24'
  option dest             'lan'
  option dest_ip          '172.30.100.1'
  option proto            'tcp'
  option dest_port        '22'
  option target           'ACCEPT'

* У фаєрволі OpenWrt, зв’язок src і dest визначає тип правила:

• Якщо вказані обидва — правило для переспрямованого трафіку
• Якщо лише src — правило для вхідного трафіку
• Якщо лише dest — правило для вихідного трафіку
• Якщо не вказано жодного — обробляється як вихідне

* src\_ip і dest\_ip можуть бути як окремою IP-адресою, так і CIDR-нотацією (наприклад, 192.168.1.0/24) * Діапазон портів задається як start-stop, наприклад 6666-6670

Переадресація портів (DNAT) визначається секціями типу redirect. Перенаправлення портів також часто називають “port forwarding” або “віртуальні сервери”.

• Увесь вхідний трафік із вказаної вихідної зони, що відповідає заданим правилам, буде переадресовано на вказаний внутрішній хост.
• Діапазони портів вказуються у форматі початковий-кінцевий, наприклад: 6666-6670.

Див. також: Переадресація портів для IPv6

config redirect
  option  name    'DNAT WAN to LAN for SSH'
  option  src   'wan'
  option  src_dport '19900'
  option  dest    'lan'
  option  dest_ip   '192.168.1.1'
  option  dest_port '22'
  option  proto   'tcp'
  option  target    'DNAT'

Якщо в секції конфігурації не вказано src_dport, усі пакети, що відповідають іншим параметрам цієї секції (на будь-якому порту), будуть переадресовані на порт призначення, зазначений у цій секції. Це може становити загрозу безпеці для застосунку, що працює на вказаному порту призначення. Один із способів перевірити цю проблему — скористатись сервісом ShieldsUP! від Gibson Research Corporation і просканувати бажані порти на вашому маршрутизаторі. Можливі відповіді: відкритий (open), закритий (closed) або невидимий (stealth). У випадках відкритих або закритих портів пакети досягають хоста-призначення й отримують підтвердження або відповіді. У той час як невидимі порти просто відкидають пакети; з точки зору сканувального сервера (GRC) — він не може впевнено визначити, чи дійсно пакети досягають хоста.

Найпоширеніша форма SNAT — це маскарадинг, який змінює адресу джерела трафіку до WAN на публічну IP-адресу маршрутизатора. SNAT також можна задати вручну:

config redirect
  option  name    'SNAT DMZ 192.168.1.250 to WAN 1.2.3.4 for ICMP'
  option  src   'dmz'
  option  src_ip    '192.168.1.250'
  option  src_dip   '1.2.3.4'
  option  dest    'wan'
  option  proto   'icmp'
  option  target    'SNAT'

Див. також: Список опцій SNAT на OpenWrt SNAPSHOT

Назва	Тип	Обовʼязково	Типове	Опис
name	рядок	ні	рядок	Назва правила переадресації
src	назва зони	так для DNAT	(не задано)	Вказує зону-джерело трафіку. Зазвичай для переадресації портів це wan.
src_ip	IP-адреса	ні	(не задано)	Вхідний трафік із вказаної IP-адреси.
src_dip	IP-адреса	так для SNAT	(не задано)	Для DNAT: трафік, скерований на вказану IP-адресу. Для SNAT: нова адреса-джерело після заміни.
src_mac	MAC-адреса	ні	(не задано)	Трафік від вказаної MAC-адреси.
src_port	порт або діапазон	ні	(не задано)	Трафік з вказаного порту або діапазону портів джерела.
src_dport	порт або діапазон	ні	(не задано)	Для DNAT: порт або діапазон портів призначення. Для SNAT: змінений порт джерела.
proto	назва або номер протоколу	ні	tcp udp	Протокол трафіку: tcp, udp, icmp, all тощо. Також дозволено числові значення та імена з /etc/protocols.
dest	назва зони	так для SNAT	(не задано)	Зона призначення трафіку. Для DNAT — не має значення.
dest_ip	IP-адреса	ні	(не задано)	Для DNAT: хост, на який перенаправляється трафік. Для SNAT: IP призначення, що перевіряється.
dest_port	порт або діапазон	ні	(не задано)	Для DNAT: порт внутрішнього хоста. Для SNAT: перевірка на порти призначення.
ipset	рядок	ні	(не задано)	Ім’я ipset-набору, за яким фільтрується трафік.
mark	рядок	ні	(не задано)	Firewall-маркування. Напр., 0xFF або !0x10 (виключення).
start_date	дата (рррр-мм-дд)	ні	(завжди)	Початкова дата для відповідності.
stop_date	дата (рррр-мм-дд)	ні	(завжди)	Кінцева дата для відповідності.
start_time	час (гг:хх:сс)	ні	(завжди)	Початковий час доби для відповідності.
stop_time	час (гг:хх:сс)	ні	(завжди)	Кінцевий час доби для відповідності.
weekdays	список днів тижня	ні	(завжди)	Напр., sun mon fri. ! sat sun — усі, крім суботи та неділі.
monthdays	список чисел	ні	(завжди)	Напр., 2 5 30. ! 31 — усі дні, крім 31-го.
utc_time	булеве значення	ні	0	Інтерпретація часу у форматі UTC.
target	рядок	ні	DNAT	Тип NAT: DNAT або SNAT.
family	рядок	ні	(авто)	Діапазон адрес: ipv4, ipv6 або any.
reflection	булеве значення	ні	1	Увімкнення NAT-відображення для DNAT.
reflection_src	рядок	ні	internal	Джерело для NAT-відображення: internal або external.
reflection_zone	список зон	ні	(не задано)	Зони, для яких увімкнено відображення.
limit	рядок	ні	(не задано)	Максимальна середня швидкість відповідності. Напр.: 3/sec.
limit_burst	ціле число	ні	5	Початковий ліміт пакетів вище порогового значення.
extra	рядок	ні	(не задано)	Додаткові аргументи iptables. Не підтримується у firewall4.
enabled	рядок	ні	1 або yes	Увімкнення правила переадресації.
helper	cthelper	ні

Див. також: Приклади IP-наборів

`fw4` підтримує використання або створення IP-наборів для спрощення співставлення з великими списками IP-адрес або портів без необхідності створення окремого правила для кожного елементу. `fw4` підтримує менше параметрів (див. нижче).

prefix_suffix

Порядок співставлення типів даних має значення.

Порядок співставлення типів даних має значення

fw4 підтримує кілька способів додавання власних правил файрволу. У всіх випадках власні правила мають бути записані у стилі nftables.

Один зі способів — додавання фрагментів правил у стилі nftables. Можливі кілька позицій для вставки в структуру nftables.

Наприклад, щоб додати власне логування до ланцюга input_wan:

# /etc/config/firewall
config include
  option  type    'nftables'
  option  path    '/etc/my_custom_firewall_rule.nft'
  option  position  'chain-pre'
  option  chain   'input_wan'
 
# /etc/my_custom_firewall_rule.nft
tcp dport 0-1023 log prefix "Inbound WAN connection attempt to low TCP port: "

Щоб додати один або більше власних ланцюгів:

config include
  option  type    'nftables'
  option  path    '/etc/my_custom_firewall_chain.nft'
  option  position  'table-post'

Підтримувані параметри:

Можливі позиції вставки для фрагментів nftables:

Для розуміння структури таблиці/ланцюгів/правил виконайте команду: ``fw4 print``

Примітка: суфікс -pre можна також писати як -prepend, а -post — як -postpend або -append.

Додавання власних правил за допомогою shell-скрипта працює аналогічно fw3, але скрипт повинен використовувати синтаксис nftables. Параметр fw4_compatible обовʼязковий, якщо вказано шлях до файлу /etc/firewall.user — він вказує, що скрипт сумісний із fw4.

config include
  option  enabled   1
  option  type    'script'
  option  path    '/etc/firewall.user'
  option  fw4_compatible  1

Параметри family та reload з fw3 більше не підтримуються у fw4.

fw4 за замовчуванням додає всі файли з розширенням .nft у каталозі /etc/nftables.d/ — на початку таблиці fw4 (еквівалент позиції table-pre).

Це означає, що ви можете створювати власні ланцюги, просто додавши файл із розширенням .nft до каталогу /etc/nftables.d/.

Автори пакунків, яким потрібні власні правила файрволу, можуть додавати фрагменти nftables у відповідні директорії залежно від бажаної позиції вставки:

Усі фрагменти мають бути доступними для читання та закінчуватися на .nft.

У старіших версіях OpenWrt (з fw3) ви можете додати власні скрипти файрволу, визначивши одну або більше секцій include у конфігурації файрволу:

config include
  option  path    '/etc/firewall.user'

Файл /etc/firewall.user за замовчуванням порожній.

Скрипти типу script можуть містити будь-які команди оболонки, наприклад: розширені правила nftables або команди `tc`, потрібні для трафік-шейпінгу.