OpenWrt软路由防火墙配置：保护内网安全的实战指南

OpenWrt软路由不仅是科学上网的工具，更是家庭网络的安全屏障。本文详细介绍OpenWrt内置防火墙的配置，包括端口转发、流量限制、DoS防护和内网隔离。

固件下载：点击下载

一、OpenWrt防火墙基础架构

OpenWrt使用iptables作为底层防火墙，通过LuCI Web界面或直接编辑/etc/config/firewall实现配置。防火墙默认策略：WAN口入站流量默认拒绝；LAN口入站流量默认允许；转发流量（Forward）默认拒绝。

防火墙区域（Zones）：OpenWrt预置wan、lan、loopback三个区域。自定义区域如vpn、guest可按需添加。流量规则基于源/目标区域、端口、IP地址进行匹配。

二、端口转发（Port Forward）配置

端口转发用于将外网流量导向内网特定设备。常见场景：外网访问内网NAS（WebDAV 5005端口）；外网访问内网摄像头（HTTP 8080/HTTPS 8443）；远程桌面连接到内网电脑（RDP 3389）。

LuCI配置路径：网络 > 防火墙 > 端口转发。添加规则示例：名称：NAS_WebDAV；协议：TCP+UDP；源区域：wan；目标区域：lan；目标IP：192.168.1.100；目标端口：5005。

三、流量限制与QoS

OpenWrt通过sqm-scripts和tc命令实现流量整形。配置QoS步骤：安装sqm-scripts：opkg update && opkg install sqm-scripts。在LuCI > 网络 > QoS 界面配置：下载带宽（wan口下行）；上传带宽（wan口上行）；优先队列（游戏>视频>下载）。

针对单IP限速：在/etc/config/firewall中使用connbytes规则限制单连接流量。防止bt下载抢占带宽：限制单个IP总带宽为带宽上限的50%。

四、DoS防护配置

OpenWrt防火墙支持基础的DoS（拒绝服务攻击）防护。通过iptables配置 SYN Flood防护：iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 3 -j ACCEPT。ICMP限流：限制ping回应率为每秒1个包。

在LuCI > 网络 > 防火墙 > 自定义规则中可添加上述iptables命令。开启后可以有效防御简单的DoS攻击，但对大规模分布式攻击（DDoS）效果有限，需要上游路由器或防火墙配合。

五、内网隔离与访客网络

创建访客网络：将访客设备隔离在独立VLAN，访客WiFi无法访问内网设备。配置步骤：网络 > 接口 > 添加新接口（guest，桥接到br-guest）；分配新防火墙区域guest，策略为拒绝访问lan区。

客户端设备隔离：防止同一WiFi内的设备互相访问。在AP或交换机上配置端口隔离（Port Isolation），或通过OpenWrt ebtables规则实现MAC地址隔离。

六、常见问题

端口转发不生效：检查目标主机防火墙（Windows Defender可能阻止）；确认目标IP正确；尝试添加DMZ主机测试。防火墙规则冲突：规则按顺序匹配，删除冲突规则；使用 iptables -L -n --line-numbers 查看规则顺序。内网访问变慢：检查QoS是否过于严格；检查是否有人正在进行大流量下载。