OpenWrt防火墙设置，端口转发|通信设置，内网穿透、远程桌面

1、常规设置

• 启用 SYN-flood 防御：防止SYN-flood攻击，这是一个拒绝服务攻击，攻击者通过发送大量半连接请求来耗尽服务器资源。勾选后，防火墙会检测并阻止这种攻击。
• 丢弃无效数据包：
• 丢弃那些违反TCP/IP协议的无效数据包，这有助于减少不必要的网络流量，提升安全性。
• 通常建议启用，防止恶意数据包对网络产生负面影响。

• 入站数据：
• 控制进入网络的数据包规则。在这里你可以选择“接受”、“拒绝”或“丢弃”外部进入的流量。
• 默认值为“接受”，允许外部流量进入指定区域。

• 出站数据：
• 控制从本地网络发出的数据包规则。通常情况下，允许出站流量，但可以根据需要限制某些类型的流量。
• 默认值为“接受”，允许内部流量发往外部。

• 转发：
• 控制数据包在不同网络接口之间的转发行为。
• 默认设置为“拒绝”，防止未经授权的网络转发，保证网络隔离。

• 启用 FullCone-NAT：
• FullCone NAT使外部设备可以通过同一个IP和端口多次访问内网设备。这对P2P应用和某些游戏会话连接比较友好。
• 兼容模式：通常是对常规NAT模式的优化，兼顾兼容性和网络性能。

2、端口转发

• 注意：常规设置中，转发设为拒绝，影响的是全局，但是端口转发规则的优先级高于转发，针对特定的端口转发规则允许通行。
• 举例说明：比如我把大门关着，对外宣称所有人都不可以通行，但是针对部分有通行证的人（设置了端口转发规则）还是可以放行的。

• 一般情况下的端口转发

添加图片注释，不超过 140 字（可选）

• Docker中的端口转发
• 这种情况下，我们可以简单的理解：Docker相当于一另一台独立的主机，它也有一个内部端口和外部端口，如果我们想要访问docker里面的镜像，需要映射好Docker的端口，然后再做好端口转发，这时候软路由/路由器的内部端口和Docker映射端口可以理解为同一端口。
• 举例说明：例如Docker中有个镜像设置端口映射为5001:5000，如果我们想访问该镜像，就需要添加一个端口转发规则：外部端口（自定义）：5001
• 注意：如果Docker使用的是本机网络，则不需要设置端口转发，直接设置通信规则即可

添加图片注释，不超过 140 字（可选）

• 设置模板（根据自己实际情况填写）

添加图片注释，不超过 140 字（可选）

3、通信规则

• 通信规则设置的优先级高于常规设置下的转发，虽然转发设置了拒绝，但是如果设置了通信规则，它会优先匹配所设置的通信规则。
• 通信规则有点像我们平常的服务器防火墙规则设置，只是通信规则它可以设置的条件会更多，针对满足条件的流量，实行丢弃、接受、拒绝等操作。
• 下图，以最简单的放行指定端口为例

添加图片注释，不超过 140 字（可选）

4、NAT（网络地址转换）规则

• NAT规则和端口转发、通信规则同理，优先级高于常规设置
• 主要作用是通过修改数据包的源或目标IP地址来实现内网和外网的通信。具体作用如下：
• 共享公共IP地址：NAT允许多个局域网设备共享一个公共IP地址访问互联网。通过NAT，路由器可以将内网设备的私有IP地址转换为路由器的公共IP地址，从而让多个设备在外网看来只有一个IP地址。
• 隐藏内网结构：NAT隐藏了内网设备的真实IP地址。外部网络只能看到路由器的公共IP，而看不到内网设备的私有IP，从而增加了网络安全性，防止外网直接访问内网设备。
• 端口转发：NAT规则可以用来将外部网络的特定端口请求转发到内网的某个设备。比如，你可以设置NAT规则，将外部访问路由器的某个端口的请求转发到内网的某个服务器，允许外网用户访问内网资源。
• 地址重写（Masquerading）：NAT可以自动重写数据包的源IP地址为路由器的外部IP。这种机制确保内网设备的数据包可以顺利通过路由器访问外部网络，而外网返回的流量也能正确转发回到内网设备。
• 跨网络通信：NAT 还可以用于两个不同网络（例如不同子网之间）的通信，帮助在网络之间转发流量。

• 注意：本规则一般情况下保持默认即可，如果安装了Docker镜像，需要用公网IP的情况下，需要把这个取消启用，等连接上，在把它启用回来

5、IP集合

• 防火墙的IP集合（IP sets）是一种高效的方式来管理大量的IP地址、网络段或主机的集合。

6、自定义规则

• 自定义规则可以实现前面所有的功能，相对更加个性化