openwrt 中使用 uci 可實現對 IPtable 進行配置。配置檔案位於
/etc/config/firewall

1 預設配置

config defaults
        option syn_flood '1'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'REJECT'

我們可以看到。IPtable 的預設規則為：
輸入 輸出 允許
轉發 明示拒絕

2 zone 區。表明每個網路的預設規則

config zone
        option
 
 name 'lan'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'ACCEPT'
        option network 'lan wwan'
        option masq '1'
        option mtu_fix '1'

config zone
        option name 'wan'
        list network 'wan'
        list network 'wan6'
        option input 'REJECT'
 

        option output 'ACCEPT'
        option forward 'REJECT'
        option masq '1'
        option mtu_fix '1'

config zone
官方解釋：
A zone section groups one more interfaces and serves as a source or destination for forwardings, rules and redirects. Masquerading (NAT) of outgoing traffic is controlled on a per-zone basis.
The options below are defined within zone sections:
個人理解：
防區，作用於各個網路。定義該網路的預設設定。例如，第一個防區，作用於 “lan wwan” 網路。而 lan wwan 在 /etc/config/network 中被定義為 stabridge

config interface 'stabridge'
        option network 'lan wwan'

第二個防區則被作用於 "wan" "wan6"

option input
對於從該網路進去的資料做何處理：
option output
對於從該網路出去的資料做何處理
option forward
轉發管卡 做何種處理
以上配置。有如下幾種取值：

DROP：悄悄丟棄。一般我們多用DROP來隱藏我們的身份，以及隱藏我們的連結串列
REJECT：明示拒絕
ACCEPT：接受
custom_chain：轉向一個自定義的鏈 DNAT SNAT
MASQUERADE：源地址偽裝
REDIRECT：重定向：主要用於實現埠重定向
MARK：打防火牆標記的
RETURN：返回。在自定義鏈執行完畢後使用返回，來返回原規則鏈。

3 config rule 規則

config rule
        option name 'Allow-DHCP-Renew'
        option src 'wan'
        option proto 'udp'
        option dest_port '68'
        option target 'ACCEPT'
        option family 'ipv4'

我們可以看到 上面有關 zone 第二區的預設設定。對於 “wan” 的輸入。預設是拒絕的。
然而。對於某些情景。我們是要允許某些從 “wan” 進來的資料請求
option src ‘wan’
指定 源為 “wan”
option proto ‘udp’
指定協議為 udp
option dest_port ‘68’
目標埠號為 68
option family ‘ipv4’
家族協議為 ipv4
option target
允許
所以上面的配置項的作用是：
對於從 wan 口進入的資料。如果該資料符合下面的條件，則讓其通過：
目標埠號為 68
家族協議為 ipv4
傳輸協議為：udp