Openwrt 22.03 基于nftables + firewall4 实现URL白名单

需求

LAN桥下接入的客户端只能访问白名单中的地址。

实现原理

• 将url信息存储到文件中
• 使用dig将文件中的url信息转换为ip列表
• 将ip列表通过nftables进行设置（允许从LAN转发到WAN）

实现过程

添加dig支持

dig 可根据域名或url查询出对应的多个IP地址。

make menuconfig 

xxxxxxxxxx
Network  --->
  IP Addresses and Names  --->
    <*> bind-dig........................................ bind DNS excavation tool

白名单功能初始化

关闭lan的转发功能，这样LAN下的客户端不能访问外网。

xxxxxxxxxx
uci set firewall.@forwarding[0].enabled='0'
uci commit firewall
service firewall restart

设置url白名单

• 将url白名单存放到文件中

  xxxxxxxxxx
  root@OpenWrt:/tmp# cat /etc/allowlist.conf 
  www.baidu.com
  baidu.com
  

   

• 执行如下命令将白名单加入到 blackhole set 中

  xxxxxxxxxx
  nft add set inet fw4 blackhole { type ipv4_addr \;}
  for address in $(dig a -f /etc/allowlist.conf +short | grep -v '\.$'); do
      nft add element inet fw4 blackhole {$address}
  done
  

   

• 将该set 插入到 默认的fw4 下的 lan转发下

  这样保证只有blackhole中的ip是允许从LAN转发到WAN的

  xxxxxxxxxx
  nft insert rule inet fw4 forward_lan ip daddr @blackhole accept
  

调试命令

xxxxxxxxxx
nft list ruleset

该命令用于查看openwrt 设备下的所有防火墙配置规则

注意事项

• url对应的IP地址可能每隔一段时间就会发生变化，如果发现规则不起作用，重新走一下 设置url白名单 流程。

验证

• 在LAN口接笔记本
• 不做上述配置情况下，笔记本可以正常上外网
• 完成上述配置后，笔记本只能访问白名单中的地址

禁用url白名单

恢复lan的转发功能即可。

xxxxxxxxxx
uci set firewall.@forwarding[0].enabled='1'
uci commit firewall
service firewall restart

参考

• https://openwrt.org/docs/guide-user/firewall/filtering_traffic_at_ip_addresses_by_dns
• https://openwrt.org/docs/guide-user/firewall/firewall_configuration
• https://netfilter.org/projects/nftables/