[分享]淺談EdgeRouter之防火牆

陪伴小弟兩三年的x86 RouterOS機子不知道哪根筋不對，三不五時就reboot。
而RouterBoard的新機價位越來越高，所以最後只好忍痛放下喜愛的RouterOS。
現在家中負責網路的重責大任就落到EdgeRouter Lite3身上。
對小弟來說，EdgeRouter系列所採用的EdgeOS實在是不好上手，卡關連連吶。

雖然EdgeRouter在板上討論度不高，但我想最近應該有不少網友是跟我一起購入ERL3的。
（題外話，在FB上私一下，荷包就遭殃了...）
想跟大家分享一下ERL3防火牆的一些基本邏輯，希望可以讓大家少走些冤枉路。

[基本說明]
pppoe0：WAN端
eth1：LAN端
Router就是Edgerouter Lite3，簡稱ERL3
Drop：捨棄，丟棄
Accept：接受

[防火牆的基本原則]
ERL3中的防火牆需要先建立規則組(Ruleset)，在規則組下再建立其他細部的規則。
建立規則組的時候，要先設定規則組名稱(Name)，說明描述，預設規則(Drop,Reject,Accept)..等。


ERL3的防火牆的規則是從規則編號小到規則編號大依序比對。
如果比對到符合的規則，那麼就執行規則，然後就不會再理會下面的其他規則。
如果不符合所有的規則時，就執行規則組的預設規則。
瞭解規則執行的邏輯很重要，因為只要規則的順序安排不對，就無法達成想要的效果。


規則建立後，需要進一步的再設定規則組跟新增規則，這時可以點Action的按鈕選擇要執行的功能。
Rules：建立新規則，同時這裡可以用滑鼠拖拉的方式來調整規則的順序。
Configuration：這裡跟建立規則組的時候功能一樣，可以設定預設的規則。
Interfaces：這是設定規則組適用的資料方向，這是最讓人疑惑的，下面會再詳述。
Stats：這裡可以每一個規則的統計資料，如規則編號，封包數，資料量，是否啟用，規則描述等。



[防火牆方向]
這裡的Interface指的是那個網路介面，像我是用撥接上網，所以pppoe0就是我的WAN，而LAN是建立在eth1上。
ERL3的防火牆方向有三個：in，out，local。
這三個方向都是以ERL3為基準點來看。
in：就是進入ERL3
out：就是離開ERL3
local：就是以ERL3為最終目的地。

每個介面都可以有資料進去，也可以有資料出來，就像是一棟房子有入口跟出口一樣。
因此整個可以用下圖說明。
從圖中可以看出來：
pppoe0/in=eth1/out=WAN TO LAN
pppoe0/out=eth1/in=LAN TO WAN
pppoe0/local=WAN TO Router
eth1/local=LAN TO Router


有了以上的基本認識以後，我們就可以藉由防火牆規則的組合，可以極大的控制網路交通。
但防火牆規則越多，Router要做的工作也越多，所以要注意是否會影響到Router的效能表現。
下次有機會再來聊聊如何利用防火牆做簡單的管控。