OpenWRT路由器的以太网桥二层防火墙ebtables

1、刷机，刷机时注意清空原nvram

2、opkg安装ebtables，bridge软件

3、关闭wan接口（去掉Bring up to boot）

4、设置lan接口为新ip的地址（不要用缺省的），并关闭dhcp（副作用是设置用pc的ip要配合手工设置了）

5、在lan接口的physical settings的interface中把wan口的那个以太网端口也选上去，打开STP（Spanning Tree Protocol）生成树协议

6、开始设置ebtables：

6.1、ebtables是一组网桥处理规则链。流经网桥的以太网数据在规则链中依次进行判断处理后，凡是符合链条中某一个环节规则的数据包，即被分发到该环节规则规定处理流程，后面的环节就不需要继续走下去了。ACCEPT表示接受（允许通过），DROP表示丢弃。FORWARD表示在数据网桥中运动

6.2、ebtables的命令放在startup中开机运行

6.3、把需要允许通过所有数据的源mac，设置规则 ebtables -A FORWARD -s xx:xx:xx:xx:xx:xx -j ACCEPT，还有 ebtables -A FORWARD -d xx:xx:xx:xx:xx:xx -j ACCEPT，这样的一台设备就可以全部被暴露在网桥

6.4、需要制定源mac和靶mac，设置规则 ebtalbes -A -s 11:11:11:11:11:11 -d 22:22:22:22:22:22 -j ACCEPT

6.5、需要开通的所有规则按优先级排列，全部通过性规则写完，就做统一的封印 ebtables -P FORWARD DROP，把不能放行的数据包全部DROP掉。

6.6、使用 ebtables -L 检查一下全部规则的设置

6.6、万一弄错了，使用 ebtables -F FORWARD 把规则链清空，ebtabels -P FORWARD ACCEPT 打开网桥

7、插网线，wan口上插来自外面的网线，lan口上插自己的设备。

8、ebtables可以用来干什么？一旦能控制以太网的数据包，那么就可以在ip网中为所欲为，而不会被基于ip体系的各类设备、软件发现。比如说，在一个封闭的、有统一管理的ip 网的末端放置这样一个网桥，就可以在网桥另一端延伸出一个自己的网络。在自己的网络上，既可以有合法设备，也可以有非法设备，合法设备上无需做任何手脚，可以接受管理员的一切审计手段。合法设备与非法设备能使用大网络的ip体系进行通信。网络管理员只能看见你的合法设备，非法的设备无法被管理员发现。

9、本文既说明了如何设置以太网桥的二层防火墙，而且也由于这种技术的存在，在设计绝密级的信息系统，必须不计代价在每一个终端上都必需部署二层防火墙。