OpenMediaVault是一个基于Debian的开源网络附加存储(NAS)解决方案,旨在提供简单易用的存储管理功能。 作为存储珍贵数据的地方,配置好防火墙也是很重要的。下面是OMV防火墙图形化配置的教程: 可以参考以下配置:  ## 基础规则: 1. 在OMV的防火墙规则顺序中,排的越高优先级越高,因此在设置规则的时候一定要注意顺序; 2. 一般设防的方向是外来的,即INPUT,是来自外来的请求,攻击就来自外网;服务器主动申请的,即OUTPUT,一般不设防,如果有需求也可以加; 3. 动作主要用accept:允许流量通过;reject:拒绝流量通过,但是这个会给对方一个拒收的回复,不推荐使用;drop:丢弃流量,不允许流量通过,也不给回复,推荐使用这个。 4. 来源和目的如果不填,就是可以来自和去到所有地址,和0.0.0.0/0一样的效果; 5. 端口不填,就是任意端口,填就是指定端口; 6. 协议根据实际情况选; 7. 不管是IPv4和IPv6,都要添加点8和点9规则,这两条用于允许防火墙自动放行已经建立的链接和放行回环量; 8. 配置第一条,来源和目标都不填,协议选全部,拓展选项:`-m conntrack --ctstate ESTABLISHED,RELATED` 9. 配置第二条,来源和目标都不填,协议选全部,扩展选项:`-i lo` ## IPv4规则设置: 1. 先填写上面的两条基本规则,允许已建立链接和环回流量。 2. 关于ICMP,大家可以根据自己的需求来,如果需要全部放行,动作选允许,来源目标都不填,协议选ICMP,这样子就可以在任何地方ping主机。如果需要限制只有本地可以ping,则来源填写你的本地局域网IP,如:192.168.1.1/24 3. 开放网页的443端口,用于访问OMV网页,来源可以填0.0.0.0/0或不填,目标端口填443,协议选TCP。 4. 开放ssh端口,这是很重要,对于无头服务器,如果防火墙设置错误,还可以通过ssh关闭防火墙。方向INPUT,动作允许,来源为了安全最好是指定IP,目标端口写ssh的端口,协议选TCP。 5. 其他端口可以自行添加,主要是目标端口和协议的区别。 6. 最后一条,也是放在列表最下方的一条,丢掉规则之外的全部请求。方向选INPUT,动作选DROP,协议选全部。 自此,IPv4设置完毕。 ## IPv6规则设置: 1. IPv6填写规则和IPv4基本一致,也是填写上面的两条基本规则,允许已建立链接和环回流量。 2. IPv6的任意地址可写成 `::/0`,等同于IPv4的0.0.0.0/0。 3. IPv6下,ICMP深度参与了IPv6的各个阶段,因此必须允许,否则会出现无法获取IPv6地址的情况。即:方向INPUT,动作accept,协议选ICMPv6。 4. 如果不想IPv6回复ping地址,也可以单独拒绝。即:方向INPUT,动作DROP,协议选ICMPv6,扩展选项:`--icmpv6-type echo-request`。但是要注意这条规则要放在点3规则前面,即点3再到点4。即使有点4,点3的ICMPv6是必须要有的,这是IPv6的地址获取的基础。 5. 其他需要的规则参考IPv4,不再重复陈述。 6. 最后一条,也是放在列表最下方的一条,丢掉规则之外的全部请求。方向选INPUT,动作选DROP,协议选全部。 自此,IPv4设置完毕。 Loading... OpenMediaVault是一个基于Debian的开源网络附加存储(NAS)解决方案,旨在提供简单易用的存储管理功能。 作为存储珍贵数据的地方,配置好防火墙也是很重要的。下面是OMV防火墙图形化配置的教程: 可以参考以下配置:  ## 基础规则: 1. 在OMV的防火墙规则顺序中,排的越高优先级越高,因此在设置规则的时候一定要注意顺序; 2. 一般设防的方向是外来的,即INPUT,是来自外来的请求,攻击就来自外网;服务器主动申请的,即OUTPUT,一般不设防,如果有需求也可以加; 3. 动作主要用accept:允许流量通过;reject:拒绝流量通过,但是这个会给对方一个拒收的回复,不推荐使用;drop:丢弃流量,不允许流量通过,也不给回复,推荐使用这个。 4. 来源和目的如果不填,就是可以来自和去到所有地址,和0.0.0.0/0一样的效果; 5. 端口不填,就是任意端口,填就是指定端口; 6. 协议根据实际情况选; 7. 不管是IPv4和IPv6,都要添加点8和点9规则,这两条用于允许防火墙自动放行已经建立的链接和放行回环量; 8. 配置第一条,来源和目标都不填,协议选全部,拓展选项:`-m conntrack --ctstate ESTABLISHED,RELATED` 9. 配置第二条,来源和目标都不填,协议选全部,扩展选项:`-i lo` ## IPv4规则设置: 1. 先填写上面的两条基本规则,允许已建立链接和环回流量。 2. 关于ICMP,大家可以根据自己的需求来,如果需要全部放行,动作选允许,来源目标都不填,协议选ICMP,这样子就可以在任何地方ping主机。如果需要限制只有本地可以ping,则来源填写你的本地局域网IP,如:192.168.1.1/24 3. 开放网页的443端口,用于访问OMV网页,来源可以填0.0.0.0/0或不填,目标端口填443,协议选TCP。 4. 开放ssh端口,这是很重要,对于无头服务器,如果防火墙设置错误,还可以通过ssh关闭防火墙。方向INPUT,动作允许,来源为了安全最好是指定IP,目标端口写ssh的端口,协议选TCP。 5. 其他端口可以自行添加,主要是目标端口和协议的区别。 6. 最后一条,也是放在列表最下方的一条,丢掉规则之外的全部请求。方向选INPUT,动作选DROP,协议选全部。 自此,IPv4设置完毕。 ## IPv6规则设置: 1. IPv6填写规则和IPv4基本一致,也是填写上面的两条基本规则,允许已建立链接和环回流量。 2. IPv6的任意地址可写成 `::/0`,等同于IPv4的0.0.0.0/0。 3. IPv6下,ICMP深度参与了IPv6的各个阶段,因此必须允许,否则会出现无法获取IPv6地址的情况。即:方向INPUT,动作accept,协议选ICMPv6。 4. 如果不想IPv6回复ping地址,也可以单独拒绝。即:方向INPUT,动作DROP,协议选ICMPv6,扩展选项:`--icmpv6-type echo-request`。但是要注意这条规则要放在点3规则前面,即点3再到点4。即使有点4,点3的ICMPv6是必须要有的,这是IPv6的地址获取的基础。 5. 其他需要的规则参考IPv4,不再重复陈述。 6. 最后一条,也是放在列表最下方的一条,丢掉规则之外的全部请求。方向选INPUT,动作选DROP,协议选全部。 自此,IPv4设置完毕。 最后修改:2026 年 01 月 19 日 © 允许规范转载 赞 如果觉得我的文章对你有用,请随意赞赏