OpenWrt防火墙如何添加虚拟主机实现多网站访问？

在OpenWrt系统中，通过防火墙配置虚拟主机（通常指基于域名的虚拟主机）需要结合网络配置、防火墙规则以及服务（如Dnsmasq、Nginx或Lighttpd）的设置来实现，以下将从基础概念、配置步骤、常见问题及解决方案等方面详细说明。

OpenWrt的防火墙基于Netfilter框架，支持区域（Zone）、转发规则（Forwarding）和端口转发（Port Forwarding）等功能，虚拟主机的核心在于根据不同的域名或请求路径将流量导向内网的不同服务器，这需要防火墙允许特定端口的流量转发，并结合DNS服务实现域名解析到内网IP,最后通过Web服务器配置多域名站点。

准备工作

1. 网络环境：确保OpenWrt路由器已正确配置LAN口，内网设备获取IP，且目标虚拟主机服务器（如NAS、树莓派等）与OpenWrt在同一局域网，IP地址固定（如通过DHCP静态分配或手动设置）。
2. 服务安装：在OpenWrt路由器或内网服务器上安装必要的服务。
   • Dnsmasq：用于内网DNS解析,将域名指向内网IP。
   • Web服务器：如Nginx或Lighttpd，用于托管多个网站（需安装并配置虚拟主机功能）。
   • 防火墙工具：OpenWrt默认已包含firewall3,无需额外安装。

配置步骤

DNS配置（Dnsmasq）

通过Dnsmasq将域名解析到内网虚拟主机的IP地址，编辑/etc/config/dhcp文件：

config domain
    option name 'example1.com'
    option ip '192.168.1.100'  # 虚拟主机1的IP
config domain
    option name 'example2.com'
    option ip '192.168.1.101'  # 虚拟主机2的IP

重启Dnsmasq服务：/etc/init.d/dnsmasq restart。

防火墙区域与转发规则

登录OpenWrt的LuCI界面或通过命令行配置防火墙：

• 创建自定义区域（可选）：如果虚拟主机需要特殊策略，可新建区域（如vm_zone）,绑定到LAN接口。
• 允许端口转发：在“网络→防火墙→端口转发”中添加规则，允许外部访问虚拟主机的端口（如80、443）。
  • 名称：web_vm1
  • 接口：wan
  • 外部端口：80
  • 内部IP：168.1.100
  • 内部端口：80
  • 协议：TCP
  • 目标区域：lan
• 配置转发规则：在“网络→防火墙→规则”中，确保LAN区域到WAN区域的转发允许相关端口（如ACCEPT TCP/80、443）。

Web服务器虚拟主机配置

以Nginx为例，在虚拟主机服务器上配置多域名站点，编辑Nginx配置文件（如/etc/nginx/conf.d/vm1.conf）：

server {
    listen 80;
    server_name example1.com;
    location / {
        root /var/www/vm1;
        index index.html;
    }
}
server {
    listen 80;
    server_name example2.com;
    location / {
        root /var/www/vm2;
        index index.html;
    }
}

重启Nginx：nginx -s reload。

防火墙高级规则（可选）

如果需要更精细的控制（如限制访问IP）,可在命令行添加自定义规则：

iptables -I FORWARD -d 192.168.1.100 -p tcp --dport 80 -j ACCEPT
iptables -I FORWARD -d 192.168.1.101 -p tcp --dport 80 -j ACCEPT

保存规则：/etc/init.d/firewall restart。

配置验证

1. DNS解析测试：在内网设备执行nslookup example1.com,确认返回内网IP。
2. 端口连通性测试：使用telnet example1.com 80或nmap检查端口是否开放。
3. 访问测试：通过浏览器输入域名,查看是否正确显示对应网站内容。

常见问题与解决方案

1. 无法访问虚拟主机

   • 原因：防火墙阻止转发、DNS解析错误、Web服务器未启动。
   • 解决：检查端口转发规则是否正确，确认DNS解析结果，验证Web服务器状态（如systemctl status nginx）。

2. 域名访问显示默认页面

   • 原因：Web服务器虚拟主机配置错误（如server_name不匹配）、根路径权限问题。
   • 解决：检查Nginx配置文件中的域名拼写和root路径，确保目录权限正确（如chown -R www-data:www-data /var/www）。

相关问答FAQs

Q1：如何通过OpenWrt防火墙限制虚拟主机的访问IP？
A1：可通过iptables添加规则实现，仅允许IP 168.1.50访问虚拟主机168.1.100的80端口：

iptables -I FORWARD -s 192.168.1.50 -d 192.168.1.100 -p tcp --dport 80 -j ACCEPT
iptables -I FORWARD -d 192.168.1.100 -p tcp --dport 80 -j DROP

保存规则并重启防火墙，注意：DROP规则需放在ACCEPT之后,避免误封。

Q2：虚拟主机配置后，外网无法访问，但内网可以，如何排查？
A2：主要排查以下三点：

1. 端口转发：检查WAN口是否有公网IP，以及端口转发规则是否绑定到正确的WAN接口（如eth0.2）。
2. 运营商限制：部分ISP会封锁80/443端口，尝试修改为其他端口（如8080）并配置端口转发。
3. DMZ设置：如果虚拟主机是单一服务器，可临时启用DMZ（将所有WAN流量转发到内网IP）,测试是否为防火墙规则问题。