关于wan口默认防火墙规则和默认管理后台地址的说明和解释

[wukongdaily]

如图所示 代码中默认将wan口防火墙的入站数据打开了。确实存在一定的安全风险。我也增加了一些注释
此操作的本意是 方便单网口物理机或者虚拟机 首次访问imm时候 能够顺畅的进入webUI界面，进而做后续的动作。而我的受众群体也都是新手偏多。有经验者偏少，大部分连vi编辑器也用的不溜。

不过最近还是有人误解了我的意图 觉得这是弱智规则 这规则就是lan wan不分。
我冤不冤这事先不说 毕竟大佬们距离新手愈发遥远了，为新手做事 挨骂在所难免。让大佬感同身受新手痛点 也不现实
用正确的方法 做正确的事 是他们提倡的。毕竟大佬们为社区做出的贡献远远高于我这个二半吊子。

但我知道 “安全” 和 “便利性” 是一对冤家。按理说 wan口默认的防火墙入站规则 应当关闭。这是正确的 也是安全的。
但正确安全 未必便利。这就是我们面临的问题。ImmortalWrt 覆盖 大量不同硬件，从 x86 服务器、虚拟机，到 ARM 路由器和开发板，每种硬件的场景差异非常大。如果我试图写一个“万能脚本”很容易复杂化，而且容易被硬件边缘情况打脸。真不如让用户自己来选择到底要不要启用wan入站打开。

单网口用户
曾经有多少人 首次安装openwrt 后表示很懵，为什么没有网，为什么要先在没有网的情况下 设置一个静态ip？
还只能用命令行。还需要你使用vi编辑器 编辑 /etc/config/network 文件 将静态ip先改成自己能上网的网段的ip。
有人说，那是因为你用了单网口的设备，自然是需要设置的。单网口算什么路由器！那根本就不是路由器，顶多是网关。
对！那意思就是不配，更别提旁路由了，更是大大的不配。

我本人也不怎么使用旁路，我也觉得容易出错，平时我也建议尽量使用2个网口以上的路由器，但是我不反对有人将openwrt当做网关，当做旁路、 这是一种用法自由。没什么对错之分。要扭转所有人的习惯也不太现实。有人可能就是想在NAS的虚拟机里安装OpenWrt，当做一个旁路代理。

多网口用户
那多网口用户呢？你为什么要改默认wan口防火墙的入站为【接受】呢？有何道理呢？
同样的 也是针对虚拟机用户，当你首次运行了多网口虚拟机时候，如果默认wan口防火墙的入站为【拒绝】。那么wan口显然不能访问WebUI，而虚拟机的lan口，你需要马上接一个无线路由器或者其他电脑，这样你才能通过lan口的ip访问，总之，你别想在虚拟机所在的网段直接访问。这是不可能的。这增加了不便利性。
有些时候 我们只是想先进web界面做好一定的设置。等调整完了 才想接入后续的设备。而不是一开始就处于“被动”的位置。让我们完全没得选。如图所示 你完全可以在所有操作都做好的基础之上，按需关闭，将默认wan口防火墙规则的入站设置为【拒绝】，所谓的不安全 也仅仅是那一会而已。但那一会儿 却方便了我们的设置。
因为我们可以很方便的在同一网段 先用wan口访问openwrt。待设置结束 再关闭也不迟。

为什么管理地址不是 192.168.1.1
多网口用户，原本默认情况下 管理地址是 192.168.1.1 为什么要改它？
因为192.168.1.1 是世界上绝大多数光猫的默认ip地址，如果你的光猫不是桥接模式，而是路由模式，那么接在它后面的openwrt，必然和它的网段冲突，所以此时你就需要修改openwrt的默认管理地址 ，之前我是写了一个 192.168.100.1 可以大概率和光猫网段避开冲突，不过近期也发现，有的人的光猫恰恰也是192.168.100.1 所以近期我将管理地址 放在工作流的UI界面，用户可以自由的设置默认管理地址。这样就避免了网段冲突。

退一万步讲
如果你不放心 你可以注释这行 甚至注释整个文件

最后我想说 也许做这个项目 这个工作本身 都是被很多人看不起也看不上的，因为在很多人心里，我做的这些工作 都是由于新手学习的问题导致的，只要做对了 自然没问题 也就不需要本项目了。什么容量不够 docker安装不上 都不是问题。。。有问题的是人本身。是你用法问题。。。。
基本上可以被高手评价为 “没必要” 多此一举 等等。。。 没有什么创造和贡献 最多是搬运工而已。。。又不需要编译。

我特别希望能用工具和脚本 降低难度 降低沟通成本 这是我的初衷
也许只有在一次又一次的回复当中 你才能慢慢体会 那可能是一个新手的世界。

[hbzmt]

感谢大佬的默默付出，我现在已经只用这一个项目在编辑固件了，碰到问题大佬的回复总是很快能给出正面的解决方法，再次感谢！

[wukongdaily]

好的 其实也要感谢imm提供了好用的docker版 Imagebuilder 我只是做了一些整合~ 当然我确实回复率很高的。

[liuwen0828]

感谢大佬！！！对于我这种小白，又有点洁癖的人来说，这个项目就是圆了我的编译梦。再次感谢！！

[wukongdaily]

好的～虽然这不属于“编译” 但我理解你的意思～ 能做一些简单定制 出一些比较纯净的固件。

[wlk2]

刚看到这个，我觉得这些小修改很贴心，便于调试，我是支持的。但是大部分人没有注意到这些小细节以为进去都是默认的设置(因为我是比较关注插件部分的代码，其他都是扫一眼)，我建议最好在readme里提一嘴，看到了心里就有数了.

[wukongdaily]

采纳！