上期我们安装好了iStoreOS系统，本期将会简单教教认识一下iStoreOS能做什么，并且初步配置一下iStoreOS

作为整个家庭网络的管理中心，软路由最主要的功能就是管理网络与连接设备。

iStoreOS左栏有很多功能分类，最基本的功能就是网络栏，里面包含着控制整个网络的设置，DHCP，网口设置，防火墙等功能。

一、配置上网设置

在网络->接口会有lan和wan 2个接口，wan是负责拨号上网的，面向互联网，lan是我们内网传输网络用的，面向个人设备。

1、配置拨号上网

先点击wan接口右侧的编辑按钮，协议改为PPPoE，填入宽带账号和密码

如果刷新后过一会还是显示“错误: 尝试连接失败”，这可能是由于网络线路有问题，需要检查一下光猫和路由器的接口，如果显示认证失败的话请检查宽带账号和密码是否正确。

2、配置DHCP和管理地址

点击lan右侧的编辑按钮，下面有个IPv4 地址，这个地址就是软路由的管理地址，默认是192.168.100.1，你可以可以改成你喜欢的网段如192.168.1.1、10.10.10.1、172.16.1.1。在DHCP服务器设置里面可以选择DHCP服务器提供的启始分配地址和数量。

3、静态地址分配

给特定设备(笔记本、电视、WIFI，手机)分配静态地址有利于管理

在网络->DHCP/DNS->静态地址分配可以固定设备的内网ip地址

在下面的已分配的DHCP租期也可以查看当前连接的设备(不包括费DHCP接入的设备)

二、防火墙详解

如果把一个内网比作一个国家来说，网关就相当于海关的角色，管理着全部出国和回国的人群(流量)，防火墙就是城墙，它要对全部人员进行审查，如果有些人员(ip)或者物品(流量)在海关的禁止名单(防火墙规则)外，则不可以进出防火墙。但是我们都信任城墙内(lan)的人员和物品，所以一般来说我们对lan区域的设备都不设防；而对于城墙外(wan)的ip和流量我们要进行严格的审查，以免恶意人员和数据进入内网区域，造成外来入侵，使整个内网崩溃。

1、防火墙全局设置

在接口->防火墙下面，有个区域设置，这里是掌管全部区域(wan→lan，lan→wan，其它区域)。

先看左侧，lan区域可以去到全部区域，但是wan区域对全部区域做了拒绝操作，下面还有一个docker区域，这是docker容器的内部网络，我们到时候还有一个zerotier网络，这里暂时先略过，你只要知道，除了wan区域，其它区域的网络可以互相到达。

再看回右边，这里是控制每一个区域出入站和转发的的控制，和什么说的一样，只有wan区域是全部拒绝的，但是我们不能要同意wan区域的出站，否则我们的全部内网设备都会无法访问互联网。

在上面的话有个防火墙的常规设置，这里设置的是未定位或者未分配防火墙区域的接口的默认配置，通常我们都不需要修改这里.有个值得注意的内是，这里有个选项：“启用 FullCone-NAT”，建议要打开，因为这样会优化内网设备的下载和游戏体验。

注意：这里有一个坑，千万不要选高性能模式，因为开启高性能模式会导致无法使用网络，作者排查了2天才发现问题，这个模式告诉我们不要贪！选兼容模式就可以了。

参考链接：如何优化家里网络结构

2、端口转发

端口转发的作用就是将软路由wan区域的端口号转发至自己的其它端口或者内部设备的端口，这样做有一个优点一方面是方便管理，好记；另一方面就是可以隐藏实际端口号，不被互联网设备发现实际端口号。

主要有6个参数要填的：协议，源区域，外部端口号，目标区域，目标ip，目标端口

• 协议没什么好说的，是什么就填什么，或者默认TCP|UDP也可以的
• 源区默认wan，不用动
• 外部端口就是监听端口，你需要从互联网访问的端口
• 目标区域默认lan
• 内部ip，填你需要转发的设备
• 内部端口就是目标端口，内网设备实际提供服务的端口

完成后也别忘了防火墙放行指定外部端口，否则将会拒绝访问。

3、通信规则(防火墙放行)

刚才我们在防火墙全局设置理讲过了，进入wan区域全部流量都是拒绝的，那如果我们想开放某一个服务给互联网访问，就要给特定的端口放行。在通信规则里面，默认有很多通信规则，这些默认的通信规则小白千万不要随意修改，否则会造成无法进连接软路由的问题。

点击添加一条规则，里面内容都大同小异，但有两三点需要注意的是

• 源区域一般填任意区域
• 源端口不填
• 目标区域填设备(本机)
• 目标地址不填

这样就放行的防火墙的800端口

通过端口转发和服务器放行的配合，就可以将我们的内网服务开放给互联网了

三、配置管理端口和密码

1、修改管理密码

在系统->管理权可以修改软路由的访问密码，这个访问密码同时会修改ssh的访问密码

2、修改管理端口号

使用ssh(Windows使用cmd，在网页的服务->终端也可以打开web终端，也可以用192.168.1.3:7681进去web终端。这里我已经把后台管理地址改为了192.168.1.3，所以地址填自己的管理地址)连接软路由的后台，ssh root@192.168.1.3，用户名是root，密码默认是password。

3、修改Web服务端口号

uhttp是iStoreOS默认的Web服务，vi命令是linux的一个文本编辑器，uhttp的配置文件在/etc/config/uhttpd，使用vi /etc/config/uhttpd编辑uhttp的配置。

输入i进入编辑模式，将list listen_http和list listen_https改为如下配置，这样的话我们就空出了http的80端口和https的443端口，到时候我们会有别的作用。完成之后按Esc退出编辑模式，输入冒号:wq保存配置，重启uhttp服务即可/etc/init.d/uhttpd restart

config uhttpd 'main'
        list listen_http '0.0.0.0:800'
        list listen_http '[::]:800'
        list listen_https '0.0.0.0:4433'
        list listen_https '[::]:4433'

之后访问Web的管理页面就是192.168.1.3:800来访问了

四、添加硬盘挂载点

我们在安装iStoreOS的时候在分区工具里面不是看到有很多空闲空间未分配的，这时候我们就需要把他挂载到一个目录下面，使其可以存放我们的数据

1、创建硬盘分区

点击系统->磁盘管理->编辑->新建->格式化，选ext4，完成后退出。

2、添加挂载点

来到系统->挂载点，拉到下面的添加挂载点，选择你刚才创建的分区(右边有大小容量判断)，挂载点选择自定义/data，按回车，保存，最下面的保存并应用就完成了。最后我们在ssh终端df -h /data就可以看到刚才挂载的硬盘了

以上就是iStoreOS的基本配置了，下期将教大家玩转各种软路由插件