DD-WRT Настройка гостевой сети

5172
rybl

У меня есть роутер, на котором я установил прошивку DD-WRT. Я пытаюсь настроить виртуальный интерфейс для использования в качестве гостевой сети. Гостевая сеть должна находиться в подсети 192.168.8.0/24, а наша локальная сеть - в подсети 192.168.1.0/24. Гостевая сеть должна иметь полный доступ к Интернету, но не иметь доступа к нашей локальной сети. Я думаю, что у меня все настроено правильно, в том числе создание виртуального интерфейса и назначение его мосту (br1). Я могу подключиться к гостевой сети, и клиент получает IP-адрес в правильной подсети. Однако я не могу получить доступ к чему-либо за пределами подсети 192.168.8.0/24. Я предполагаю, что мне нужно настроить некоторые правила iptables, но я довольно шаток с ними. Вот что у меня сейчас под брандмауэром:

iptables -I INPUT -i br1 -m state --state NEW -j logaccept iptables -I FORWARD -i br1 -o $wanif -m state --state NEW -j ACCEPT

Редактировать, больше информации:

Я настроил беспроводной виртуальный интерфейс (ath0.1) в качестве моей гостевой сети. Под Настройкой> Сеть я тогда создал мост, названный br1 с ip 192.168.8.1 и назначил ath0.1 ему. Я добавил сервер DHCP к мосту. Затем под Сервисы> Сервисы я добавил следующее в Дополнительные параметры DNSMasq

interface=br1 dhcp-range=br1,192.168.8.100,192.168.8.200,255.255.255.0,1440m

Наконец, я добавил приведенные выше правила iptables в брандмауэр в разделе «Администрирование»> «Команды».

2
what is the full ip schema, meaning where/what are the gateway addresses. Also as a side note, you could just drop packets from .8 going to .1 via iptables Jimsmithkka 13 лет назад 1
The gateway for the our LAN is 192.168.1.1 the router is acting as the gateway for the guest network 192.168.8.1. Dropping IPs to the .1 network would be great, but I still can't access outside addresses on the .8 network. rybl 13 лет назад 0
Должен опубликовать пост под форумами DD-WRT. Обязательно укажите модель вашего роутера и какую версию DD-WRT (минимальная, стандартная, VOIP и т. Д.). surfasb 13 лет назад 0
Я пропускаю важную информацию здесь. Как / где создается отдельная сеть? Вы VLAN некоторые порты коммутатора маршрутизаторов? derchris 13 лет назад 1
@derchris The router is plugged into our main .1 network. I want the virtual adapter on the .8 network to bridge to this connection for outside IP addresses, but block any attempt to connect to the .1 network. I'm not sure if that answered your question or not. rybl 13 лет назад 0
@rybl, я понимаю, чего ты пытаешься достичь. Но мне не понятно, как вы подключаетесь к каждой из сетей. Маршрутизатор имеет 4 порта Ethernet, которые могут быть подключены к VLAN. Это то, что вы делаете? В любом случае, я думаю, что это объясняет, что вы ищете: http://dd-wrt.com/wiki/index.php/VLAN_Detached_Networks_%28Separate_Networks_With_Internet%29 derchris 13 лет назад 0

1 ответ на вопрос

3
Jimsmithkka

Для этого вам необходимо настроить маршрут по умолчанию для сети .8, что означает, что вам нужно что-то для маршрутизации между двумя сетями.

Однако, если вы заинтересованы только в том, чтобы трафик от подключений вне Ath0.1 не попадал ни к чему, кроме внешней стороны (вашего пограничного маршрутизатора и далее), вы можете настроить его, не имея второй сети. Вам нужно настроить правила iptables, которые блокируют трафик от ath0.1 до диапазона сети, а также обратное правило, которое блокирует трафик из диапазона сети. Вам также потребуется пара правил, которая разрешает трафик к маршрутизатору-шлюзу и от него.

Что-то вроде :

iptables -t INPUT -i ath0.1 -d 192.168.1.254 -j ACCEPT  iptables -t OUTPUT -o ath0.1 -d 192.168.1.254 -j ACCEPT   iptables -t OUTPUT -o ath0.1 -s 192.168.1.0.24 - j DROP iptables -t INPUT -i ath0.1 -d 192.168.1.0.24 - j DROP

Эти правила должны позволять вам иметь все на 192.168.1.0/24, не позволяя трафику попадать в основную сеть, кроме маршрутизатора (названного здесь 1.254). Им также может понадобиться небольшая настройка.

дайте мне знать, если мой синтаксис правильный или нет, я не запомнил iptables Jimsmithkka 13 лет назад 0
Спасибо за ответ. Я попробую первым делом в понедельник утром и вернусь к вам. rybl 13 лет назад 0

Похожие вопросы