DD-WRT Налаштування мережі відвідувачів

2

У мене є маршрутизатор, на якому встановлено DD-WRT прошивку. Я намагаюся налаштувати віртуальний інтерфейс для використання в якості гостьової мережі. Гостьова мережа повинна бути в підмережі 192.168.8.0/24, а наша локальна мережа знаходиться в підмережі 192.168.1.0/24. Гостьова мережа повинна мати повний доступ до Інтернету, але не має доступу до нашої локальної мережі. Я думаю, що все налаштовано належним чином на створення віртуального інтерфейсу і призначення його мосту (br1). Я можу підключитися до гостьової мережі, і клієнт отримує IP-адресу у правильній підмережі. Проте я не можу отримати доступ нічого поза підмережем 192.168.8.0/24. Я здогадуюсь я потребую setup деякі правила iptables, але я є досить хиткий з ними. Ось що я наразі маю під брандмауером: 

iptables -I INPUT -i br1 -m state --state NEW -j logaccept
iptables -I FORWARD -i br1 -o $wanif -m state --state NEW -j ACCEPT

Редагувати, більше інформації:

Я створив бездротовий віртуальний інтерфейс (ath0.1), щоб стати моєю гостьовою мережею. У розділі Налаштування & gt; Мережа я створив міст br1 з ip 192.168.8.1 і призначив йому ath0.1 Я додав сервер DHCP до мосту. Потім у розділі Послуги & gt; Служби я додав наступні параметри Додаткові параметри DNSMasq 

interface=br1
dhcp-range=br1,192.168.8.100,192.168.8.200,255.255.255.0,1440m

Нарешті, я додав правила iptables вище до брандмауера під командою "Адміністрування".

networking  iptables  wireless-networking  dd-wrt  bridge-router 
rybl
джерело
1
Що таке повна схема ip, що означає, де / які адреси шлюзу. Крім того, як бічна примітка, ви можете просто скинути пакети з
Jimsmithkka
Шлюз для нашої локальної мережі - 192.168.1.1, маршрутизатор діє як шлюз для гостьової мережі 192.168.8.1. Видалення IP-адрес у мережу .1 було б чудовим, але я все ще не можу отримати доступ до зовнішніх адрес у мережі .8.
rybl
Слід розміщувати повідомлення під форумами DD-WRT. Переконайтеся, що вказано модель маршрутизатора і яку версію DD-WRT (мінімальна, стандартна, VOIP тощо).
surfasb
1
Я пропускаю тут основну інформацію. Як / де створюється окрема мережа? Ви VLAN деякі з маршрутизаторів комутувати порти?
derchris
@derchris Маршрутизатор підключений до нашої основної мережі .1. Я хочу, щоб віртуальний адаптер у мережі .8 переходив до цього з'єднання для зовнішніх IP-адрес, але блокував будь-яку спробу підключення до мережі .1. Я не впевнений, що це відповіло на ваше запитання чи ні.
rybl

Відповіді:

3

Для цього потрібно мати стандартну настройку маршруту для мережі .8, що означає, що вам потрібно щось для обробки маршрутизації між двома мережами.

Однак, якщо ви зацікавлені тільки у збереженні трафіку від з'єднань з ath0.1 від потрапляння до будь-якого, крім зовнішнього (ваш прикордонний маршрутизатор і далі), ви можете встановити це без наявності другої мережі. що вам потрібно зробити, це встановити правила iptables, які блокують трафік від ath0.1 до діапазону мережі, а також зворотне правило, яке блокує трафік з мережі. Вам також знадобиться пара правил, яка дозволяє здійснювати трафік до маршрутизатора та з нього.

Щось на зразок : 

iptables -t INPUT -i ath0.1 -d 192.168.1.254 -j ACCEPT     
iptables -t OUTPUT -o ath0.1 -d 192.168.1.254 -j ACCEPT     

iptables -t OUTPUT -o ath0.1 -s 192.168.1.0.24 - j DROP
iptables -t INPUT -i ath0.1 -d 192.168.1.0.24 - j DROP

Ці правила повинні дозволити вам мати все на 192.168.1.0/24, не дозволяючи трафіку дістатися до основної мережі, за винятком маршрутизатора (названого тут 1.254). Їм також може знадобитися невелике налаштування.

Jimsmithkka
джерело
дайте мені знати, якщо мій синтаксис правильний чи ні, я не iptables запам'ятовується
Jimsmithkka
Дякуємо за відповідь. Я дам йому спробувати першу річ понеділок ранок та повертаюся до вас.
rybl
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.