3

В настоящее время я настраиваю общедоступную беспроводную сеть. Я хочу, чтобы клиенты не разговаривали друг с другом.

Вот мои текущие настройки.

Графически с LuCi

/etc/config/firewall without anything related to lan:

config 'zone'
    option 'name' 'wan'
    option 'input' 'REJECT'
    option 'output' 'ACCEPT'
    option 'forward' 'REJECT'
    option 'masq' '1'
    option 'mtu_fix' '1'
    option 'network' 'wan'

config 'rule'
    option 'src' 'wan'
    option 'proto' 'udp'
    option 'dest_port' '68'
    option 'target' 'ACCEPT'
    option 'family' 'ipv4'

config 'rule'
    option 'src' 'wan'
    option 'proto' 'icmp'
    option 'icmp_type' 'echo-request'
    option 'target' 'ACCEPT'

config 'zone'
    option 'name' 'public'
    option 'network' 'public'
    option 'output' 'ACCEPT'
    option 'input' 'REJECT'
    option 'forward' 'DROP'

config 'forwarding'
    option 'dest' 'wan'
    option 'src' 'public'

config 'rule'
    option 'target' 'ACCEPT'
    option 'src' 'public'
    option 'proto' 'tcpudp'
    option 'dest_port' '53'
    option '_name' 'public dns'

config 'rule'
    option 'target' 'ACCEPT'
    option '_name' 'public dhcp'
    option 'src' 'public'
    option 'proto' 'udp'
    option 'src_port' '67-68'
    option 'dest_port' '67-68'

Каким-то образом клиенты все еще могут общаться друг с другом. Почему это так и что я могу сделать против этого?

|источник

2 ответа2

5

Люси не предлагает все настройки все время. Если он доступен, isolate будет доступен в качестве Additional field для беспроводного интерфейса. Добавьте поле и установите флажок. Однако, когда я читаю сценарий, по умолчанию включается изоляция.

Если нет, вам нужно отредактировать /etc/config/wireless и добавить option isolate 1 в раздел wifi-iface . Каталог /lib/wireless в качестве сценариев запуска беспроводной сети, где вы можете найти поддерживаемые параметры.

Брандмауэр может быть проблемой, так как вы можете разрешить маршрутизацию между всеми IP-адресами коммутатора. Вам следует изменить эти правила, чтобы ограничить доступные адреса. Разрешите подключения к самому маршрутизатору, но вы можете не захотеть включать доступ к любым другим адресам.

|источник
1

AFAIK, OpenWRT изначально поддерживает изоляцию AP. Настройки NVRAM wl0_ap_isolate и wl_ap_isolate можно включить, установив их в 1 . Однако быстрый поиск в Google показывает, что многие люди получают противоречивые результаты в зависимости от версии микропрограммы. Я не могу объяснить это, поскольку я никогда не пробовал это сам.

Что касается того, почему ваши клиенты могут общаться друг с другом, межсетевой трафик может не попадать в брандмауэр.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .