2

У меня есть роутер, на котором я установил прошивку DD-WRT. Я пытаюсь настроить виртуальный интерфейс для использования в качестве гостевой сети. Гостевая сеть должна находиться в подсети 192.168.8.0/24, а наша локальная сеть - в подсети 192.168.1.0/24. Гостевая сеть должна иметь полный доступ к Интернету, но не иметь доступа к нашей локальной сети. Я думаю, что у меня все настроено правильно, в том числе создание виртуального интерфейса и назначение его мосту (br1). Я могу подключиться к гостевой сети, и клиент получает IP-адрес в правильной подсети. Однако я не могу получить доступ к чему-либо за пределами подсети 192.168.8.0/24. Я предполагаю, что мне нужно настроить некоторые правила iptables, но я довольно шаток с ними. Вот что у меня сейчас под брандмауэром:

iptables -I INPUT -i br1 -m state --state NEW -j logaccept
iptables -I FORWARD -i br1 -o $wanif -m state --state NEW -j ACCEPT

Редактировать, больше информации:

Я настроил беспроводной виртуальный интерфейс (ath0.1) в качестве моей гостевой сети. Под Настройкой> Сеть я тогда создал мост, названный br1 с ip 192.168.8.1 и назначил ath0.1 ему. Я добавил сервер DHCP к мосту. Затем под Сервисы> Сервисы я добавил следующее в Дополнительные параметры DNSMasq

interface=br1
dhcp-range=br1,192.168.8.100,192.168.8.200,255.255.255.0,1440m

Наконец, я добавил приведенные выше правила iptables в брандмауэр в разделе «Администрирование»> «Команды».

|источник

1 ответ1

3

Для этого вам необходимо настроить маршрут по умолчанию для сети .8, что означает, что вам нужно что-то для маршрутизации между двумя сетями.

Однако, если вы заинтересованы только в том, чтобы трафик от подключений вне ath0.1 не попадал ни к чему, кроме внешней стороны (вашего пограничного маршрутизатора и далее), вы можете настроить его, не имея второй сети. Вам нужно настроить правила iptables, которые блокируют трафик от ath0.1 до диапазона сети, а также обратное правило, которое блокирует трафик из диапазона сети. Вам также потребуется пара правил, которая разрешает трафик к маршрутизатору-шлюзу и от него.

Что-то вроде :

iptables -t INPUT -i ath0.1 -d 192.168.1.254 -j ACCEPT     
iptables -t OUTPUT -o ath0.1 -d 192.168.1.254 -j ACCEPT     

iptables -t OUTPUT -o ath0.1 -s 192.168.1.0.24 - j DROP
iptables -t INPUT -i ath0.1 -d 192.168.1.0.24 - j DROP

Эти правила должны позволять вам иметь все на 192.168.1.0/24, не позволяя трафику попадать в основную сеть, кроме маршрутизатора (названного здесь 1.254). Им также может понадобиться небольшая настройка.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .