Я попытался отделить мою WLAN от локальной сети, следуя этому руководству.

К сожалению, после изменения настроек DCHP в WLAN больше не работает. Я думаю, это может быть связано с неправильной настройкой брандмауэра, но я не знаю, с чего начать устранение неполадок.

Я также попробовал это руководство. Есть также некоторые комментарии к настройкам брандмауэра, но я не знаю, каковы правильные настройки.

Я хочу:

  • Нет доступа из WLAN в подсеть LAN
  • Доступ в интернет из WLAN

маршрутизатор:

  • Модель: WRT54GL
  • Прошивка: DD-WRT 24 v2 BETA (dd-wrt.v24_usb_generic.bin)

Это офисное использование. Я создал пул для точки WLAN и настроил его. Я думаю, это как-то связано с брандмауэром. Есть кто-то сценарий брандмауэра доказательства, чтобы получить следующее поведение:

Wlan и Lan отделены Wlan имеет доступ в Интернет + DHCP

1 ответ1

0

у меня было то же самое, запущенное в моей pre-openwrt linksys dd-wrt-24sp2 setup. вот что мне удалось выкопать из резервной копии nvram:

rc_firewall=EXTIP=`nvram get wan_ipaddr`
iptables -I INPUT -i br1 -m state --state NEW -j logdrop
iptables -I INPUT -i br1 -p udp --dport 67 -j ACCEPT
iptables -I INPUT -i br1 -p udp --dport 53 -j ACCEPT
iptables -I INPUT -i br1 -p tcp --dport 53 -j ACCEPT
iptables -I INPUT -i br1 -p udp --dport 1194 -j ACCEPT
iptables -I INPUT 1 -p udp --dport 1194 -j ACCEPT
iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
iptables -I FORWARD -i br1 -o br0 -m state --state NEW -j logdrop
iptables -I FORWARD -i br1 -o br0 -p tcp -d 192.168.1.2 --dport 443 -j ACCEPT
iptables -I FORWARD -i br1 -o br0 -p tcp -d 192.168.1.2 --dport 25 -j ACCEPT
iptables -I FORWARD -i br1 -o br0 -p tcp -d 192.168.1.2 --dport 22 -j ACCEPT

br1 - гостевой мост, соединяющий вторичный гостевой wlan и один порт rj-45. 192.168.1.2 - это мой основной сервер, к которому я разрешаю доступ только к определенным службам из гостевой сети (443, 25 22). То же самое для доступа только к некоторым важным службам на самом маршрутизаторе (67, 53, 1194). tun0 - это адаптер openvpn.

Вы также должны лучше определить, что такое "не работает". DHCP-запросы вообще попадают в роутер? Я думаю, что было два варианта, доступных для серверов DHCP и DNS, вы используете dnsmasq? Это слушает на всех интерфейсах? Временно включив системный журнал на маршрутизаторе, вы можете заставить его отправлять данные в другой запущенный системный журнал или просто указывать -f /var /log /messages (возможно) на маршрутизаторе.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .