我有一台安装了 DD-WRT 固件的路由器。我正在尝试设置一个虚拟接口以用作访客网络。访客网络应位于 192.168.8.0/24 子网上,而我们的 LAN 位于 192.168.1.0/24 子网上。访客网络应具有完全的互联网访问权限,但不能访问我们的 LAN。我认为我已经正确设置了一切,包括创建虚拟接口并将其分配给网桥 (br1)。我能够连接到访客网络,客户端在正确的子网上获得 IP。但是,我无法访问 192.168.8.0/24 子网之外的任何内容。我猜我需要设置一些 iptables 规则,但我对它们不太熟悉。以下是我目前在防火墙下所拥有的内容:
iptables -I INPUT -i br1 -m state --state NEW -j logaccept
iptables -I FORWARD -i br1 -o $wanif -m state --state NEW -j ACCEPT
编辑,更多信息:
我设置了一个无线虚拟接口 (ath0.1) 作为我的访客网络。在“设置”>“网络”下,我创建了一个名为 br1 的网桥,其 IP 为 192.168.8.1,并将 ath0.1 分配给它。我向网桥添加了一个 DHCP 服务器。然后在“服务”>“服务”下,我将以下内容添加到“其他 DNSMasq 选项”
interface=br1
dhcp-range=br1,192.168.8.100,192.168.8.200,255.255.255.0,1440m
最后,我将上述 iptables 规则添加到管理>命令下的防火墙中。
答案1
为此,您需要为 .8 网络设置默认路由,这意味着您需要一些东西来处理两个网络之间的路由。
但是,如果您只想阻止来自 ath0.1 的连接流量到达除外部(边界路由器及更远)之外的任何位置,则可以在不使用第二个网络的情况下进行设置。您需要做的是设置 iptables 规则以阻止从 ath0.1 到网络范围的流量,以及阻止来自网络范围的流量的反向规则。您还需要一对规则来允许进出网关路由器的流量。
就像是 :
iptables -t INPUT -i ath0.1 -d 192.168.1.254 -j ACCEPT
iptables -t OUTPUT -o ath0.1 -d 192.168.1.254 -j ACCEPT
iptables -t OUTPUT -o ath0.1 -s 192.168.1.0.24 - j DROP
iptables -t INPUT -i ath0.1 -d 192.168.1.0.24 - j DROP
这些规则应该允许您将所有内容放在 192.168.1.0/24 上,但不允许流量到达主网,但路由器(此处名为 1.254)除外。它们可能还需要一些细微的调整。