我的 Linksys e2500v3 路由器上已刷入 DD-WWRT。
我添加了虚拟接口来创建一个可以访问互联网但不能访问私有网络或路由器的访客 wifi 网络。
此时,访客网络可以访问互联网,但是当我尝试从我的私有网络上的一台 PC(ddwrt 路由器之外)通过 RDP 连接到私有网络上的另一台 PC(从 ddwrt 路由器获取其 IP)时,它不起作用。
我已将其范围缩小到这个命令:
iptables -t nat -I POSTROUTING -o br0 -j SNAT --to `nvram get lan_ipaddr`
当此命令被注释掉或删除时,猜测网络不再具有互联网访问权限,但我可以从我的私有网络上的另一台 PC(无论子网如何)通过 RDP 进入连接到 ddwrt 路由器的私有网络的 PC。
当该命令处于活动状态时,访客网络可以上网但无法进行 RDP。
在DDWRT路由器上设置:
WAN: disabled
LAN IP: 192.9.202.250 (was an available IP on my network)
DHCP range: 192.9.202.160-192.9.202.165
Private WIFI: wl0
Guest WIFI: wl0.1
Created bridge: br1 (IP 192.168.5.100)
Assigned bridge: br1 assigned to wl0.1
DNSMasq:
#Enables DHCP on br1
interface=br1
#Set the default gateway for br1 clients
dhcp-option=br1,3,192.168.10.100
#Set the DHCP range and default lease time of 24 hours for br1 clients
dhcp-range=br1,192.168.10.101,192.168.10.105,255.255.255.0,24h
Firewall commands:
#Allow guest bridge access to Internet
iptables -I FORWARD -i br1 -m state --state NEW -j ACCEPT
iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
#Block access between private and guest
iptables -I FORWARD -i br0 -o br1 -m state --state NEW -j DROP
iptables -I FORWARD -i br1 -d `nvram get lan_ipaddr`/`nvram get lan_netmask` -m state --state NEW -j DROP
#NAT to make Internet work
iptables -t nat -I POSTROUTING -o br0 -j SNAT --to `nvram get lan_ipaddr`
#Block guest access to router services
iptables -I INPUT -i br1 -p tcp --dport telnet -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --dport ssh -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --dport www -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --dport https -j REJECT --reject-with tcp-reset
目标PC是192.9.202.165
源PC是192.9.202.140(此IP由主路由器提供,而不是ddwrt路由器提供)