我想知道是否有人可以告诉我以下网络设置是否能按要求工作,以及是否有任何需要注意的注意事项/危险信号。
首先,要求:1)运行 Web 服务器的主设备应该能够访问互联网,并且空中打印机连接到同一个 WiFi 网络 2)其他设备应该能够使用内部 IP 地址连接到 Web 服务器(即不是通过互联网)3)其他设备不应该有访问空中打印机或互联网的权限。
我找到了一款价格低廉的 TP-LINK 路由器,它支持使用 4G USB 适配器连接互联网,同时似乎还能够阻止对白名单之外的网站的访问。我知道阻止网站 != 阻止互联网,但现在让我们继续。虽然此路由器可以为其他设备提供访客网络以供连接,但它似乎无法阻止这些连接,而有选择地允许访问某些 LAN IP 地址(即运行 Web 服务器的设备),这意味着它很可能能够看到 AirPrinter。我在家里的华硕路由器上测试过类似的东西,确实只要启用了 LAN 访问,连接的访客设备就可以看到我的 AirPrinter。糟糕!
我的解决方案是添加第二个以接入点模式运行的 TP-LINK 路由器,将其连接到第一个路由器,定义不同的 SSID,然后让所有其他设备连接到第二个路由器。我也在家里尝试过这个,在我的测试中,第二个路由器被赋予了与主路由器位于同一子网的 IP,虽然我可以使用手机顺利连接到它,但我看不到连接到主路由器的 AirPrinter。但是,我仍然能够连接到在主路由器上运行的 Web 服务器。太好了。
我确实在寻求对这种方法的验证,关于如何改进它的任何建议(例如,将第二个路由器粘贴在子网上,然后启用从它到主路由器上 Web 服务器的特定 IP 地址的路由?)以及是否有更有效的方法可以完全阻止来自第二个路由器的互联网访问(而不仅仅是通过主路由器上的白名单)。
干杯
答案1
这种方法可能不太安全,但可以阻止随意访问打印机的尝试。我预计,虽然无法扫描打印机(因为它与扫描它的设备不在同一个子网中),但您可以通过 IP 地址添加打印机。您很可能甚至可以通过执行端口扫描来找到 IP 地址。(如果您反转第一和第二个路由器,您的运气可能会稍微好一些 - IE 将打印机和 Web 服务器置于 NAT 后面,使用端口映射并向主路由器添加路由 - 这将隔离打印机和 Web 服务器,但是您将难以使用此解决方案限制 Internet)
更可行的方法
这不是一件容易的事情(但话又说回来,任何解决这个问题的好办法都是不简单的),但如果你有一个能够运行 dd-wrt 的路由器,并在其上刷入 dd-wrt,你应该能够做你想做的一切 - 以下是一些粗略步骤的一般指导 -
您想创建 2 个 SSID(虚拟网络)——一个用于服务器和打印机,另一个用于其他设备。这相当简单——您只需在“无线”->“基本设置”菜单中添加虚拟接口即可。您需要取消网络配置桥接,并为主 SSID 提供第二个 IP 地址和子网掩码。我没有试过,但我想如果您让 NAT 禁用的设备连接到第二个 SSID,则将无法连接到互联网。
应用此功能后,您可以转到设置->网络,然后在 DHCPD 选项中添加 SSID 的 IP 地址范围。
接下来,您需要为打印机分配一个静态 IP 地址 - 您可以在打印机本身上执行此操作,也可以使用“服务”->“静态租约”下的“静态租约”。您需要为 Web 服务器执行类似操作。
最后一部分有点棘手,即编写防火墙规则以限制对打印机的访问。有几种方法可以做到这一点。我没有尝试过这种方法,但最简单的方法可能是在管理 -> 命令下编写适当的规则。这里的想法是编写一条规则,只允许从第二个 SSID 访问服务器和路由器(以便客户端可以进行 DNS 查找)。有很多方法可以做到这一点,具体取决于您的配置,它们会略有不同 - 但您正在考虑添加以下规则:
/sbin/iptables -I FORWARD -s SSID2.IP.RANGE netmask SSID.IP.NETMASK -j DROP
/sbin/iptables -I FORWARD -s SSID2.IP.RANGE -d IP.ADDR.OF.SERVER -j ACCEPT