我遇到一种情况,我必须创建一个隔离子网,该子网可以通过另一个子网访问 Internet。图片可能显示得更清楚。
192.168.5.1
LAN LAN
Internet +----------+ +----------+ +--------+
<----+ Router 1 +-------+ Router 2 +------+Device 2|
| No access| | OpenWRT | | |
+------+---+ +----------+ +--------+
LAN| WAN 192.168.5.5
| 192.168.1.20
+----+---+
|Device 1|
| |
+--------+
192.168.1.50-100
我不需要Device 2访问 192.168.1.0 网络上的任何设备,但仍可以访问互联网。
我无法触摸Router 1,这需要通过设置来实现Router 2。
默认设置是/etc/config/firewall将所有内容从 LAN 转发到 WAN,这会导致设备 1 能够 ping 设备 2。
我尝试使用以下规则来限制这一点:
config rule
option src lan
option dest wan
option dest_ip 192.168.1.50
option target REJECT
但这没有起到作用。你能给我指出正确的方向吗?
除了设置防火墙设置之外,这(从概念上)是否可以通过将所有路由设置为
192.168.1.0/24某个虚假点来通过静态路由进行破解?
答案1
通常,您可以根据位数分配网络子网。例如,从 192.158.1.64 到 192.158.1.128。但是,您的规则应该阻止 .50 地址。如果您需要阻止子网,请像以下示例一样添加位数:
config rule
option name example rule
option src lan
option family ipv4
option proto all
option dest wan
option dest_ip 192.168.1.64/26
option target REJECT
在您的情况下:我可能会阻止整个 192.168.0/24 网络。