用于分隔用户的 IPTABLES 规则

如果你想将无线和有线用户分开，为什么不匹配接口呢？假设 ppp0 面向互联网，eth0 是您的本地 LAN，wlan0 是无线：

iptables -P FORWARD DROP                                 # Drop everything except:
iptables -A FORWARD -m state --state RELATED,ESTABLISHED # Accept already accepted connections
iptables -A FORWARD -i eth0 -o ppp0 -j ACCEPT            # Accept outgoing connections from local LAN
iptables -A FORWARD -i wlan0 -o ppp0 -j ACCEPT           # Accept outgonig connnections from wlan

如果你使用这个：

• 无法从互联网连接任何东西
• 无线用户只能连接到互联网
• 有线用户只能连接互联网
• 如果添加以下内容，您可以强制实施单独的 IP 范围--src-range

如果您的 DHCP 服务器在 OpenWrt 设备上运行，那么 FORWARD 链不会以任何方式影响它。允许 DHCP 服务器使用

iptables -P INPUT DROP                                   # Drop everything except:
iptables -A INPUT -m state --state RELATED,ESTABLISHED   # Accept already accepted connections
iptables -A INPUT ! -i ppp0 -p tcp --dport 22 -j ACCEPT  # Don't forget SSH
iptables -A INPUT ! -i ppp0 -p udp --sport 68 --dport 67 # Accept DHCP requests from any local network

我通常允许 OUTPUT 中的所有内容，除了少数类型的 ICMP 和垃圾邮件。但您可能更喜欢更安全的默认 DROP，因此具体规则如下：

iptables -P OUTPUT DROP                                             # Drop everything except:
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT ! -o ppp0 -p udp --sport 67 --dport 68 -j ACCEPT # Allow DHCP to the local network

这对于不应该连接到所有东西的路由器来说更有意义。

根据我的经验，我建议不要进行 MAC 过滤，它不会增加安全性，只会带来不便。但如果你想看：

iptables -m mac --help

记录 MAC 地址可能很有用，但它们很容易伪造。只需在 ACCEPT 规则之前添加-j LOG或-j NFLOG即可，匹配规则相同。

由于您正在配置一台只能通过网络访问的计算机，因此您应该非常小心，不要将自己锁定在外面。您不能只是走到它那里并手动删除规则。特别是iptables -P INPUT DROP使用空的 INPUT 链输入将会终止你的 SSH 会话。我建议使用iptables-saveandiptables-restore并将规则写入配置文件中。如果您可以在路由器上尝试之前在带有键盘和显示器的计算机上测试规则，这也会有所帮助。