我有一台 Linux 机器作为路由器,带有一个 wifi 接口(hostapd)和多个桥接在一起的以太网接口。我想将多个智能家居设备添加到网络。
我想要实现的是限制所有设备(LAN 和 WLAN)之间的客户端到客户端通信。通信只能通过 Linux 机器上的 (L2) 防火墙进行。
因此,为了禁用我在 hostapd 中激活的 WLAN 接口上的 BSS 内切换ap_isolate=1
,它会将数据包转发到路由器。这很好用。使用每个设备的独立 LAN 接口也应该可以正常工作。
但是,我目前面临的问题是,当其中一个以太网端口上有一个(托管)交换机时,我不知道如何限制路由器上的客户端到客户端通信(见下图)。许多智能家居应用程序要求智能手机和设备位于同一网络上。因此,使用 VLAN 是不可行的。
交换机上的端口隔离能解决我的问题吗?我正在考虑只允许从设备到路由器的流量,反之亦然(P2<->P1,P3<->P1)。然后应该在交换机上阻止设备之间的流量。当防火墙明确允许通信时,是否仍然可以进行通信?这种设置有什么缺点吗?