我仍在学习,所以这可能是一个愚蠢的问题。我在 Linux 上的笔记本电脑上创建了一个接入点(称之为路由器是否正确?)。我将两个设备(我将其称为客户端)连接到该接入点,并确保它们可以相互访问(ping,向另一台设备主机上的 Web 服务器发出请求)。子网将是192.168.10.0.24,其中192.168.10.1笔记本电脑(接入点)192.168.10.2是第一台设备,192.168.10.3是第二台设备。然后我通过 iptables(在 INPUT、OUTPUT、FORWARD 上丢弃)阻止了笔记本电脑上的所有数据包,并预计客户端将无法再相互访问,但客户端仍然可以相互访问。这是否意味着在从路由器上的 DHCP 服务器获取 IP 地址后,客户端不再需要路由器,它们直接连接到其他客户端?是否可以阻止客户端相互通信,以便客户端只能访问路由器(在我的情况下是笔记本电脑)?我想澄清一下,我不是问在任何客户端上设置防火墙,而是只问访问路由器。
答案1
AP 模式下的 802.11 WNIC 会根据目标 MAC 地址自动将帧转发到其他无线客户端。中继的无线到无线帧甚至不一定会从 AP 模式的 WNIC 传递到主机系统,因此主机系统的网络堆栈没有机会对它们采取行动(甚至可能看不到它们)。
某些支持 AP 模式的 WNIC 芯片组/驱动程序可能具有“客户端隔离”模式,可禁用自动 BSS 内(无线到无线)中继行为。您需要研究您的 WNIC/驱动程序是否支持该模式。
如果您的 WNIC 支持它并且您正在使用它hostapd来控制 AP 模式,那么您可以添加ap_isolate=1到您的hostapd.conf以启用此功能。