我有一台华硕路由器 AC87U。是否可以阻止配置了静态 IP 的设备的无线连接,同时仍允许同样配置了静态 IP 的设备的 LAN 连接?
即,对于无线连接仅使用 DHCP,而对于无线连接则同时使用 DHCP 和静态 IP。
我从安全的角度来询问。我想为路由器 Web UI 设置一个静态 IP,并将该 IP 仅保留给有线连接的计算机。这样,无线连接的设备将没有机会连接到该 IP:因为 DHCP 永远不会提供它(其池起始于该 IP 之上),并且使用静态 IP 进行无线连接的尝试将被拒绝。
答案1
我从安全的角度来询问。我想为路由器 Web UI 设置一个静态 IP,并将该 IP 仅保留给有线连接的计算机。这样,无线连接的设备将没有机会连接到该 IP:因为 DHCP 永远不会提供它(其池起始于该 IP 之上),并且使用静态 IP 进行无线连接的尝试将被拒绝。
在单个子网中,只能对通过路由器的流量(即 Internet 访问)强制执行此操作 - 即使这样也只是很弱的 - 但不能对停留在子网内的流量执行此操作。
(设备实际上并不是“使用 IP 进行连接”,因此不可能完全基于此拒绝 Wi-Fi 连接;IP 地址只有在已连接的设备最终开始传输数据时才会发挥作用。换句话说,Wi-Fi 硬件不知道 IP 地址。)
通过在路由器上创建“静态 ARP”条目,可以部分执行您的要求,这样路由器将总是将该 IP 的数据包转发到指定的 MAC 地址,而不是像通常的机制那样使用 ARP 动态获取 MAC 地址。但是:
同一子网中两个主机之间的数据包实际上并不经过路由器 - 它们只是直接由以太网和 Wi-Fi 硬件转发,这些硬件不知道 IP 地址,因此您无法阻止具有该 IP 地址的冒名顶替者在您的 LAN 周围搜索 - 这只会影响互联网访问;
了解正确的 MAC 地址并将您的 Wi-Fi 接口的 MAC 地址更改为您想要的地址确实很容易。
换句话说,作为一种“安全措施”,它简直就是垃圾。(再次强调,对于攻击者来说,找出你网络的 WPA 密码可能是最难的部分。一旦他们进入,你奇怪的 IP 设置就只会带来麻烦。)
如果这是一项安全措施,通常可以通过为“重要”计算机创建一个全新的 IP 子网来解决,该子网位于一个单独的 VLAN 上,仅分配给某些以太网端口,而不分配给 Wi-Fi 接入点。这样,只有物理连接到这些以太网端口的设备才会位于“受信任”子网中,并且能够使用该子网的任何 IP 地址。
(没有必要使用静态 IP,因为每个 VLAN 都有自己的 DHCP 池,并且您可以在 DHCP 服务器上为想要获取可预测地址的主机配置静态租约。)