寻找限制访问 LAN 的 wifi 路由器

您的局域网负责保护自己免受无线路由器的侵害，而不是无线路由器负责保护您的局域网。

根据您的网站的大小--

将 AP 挂在防火墙接口上

配置一个隔离的 vlan 并将 AP 连接到该 vlan，然后将该 vlan 连接到您的防火墙。

现在，配置您的防火墙以允许该网络访问互联网但不允许访问内部网络。

最后，如果你不想这样做，那就去买一个netscreen 5gt-221内置无线功能。稍后，如果您决定需要更多 AP，则可以将它们连接到 Netscreen 上的接口。

在不了解现有 LAN 的更多详细信息的情况下，我建议研究 VLAN。如果您现有的基础设施支持 VLAN，您可以购买支持 VLAN 的接入点。Cisco、D-Link 和其他公司都有支持 VLAN 的小型企业 AP。然后，您可以配置交换设备，将所有无线访客流量通过专用 VLAN 路由，并直接通过防火墙或路由器中的单独接口。配置正确后，这将阻止他们访问您的本地 LAN 流量。

首先我想说的是，不应该这样做

您可以在“外部”接口上设置子网任何“无线路由器”执行 nat 为 /30，仅包含您当前的路由器/防火墙。不用说，您需要在防火墙上制定规则不是允许来自无线路由器的流量进入 /24 生产网络的其余部分。

假设您当前的防火墙/路由器配置将 10.10.1.1/24 作为生产网络的内部接口。将 AP 的接口设置为 10.10.1.2，它外部接口网络掩码为 /30（或 255.255.255.252）。现在您的 AP 会将所有流量（不在无线网络中）发送到防火墙。当然无线路由器正在进行 NAT，但它并不像桥梁一样运作。

所以 -

router: 10.10.1.1/24 (production network)
AP: 10.10.1.2/30  (outside)
    10.10.2.1/24  (inside)
    10.10.1.1 -> AP's default route

最后，如果您想将更多的 AP 放到这个“无线网络”上——将所有 SSID 设置为相同的，降低所有 AP 的功率，将它们设置为不同的通道，并关闭除连接到防火墙的 AP 之外的所有 AP 上的 DHCP，然后将每个新 AP 的“内部”接口连接到第一个 AP 的“内部”网络接口。

如果你想卷起袖子，你可能需要看看DD-WRT