我们在两个本地网络之间有一个 Tap Bridge。它工作得很好,只是来自“其他”网络的客户端可以使用 dhcp 服务器,最重要的是可以使用第二个网络的 wan 网关,这很糟糕。这不能仅通过阻止 ip 来实现,因为每个人都可以设置静态 ip。我猜这可以通过阻止一些接口流量来实现,但我真的不是专家。
tap0 与 lan 和 wlan 桥接,作为 br-lan
答案1
将 VPN 置于非桥接模式并设置单独的子网会更容易。我尝试为每个安全区域使用单独的子网。这有助于解决您遇到的问题。权衡是增加路由复杂性与更简单的安全设置。
由于我的网络中不使用桥接模式,因此我不确定会产生什么样的 iptables 语法。但您应该能够在规则集中指定 tap 接口。
如果你正在运行,你可能需要看看Shorewall 和桥接防火墙文档。