我目前有一个连接到主网络 (192.168.0.x) 的路由器。在此路由器上,我希望以太网端口连接到主网络,并通过其自己的子网 (192.168.1.x) 上的单独 DHCP 服务器设置 vlan (无线)。现在一切正常。
我遇到的问题是,我想阻止从 VLAN 到同一子网上的其他客户端的访问(因此阻止 192.168.0.x 流量到 192.168.0.x)并且阻止所有到主网络子网的流量(尽管允许 DNS 查询)。
我认为我需要一些 iptables 规则:
# allow DNS
iptables -I INPUT -i br0 -p udp --dport 53 -j ACCEPT
iptables -I INPUT -i br0 -p tcp --dport 53 -j ACCEPT
iptables -I OUTPUT -p udp --dport 53 -j ACCEPT
iptables -I OUTPUT -p tcp --dport 53 -j ACCEPT
# deny access to the 192.168.x.x hosts from internal vlan-users
iptables -A OUTPUT -s 192.168.1.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -j DROP
iptables -A FORWARD -d 192.168.0.0/255.255.255.0 -m state --state NEW -j DROP
iptables -I INPUT -d 192.168.0.0/255.255.255.0 -m state --state NEW -j DROP
但是,在测试时,我仍然能够连接到 192.168.0.x 和 192.168.1.x 上的客户端
我错过了什么?我是不是在错误的链上(或者可能是表上)尝试了它?