我已经搜索了几个小时来寻找该问题的解决方案,所以如果该问题已经得到解答,我深感抱歉。我有丰富的 Pix/ASA 背景,但我对 iptables 却不太熟悉...
我在 Linksys 路由器上运行 DD-WRT。我将 DD-WRT 的“WAN”端口插入 LAN,因此其外部 IP 地址位于我的内部网络上,并使用我的正常网关作为其出口。WiFi 本质上设置为访客网络,我不希望它能够访问我的内部网络。但在当前配置中,所有流量都通过 Wifi VLAN/网络传递到 WAN 接口,因此“访客”可以扫描/访问我的内部网络,因为我的“内部”位于 DD-WRT 的 WAN 接口上。
我想要应用 IPTables 规则(或其他类型的规则)来阻止与除我的内部网络网关(即 DD-WRT 的外部出口)之外的每个 IP 地址的通信。
DD-WRT 的内部网络(linksys 路由器 WAN)= eth0 192.168.1.1/24 gw:192.168.1.2
WiFi = ath0 子网 192.168.200.2/24(仅启用 1 个接口(2.4ghz)供“访客”访问)
是否有人建议如何应用 IP 表规则来阻止从 ath0 到 eth0 的所有通信,其来源为 192.168.200.0/24,IP 地址为 192.168.1.3 - 192.192.168.1.255?
任何建议将不胜感激...
谢谢你!
答案1
发布后,我重新阅读了我的问题以确保其准确性,并想出了一个想法......它有效。
我将 DD-WRT 的外部接口子网掩码调整为 /30 或 255.255.255.252,这样其所有外部流量都会被发送到其出口并被丢弃/忽略......
DD-WRT WAN/外部接口现已配置
地址:192.168.1.1
网络掩码:255.255.255.252 = 30
通配符 = 0.0.0.3
网络 = 192.168.1.0/30
广播 = 192.168.1.3
第一个 IP = 192.168.1.1
最后一个 IP = 192.168.1.2
可用主机 = 2
(来源:https://www.adminsub.net/ipv4-subnet-calculator)
虽然这没有使用任何 IPTable 规则,但对于我想要完成的工作来说,这还是可行的,因为对于进入我实际内部网络的任何内容,来自 DD-WRT 路由器上的外部 IP 的通信都将被发送到错误的 IP 地址(又名:位存储桶)。
请记住,这不会阻止与主/内部路由器可以通信/路由到的其他子网/VLAN 的通信(例如:DMZ、VPN 等)。话虽如此(因为我没有提到它),我只是添加了 FW 规则以阻止从 DD-WRT 的外部 IP(192.168.1.1)到这些网络的通信,现在我的“访客”可以访问的唯一网络是在公共 IP 空间中。
虽然我自己找到了解决方案,但我会保持这个帖子的活跃,以便其他人可以从这个解决方案中受益,因为我已经挣扎了很长时间......
我欢迎任何人发布 IPTable 解决方案,因为我的解决方案可能不是最适合每个人的......