×

分享LEDE/OPENWRT用作AP【访客网络】【无线隔离】方法

hqy hqy 发表于2019-05-28 17:57:43 浏览5603 评论0

抢沙发发表评论


2018.08.01
添加带独立交换芯片更改switch设置使用五口都是LAN的方法(即ap模式五口都可用)
 
有的第一行和第二行可能反过来

******************************************************************************************
2018.01.11

如果双频信号都开启无线隔离,可以如下设置firewall

本帖隐藏的内容

  1. # This file is interpreted as shell script.

  2. # Put your custom iptables rules here, they will

  3. # be executed with each firewall (re-)start.


  4. # Internal uci firewall chains are flushed and recreated on reload, so

  5. # put custom rules into the root chains e.g. INPUT or FORWARD or into the

  6. # special user chains, e.g. input_wan_rule or postrouting_lan_rule.


  7. ##########################################################

  8. GATEWAY_IP=192.168.6.1

  9. GATEWAY_MAC=aa:bb:cc:dd:ee:fe

  10. SUBNET=192.168.6.0/24

  11. INTERFACE=wlan0 #5G信号,数据量大

  12. INTERFACE1=wlan1-1 #2.4G信号,数据量小


  13. ##########################################################

  14. ebtables -t filter -F FORWARD

  15. ebtables -t filter -F INPUT

  16. ebtables -t filter -F OUTPUT


  17. #########################################################

  18. ebtables -t filter -A FORWARD -i $INTERFACE -p IPV4 --ip-protocol udp  --ip-destination $GATEWAY_IP --ip-destination-port 53 -j ACCEPT

  19. ebtables -t filter -A FORWARD -i $INTERFACE -p IPV4  --ip-destination $GATEWAY_IP -j DROP

  20. ebtables -t filter -A FORWARD -i $INTERFACE -d $GATEWAY_MAC  -j ACCEPT


  21. ebtables -t filter -A FORWARD -i $INTERFACE1 -p IPV4 --ip-protocol udp  --ip-destination $GATEWAY_IP --ip-destination-port 53 -j ACCEPT

  22. ebtables -t filter -A FORWARD -i $INTERFACE1 -p IPV4  --ip-destination $GATEWAY_IP -j DROP

  23. ebtables -t filter -A FORWARD -i $INTERFACE1 -d $GATEWAY_MAC  -j ACCEPT


  24. ebtables -t filter -A FORWARD -i $INTERFACE -p IPV4 --ip-destination $SUBNET -j DROP

  25. ebtables -t filter -A FORWARD -i $INTERFACE1 -p IPV4 --ip-destination $SUBNET -j DROP


  26. ebtables -t filter -A FORWARD -o $INTERFACE -s ! $GATEWAY_MAC -j DROP

  27. ebtables -t filter -A FORWARD -o $INTERFACE1 -s ! $GATEWAY_MAC -j DROP


  28. #########################################################

  29. ebtables -t filter -A OUTPUT -o $INTERFACE -p ARP -j DROP

  30. ebtables -t filter -A OUTPUT -o $INTERFACE -p IPV4 -j DROP

  31. ebtables -t filter -A OUTPUT -o $INTERFACE1 -p ARP -j DROP

  32. ebtables -t filter -A OUTPUT -o $INTERFACE1 -p IPV4 -j DROP


  33. #########################################################

  34. ebtables -t filter -A INPUT -i $INTERFACE -p IPV4 -j DROP

  35. ebtables -t filter -A INPUT -i $INTERFACE1 -p IPV4 -j DROP


复制代码



===========================================================================================
2017.10.10
家里的无线网络连接的客户端比较多,经常有亲戚邻居的手机连接,而他们的手机上还经常会有“万能钥匙”这些软件。
被蹭网倒是其次,关键是连接wifi的手机经常使用支付宝、微信、网银等。为了安全给访客网络开启无线隔离,也就是连接访客网络的客户端间网络是不通的,访客网络和其它网络间也是不通的,只能访问外网。
而openwrt在作为ap时,官方没有可以无线隔离的方法,我用ebtables工具通过防火墙开启无线隔离。
接上次更新,防火墙custom rules支持shell,就设置了几个变量,方便修改,如下:

本帖隐藏的内容

  1. ##########################################################

  2. GATEWAY_IP=192.168.6.1

  3. GATEWAY_MAC=aa:bb:cc:dd:ee:fe

  4. SUBNET=192.168.6.0/24

  5. INTERFACE=wlan0-1


  6. ##########################################################

  7. ebtables -t filter -F FORWARD

  8. ebtables -t filter -F INPUT

  9. ebtables -t filter -F OUTPUT


  10. #########################################################

  11. ebtables -t filter -A FORWARD -i $INTERFACE -p IPV4 --ip-protocol udp  --ip-destination $GATEWAY_IP --ip-destination-port 53 -j ACCEPT

  12. ebtables -t filter -A FORWARD -i $INTERFACE -p IPV4  --ip-destination $GATEWAY_IP -j DROP


  13. ebtables -t filter -A FORWARD -i $INTERFACE -d $GATEWAY_MAC  -j ACCEPT

  14. ebtables -t filter -A FORWARD -i $INTERFACE -p IPV4 --ip-destination $SUBNET -j DROP


  15. ebtables -t filter -A FORWARD -o $INTERFACE -s ! $GATEWAY_MAC -j DROP


  16. #########################################################

  17. ebtables -t filter -A OUTPUT -o $INTERFACE -p ARP -j DROP

  18. ebtables -t filter -A OUTPUT -o $INTERFACE -p IPV4 -j DROP


  19. #########################################################

  20. ebtables -t filter -A INPUT -i $INTERFACE -p IPV4 -j DROP


复制代码




=============================================================
2017.09.02
1。LEDE无线路由器修改LAN ip为和网关同一网段,LAN用网线连接网关。禁用无线路由器LAN的DHCP服务器。
无线隔离方法是使用ebtables配置防火墙,过滤br-lan桥上的数据包。ebtables与iptables不同处是专门过滤网桥的数据包。
先安装ebtables-utils,kmod-ebtables-ipv4,在线安装就可以。
2。Network -> Wireless -> Add添加新的无线网络,无线网络配置不再详说,Mode选AP,Network选LAN,重点记住配置页面上的
Wireless Network: Master "xxxx" (wlan0-1)括号里的网卡名称,也可以用iwinfo查看。
不新建无线网络也可以用原来的。
3。找到网关(如192.168.1.1),网关MAC(如aa:bb:cc:dd:ee:ff)
Network -> Firewall -> Custom Rules,添加如下规则

本帖隐藏的内容

  1. ##########################################################

  2. ebtables -t filter -F FORWARD

  3. ebtables -t filter -F INPUT

  4. ebtables -t filter -F OUTPUT


  5. #########################################################

  6. ebtables -t filter -A FORWARD -i wlan0-1 -p IPV4 --ip-protocol udp  --ip-destination 192.168.1.1 --ip-destination-port 53 -j ACCEPT

  7. ebtables -t filter -A FORWARD -i wlan0-1 -p IPV4  --ip-destination 192.168.1.1 -j DROP


  8. ebtables -t filter -A FORWARD -i wlan0-1 -d aa:bb:cc:dd:ee:ff  -j ACCEPT

  9. ebtables -t filter -A FORWARD -i wlan0-1  -p IPV4 --ip-destination 192.168.1.0/24 -j DROP


  10. ebtables -t filter -A FORWARD -o wlan0-1 -s ! aa:bb:cc:dd:ee:ff -j DROP


  11. #########################################################

  12. ebtables -t filter -A OUTPUT -o wlan0-1 -p ARP -j DROP

  13. ebtables -t filter -A OUTPUT -o wlan0-1 -p IPV4 -j DROP


  14. #########################################################

  15. ebtables -t filter -A INPUT -i wlan0-1 -p IPV4 -j DROP

复制代码


4。保存,重启。

5。说明:
我的AP没启用IPV6,关闭IPV6方法是在/etc/sysctl.conf添加如下一行

  1. net.ipv6.conf.all.disable_ipv6=1

复制代码


打赏

本文链接:https://www.kinber.cn/post/770.html 转载需授权!

分享到:


推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

 您阅读本篇文章共花了: 

群贤毕至

访客