首页
下载应用
提交文章
关于我们
🔥 热搜 🔥
1
上海
2
习近平
3
新疆
4
鄂州父女瓜
5
乌鲁木齐
6
疫情
7
H工口小学生赛高
8
习明泽
9
芊川一笑图包
10
印尼排华
分类
社会
娱乐
国际
人权
科技
经济
其它
首页
下载应用
提交文章
关于我们
🔥
热搜
🔥
1
百度
2
今日热点
3
微信公众平台
4
贴吧
5
opgg
6
dnf私服
7
百度贴吧
8
知乎
9
dnf公益服
10
百度傻逼
分类
社会
娱乐
国际
人权
科技
经济
其它
大摩宏观策略谈:2025中美变局展望
假设,你遇到麦琳怎么办?
2024年心理咨询师报名通道开启!可考心理证书,无需辞职,名额有限,11月30日截止报名!!!
穿了跟没穿一样,胸型赞到爆!天然乳胶,性感到让男人腿软!
高三女生醉酒后被强奸致死?检方回应
生成图片,分享到微信朋友圈
2022年5月19日
2023年8月16日
2023年8月16日
2023年8月17日
2023年8月17日
2023年8月18日
2023年8月18日
2023年8月19日
2023年8月19日
2023年8月20日
2023年8月20日
2023年8月21日
2023年8月21日
2023年8月22日
2023年8月22日
2023年10月9日
2023年10月10日
2023年10月10日
2023年10月11日
2023年10月11日
2023年10月12日
2023年10月12日
2023年10月13日
2023年10月13日
2023年10月14日
2023年10月14日
2023年10月15日
2023年10月16日
查看原文
其他
[教程] OPENWRT路由设置访客网络配置防火墙进行网络隔离
Original
山外的鸭子哥
蓝点网
2022-05-19
收录于合集
#openwrt
1 个
#路由器
5 个
#WiFi
4 个
#访客网络
1 个
#防火墙
1 个
访客网络主要供家庭外成员例如亲戚和朋友到家做客时使用,尤其是有些亲戚朋友喜欢安装WiFi密码共享类软件,一旦家庭网络密码泄露则可能造成隐私泄露,所以设置访客网络并配置防火墙进行隔离是个不错的选择。
OPENWRT路由器具备强大的功能,虽然没有直接附带访客网络功能,但用户可以根据自己的需要新建访客网络并配置防火墙,最重要的是对内网进行隔离,这样连接访客网络的设备不能访问家庭主要网络,因此即便密码被泄露也不会造成太大影响。而且还可以设置访客网络定时开启功能,在不需要的时候将其关闭,避免因为密码泄露后被蹭网而占用网络带宽。
另外对于某些用户来说也可以将物联网设备连接访客网络,即将物联网设备与家庭主网络进行隔离,避免因为物联网设备出现安全漏洞影响家庭网络的安全,这对于使用家庭网络共享例如SMB等用户来说至关重要。(注:物联网设备隔离后更安全,但如果手机想要连接的话,手机也得连接访客网络并且需要将对应端口打开,建议有经验的用户配置)
网段地址的规划:
要建立访客网络首先我们需要对网段进行规划,让不同的网络分别处在不同的网段上方便我们后续管理,原则上对于访客网络我们可以使用不同的子网段,并不是必须使用不同的网段。
例如蓝点网的路由器采用桥接模式连接光猫,路由器网段为192.168.1.x,我们给访客网络划定的网段是192.168.4.x,为什么不是192.168.2.x和3.x呢?因为这两个子网段我们已经有其他用途所以访客网络就继续往后面排。
待访客网络配置完成后连接的设备获取的IP地址都是192.168.4.x,而家庭网络的其他设备地址是192.168.1.x。
配置访客网络接口:
转到OPENWRT路由器
网络
、
无线
界面,我们创建一个2.4GHz的访客网络(亦可选择5GHz或者分别创建两个频段的访客网络),点击
无线概况
下2.4GHz频段后面的
添加
按钮,在
设备配置
的
基本设置
里不需要修改默认即可。
在
接口配置
中:模式我们选择
接入点AP
,ESSID即名称例如
OPENWRT_Guest
来代表访客网络,网络里选择
创建,
自定义名称为
Guest
,在无线安全里设置加密方式如
WPA2-PSK
,算法自动然后设置
密码
,此密码即访客网络的连接密码,在
接口配置
的
高级设置
里将
隔离客户端
勾选,然后点击
保存和应用
即可创建访客网络。
点击
网络
、
接口
界面,在接口总览里找到我们刚刚创建的
Guest
,点击后面的
修改
按钮。在
基本设置
中将
IPv4地址
设置为我们此前规划的网段,例如192.168.4.x那就输入
192.168.4.1
,子网掩码设置为255.255.255.0。在
一般配置
的
高级设置
中勾选
开机自动运行
、勾选
使用内置IPv6管理
、勾选
强制链路
。
在底部的
DHCP服务器
的
基本设置
中,我们设置启动和客户端数,启动地址即从哪里开始分配,如果输入100,则最新分配的地址就是192.168.4.100,客户端数即连接数,如果亲戚朋友较多的话,可以设置个大点的客户端数。
最后检查一般配置的物理设置,确认桥接接口已被自动勾选,确保接口里已经勾选无线网络对应的名称例如OPENWRT_Guest(具体名称不同固件可能有所不同),检查完成后点击保存按钮,此时我们的访客网络已经可以成功连接并分配IP地址。
设置防火墙隔离:
在前面我们设置的客户端隔离并不能阻止访客网络与内网设备通信,所以我们还需要手动创建防火墙规则彻底阻断访客网络连接主网络。
转到OPENWRT-
网络-防火墙
,在
基本设置
的底部创建新区域并命名为
Guest
以示区分,入站数据选择
拒绝
、出站数据选择
接受
、转发选择
拒绝
,覆盖网络选择Guest,底部端口转发被勾选的应该是允许转发到目标区域wan,然后点击保存和应用。
点击顶部的
通信规则
,底部的
新建转发规则
,规则名称设置为
AllowGuestDNS
即允许访客网络获取DNS查询对应53端口,创建后点击AllowGuestDNS后面的
修改
,将
源区域
选择
Guest
访客网络,将
目标区域
设置默认的
设备输入
,
目标地址
为
所有
,
目标端口
为
53
,
动作
为
接受
,然后保存应用。此规则实际上就是为访客网络放行53端口。
放回概况后创建第二条转发规则,名称为AllowGuestDHCPRequest,代表允许访客网络通过67/68端口实现DHCP请求,创建后点击
修改
按钮,将
源区域
设置为
Guest
访客网络,将源端口设置
67-68
,将目标区域设置默认的
设备输入
,将
目标端口
设置
67-68
,将
动作
设置
接受
然后保存和应用,返回概况。
创建第三条转发规则,名称为DisableLocalLan用来阻止访客网络通过其他端口访问主网络,同样的还是创建后点击
修改
按钮,源区域设置为
Guest
,
源端口
设置为
所有
,
目标区域
设置
lan
,
目标地址
设置为
所有
,
目标端口
设置为
1-65535
,
动作
为
拒绝
,这条规则是阻止1-65535即全部端口通信,当然前面有53/67/68端口放行了优先级更高因此不会影响。修改完成后保存和应用。
PS:第三条规则中的端口也可以根据自己需要设置,但如果你不需要访客网络访问主网络那直接1-65535是最简单的做法。
注意:请始终将1-65535这类屏蔽规则放到最后,路由器执行时按从上到下进行优先级排序。放到最后的好处是,前面有其他接受规则不会被后面规则屏蔽掉。
至此防火墙规则创建完毕,对新手用户来说如果想要测试也很简单,手机连接访客网络后浏览器输入路由器管理地址例如192.168.1.1,如果显示拒绝连接说明防火墙配置无误,对了也要测试下其他网站能否访问,如果能访问但本地地址无法访问说明规则配置正确。
本文参考了恩山无线论坛
@yumeimm
的教程,感谢原作者。
(全文完)
热
腾讯搞了个新服务,看着还有点意思?
门
Win11 22H2版将在5月完工
推
Edge浏览器真的越来越过分了
荐
华硕这波翻车,实在太离谱了
您可能也对以下帖子感兴趣
{{{title}}}
文章有问题?点此查看未经处理的缓存