我有一个路由器打算只给访客使用. 所以我希望设备接入的时候能够上网. 但是不能访问到路由器后端的局域网.
我的网络情况是:
前面有一个光猫. 光猫的一个 lan 口连了我的一个主路由器. 然后我这个访客的路由器连在了那个主路由器上.
主路由器的网段比如为 192.168.1.0/24
访客路由器的网段为 192.168.10.0/24
我现在希望做到访客不能访问到主路由器上其他的服务.
比如我如果是访客. 我是不能反问到 192.168.1.11 上的一个 HTTP 服务器的.
我不知道该如何操作. 或者可行么? 望大家指点.
1
rio 2016-01-29 01:45:59 +08:00
如果光猫自己拨号并且有两个 LAN 口,两个路由器分别插光猫的 LAN 口即可。缺点是两个路由器都有两层 NAT 。
如果光猫不播号,最简单的方法是访客路由接光猫 LAN 口,主路由接访客路由 LAN 口。缺点是房客路由有两层 NAT ,主路由有三层 NAT 。 当然最理想的方案是再买个支持访客网络的新路由(或者看你现有的两个设备能不能刷 OpenWRT / DD-WRT 然后支持访客网络),然后光猫不播号,这样只有一层 NAT 。 |
2
cxbig 2016-01-29 07:25:03 +08:00
随便换个 200 块左右的路由就支持访客网络了。
|
3
agate OP |
4
agate OP 晕倒... 不小心点了发送按钮
@rio 我的的主路由器其实自己配置的一个 server. 里头有一些网络规则. 不方便直接插入光猫. 我的访客路由器已经是 DD WRT 了. 我也试过设置勾选 AP 隔离. 但是访客还是能够访问主路由上的设备. |
5
agate OP 经过一些尝试. 我发现. 访客网络隔离的是房客 wifi 和主人 wifi 上设备之间的通信. 但是无法隔离上层网络中的访问. 也就是说房客是可以访问到任何主路由器中的设备的. 那是不是意味着我应该在我的主路由器中设置一些 iptables 的规则呢?
比如我那个访客路由器的 ip 地址是 192.168.1.100 那么我能不能设置说 192.168.1.100 只能和 网关 192.168.1.1 的机器通讯不让他和其他设备通讯呢? 如果可以, 该如何写呢? 谢谢 |
7
cxbig 2016-01-29 08:22:52 +08:00 via iPhone
@agate 怎么可能,最近才配过一个 tp-link ,访客就是在你说的另一个网段上。互相之间无法访问,只能使用部分 wan 口带宽。
|
8
jackysc 2016-01-29 09:10:47 +08:00
不知道 ddwrt 支不支持 vlan ,支持 vlan 就行。。。
|
9
agate OP 哦? 支持的。我去研究一下。
|
10
agate OP |
12
jasontse 2016-01-29 10:11:37 +08:00 via iPad
iptables -I FORWARD -s 192.168.10.0/24 -d 192.168.1.0/24 -j DROP
|
13
agate OP @jasontse
我试了: (P.S. 我的访客路由器在主路由器上的 IP 是 192.168.1.11) iptables -I FORWARD -s 192.168.10.0/24 -d 192.168.1.0/24 -j DROP iptables -I INPUT -s 192.168.10.0/24 -d 192.168.1.0/24 -j DROP iptables -I OUTPUT -s 192.168.10.0/24 -d 192.168.1.0/24 -j DROP iptables -I FORWARD -s 192.168.1.11 -d 192.168.1.0/24 -j DROP iptables -I INPUT -s 192.168.1.11 -d 192.168.1.0/24 -j DROP iptables -I OUTPUT -s 192.168.1.11 -d 192.168.1.0/24 -j DROP 发现在访客路由器上的设备依旧可以访问 192.168.1.0/24 网段内的服务... (比如. http://192.168.1.10:8080) 请赐教 |
14
agate OP 忘记补充了... 我主路由器和访客路由器之间是通过交换机连接的... 希望这个不会有什么问题...
我想是不是其实访客路由器根本不需要请求主路由器啊... 交换机就直接转发了... |