DD-WRT 如何配置才能实现这样的功能

2016-01-29 01:03:14 +08:00
 agate

我有一个路由器打算只给访客使用. 所以我希望设备接入的时候能够上网. 但是不能访问到路由器后端的局域网.

我的网络情况是:
前面有一个光猫. 光猫的一个 lan 口连了我的一个主路由器. 然后我这个访客的路由器连在了那个主路由器上.
主路由器的网段比如为 192.168.1.0/24
访客路由器的网段为 192.168.10.0/24

我现在希望做到访客不能访问到主路由器上其他的服务.
比如我如果是访客. 我是不能反问到 192.168.1.11 上的一个 HTTP 服务器的.

我不知道该如何操作. 或者可行么? 望大家指点.

5281 次点击
所在节点    路由器
14 条回复
rio
2016-01-29 01:45:59 +08:00
如果光猫自己拨号并且有两个 LAN 口,两个路由器分别插光猫的 LAN 口即可。缺点是两个路由器都有两层 NAT 。

如果光猫不播号,最简单的方法是访客路由接光猫 LAN 口,主路由接访客路由 LAN 口。缺点是房客路由有两层 NAT ,主路由有三层 NAT 。

当然最理想的方案是再买个支持访客网络的新路由(或者看你现有的两个设备能不能刷 OpenWRT / DD-WRT 然后支持访客网络),然后光猫不播号,这样只有一层 NAT 。
cxbig
2016-01-29 07:25:03 +08:00
随便换个 200 块左右的路由就支持访客网络了。
agate
2016-01-29 07:43:23 +08:00
先谢谢楼上两位回复

@cxbig
访客网络不能支持我的那个需求 访客还是能够访问到我主路由上的设备

@rio
我的
agate
2016-01-29 07:48:03 +08:00
晕倒... 不小心点了发送按钮

@rio
我的的主路由器其实自己配置的一个 server. 里头有一些网络规则. 不方便直接插入光猫.

我的访客路由器已经是 DD WRT 了. 我也试过设置勾选 AP 隔离. 但是访客还是能够访问主路由上的设备.
agate
2016-01-29 07:53:25 +08:00
经过一些尝试. 我发现. 访客网络隔离的是房客 wifi 和主人 wifi 上设备之间的通信. 但是无法隔离上层网络中的访问. 也就是说房客是可以访问到任何主路由器中的设备的. 那是不是意味着我应该在我的主路由器中设置一些 iptables 的规则呢?

比如我那个访客路由器的 ip 地址是 192.168.1.100
那么我能不能设置说 192.168.1.100 只能和 网关 192.168.1.1 的机器通讯不让他和其他设备通讯呢?
如果可以, 该如何写呢? 谢谢
squid157
2016-01-29 08:09:20 +08:00
@agate 设置 iptables 吧
cxbig
2016-01-29 08:22:52 +08:00
@agate 怎么可能,最近才配过一个 tp-link ,访客就是在你说的另一个网段上。互相之间无法访问,只能使用部分 wan 口带宽。
jackysc
2016-01-29 09:10:47 +08:00
不知道 ddwrt 支不支持 vlan ,支持 vlan 就行。。。
agate
2016-01-29 09:15:28 +08:00
哦? 支持的。我去研究一下。
agate
2016-01-29 09:57:14 +08:00
@cxbig
我理解你说的两个网段. 你那两个是平行的吧. 也就是说你两个 wifi 是在同一个路由器上的吧... 所以两个 NAT 互相不知道对方的内网. 但是我的情况是不想让路由器上链接的设备访问到他上一层网络内的其他设备. (不包括网关). 所以我估计我们说的不是同一件事情...

@jackysc
vlan 似乎也是需要配置在我的主路由器上的吧...
jackysc
2016-01-29 09:58:06 +08:00
@agate 对的
jasontse
2016-01-29 10:11:37 +08:00
iptables -I FORWARD -s 192.168.10.0/24 -d 192.168.1.0/24 -j DROP
agate
2016-01-29 15:23:54 +08:00
@jasontse

我试了: (P.S. 我的访客路由器在主路由器上的 IP 是 192.168.1.11)

iptables -I FORWARD -s 192.168.10.0/24 -d 192.168.1.0/24 -j DROP
iptables -I INPUT -s 192.168.10.0/24 -d 192.168.1.0/24 -j DROP
iptables -I OUTPUT -s 192.168.10.0/24 -d 192.168.1.0/24 -j DROP

iptables -I FORWARD -s 192.168.1.11 -d 192.168.1.0/24 -j DROP
iptables -I INPUT -s 192.168.1.11 -d 192.168.1.0/24 -j DROP
iptables -I OUTPUT -s 192.168.1.11 -d 192.168.1.0/24 -j DROP

发现在访客路由器上的设备依旧可以访问 192.168.1.0/24 网段内的服务... (比如. http://192.168.1.10:8080)

请赐教
agate
2016-01-29 16:06:00 +08:00
忘记补充了... 我主路由器和访客路由器之间是通过交换机连接的... 希望这个不会有什么问题...
我想是不是其实访客路由器根本不需要请求主路由器啊... 交换机就直接转发了...

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/254115

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX