-->
当前位置:首页 > ELSE > 正文内容

[OpenWrt]网站白名单访问与ssid间设备隔离

Luz4年前 (2020-09-13)ELSE5763

OpenWrt支持在一个频段上在信道相同的条件下同时部署多个无线网络,而默认添加的无线网络共用本地LAN接口,导致连接到不同ssid的设备间依然可以做到相互访问

使用VLAN技术,针对不同ssid分配一个不同的VLAN接口,可以很好地完成连接不同SSID的设备间隔离

添加隔离网段的AP。

image.png

进入无线管理页面,选择添加。2.4G和5G随便选一个添加都可以

image.png

创建新的网络,名字可以自己命名。我这里示例LAN2

image.png

然后进入接口管理。选择刚刚创建的LAN2,点击修改,部分固件存在BUG,如果这里没有出现上一步创建的网络名称时,可以手动添加一个

image.png

设置为静态地址

image.png

修改网段信息并保存

image.png

设置DHCP服务

image.png

设置防火墙信息

image.png

转至网络-防火墙,将新生成的防火墙修改的和lan相同,如果没有出现此防火墙信息可以新建一个


测试连接,大功告成!


修改访问白名单,试了其他效果都不好,这里使用iptables设置

iptables -t nat -A PREROUTING -p udp --dport 53 -j REDIRECT --to-ports 53
iptables -t nat -A PREROUTING -p tcp --dport 53 -j REDIRECT --to-ports 53
iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE
iptables -I FORWARD -p udp --dport 53 -j ACCEPT  #释放端口,设置域名白名单
iptables -I FORWARD -p tcp --dport 53 -j ACCEPT
iptables -I FORWARD -p udp --dport 22 -j ACCEPT
iptables -I FORWARD -p tcp --dport 22 -j ACCEPT
iptables -I FORWARD   -d sec.hdu.edu.cn  -j ACCEPT
iptables -I FORWARD   -d sec0.hdu.edu.cn  -j ACCEPT
iptables -I FORWARD   -d sec1.hdu.edu.cn  -j ACCEPT
iptables -I FORWARD   -d sec2.hdu.edu.cn  -j ACCEPT
iptables -I FORWARD   -d sec3.hdu.edu.cn  -j ACCEPT
iptables -I FORWARD   -d sec4.hdu.edu.cn  -j ACCEPT
iptables -I FORWARD   -d sec5.hdu.edu.cn  -j ACCEPT
iptables -I FORWARD 14   -j DROP #丢弃所有流量 ,17:插入位置

目标URL在白名单中的流量在被匹配到后,会直接被放行,并不在向下执行,因此运行到DROP,表明流量并不在白名单中。

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。