恩山无线论坛

标题: [20231230]分享LEDE/OPENWRT用作AP【访客网络】【无线隔离】方法 [打印本页]

作者: fengchen    时间: 2017-9-2 22:16
标题: [20231230]分享LEDE/OPENWRT用作AP【访客网络】【无线隔离】方法
本帖最后由 fengchen 于 2023-12-30 20:25 编辑

20231230更新~

2203之后使用了nftables,需安装向下兼容的包才能继续使用原来的规则脚本。共需安装如下几个包
ebtables-legacy  ebtables-legacy-utils   ebtables-nft         kmod-ebtables         kmod-ebtables-ipv4     kmod-ebtables-ipv6


由于网页上firewall里面没有自定义脚本的地方了,需要自己添加开机启动
自启动添加
  1. sh /etc/dosomething.sh &
复制代码
dosomething.sh内容如下
放了30s延时,文件放在/etc文件夹,备份时设置备份整个/etc,这样方便备份
  1. sleep 30
  2. sh /etc/firewall.user.sh
复制代码
firewall.user.sh也放在/etc,[attach]663846[/attach]

firewall.user.sh和以前大致相同,无线网卡名和以前不同了,使用phyX-apY格式

  1. GATEWAY_IP=192.168.50.1
  2. GATEWAY_MAC=$(arp |grep "$GATEWAY_IP " |awk '{print $4}')
  3. SUBNET=192.168.50.0/24
  4. INTERFACE=phy1-ap0
复制代码




++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
20220329
最新版本openwrt在/etc/sysctl.conf关闭ipv6似乎不行了,就想到直接用ebtables的规则关闭ipv6
使用ebtables规则刚好只关闭访客网络的ipv6,其它网络正常使用ipv6

[/hide]
新的规则如下
  1. ##########################################################
  2. GATEWAY_IP=192.168.5.1
  3. GATEWAY_MAC=12:23:34:45:56:67
  4. SUBNET=192.168.5.0/24
  5. INTERFACE=wlan1

  6. ##########################################################
  7. ebtables -t filter -F FORWARD
  8. ebtables -t filter -F INPUT
  9. ebtables -t filter -F OUTPUT

  10. #########################################################
  11. ebtables -t filter -A FORWARD -i $INTERFACE -p IPV6 -j DROP
  12. ebtables -t filter -A FORWARD -o $INTERFACE -p IPV6 -j DROP
  13. ebtables -t filter -A OUTPUT -o $INTERFACE -p IPV6 -j DROP
  14. ebtables -t filter -A INPUT -i $INTERFACE -p IPV6 -j DROP

  15. #########################################################
  16. ebtables -t filter -A FORWARD -i $INTERFACE -p IPV4 --ip-protocol udp  --ip-destination $GATEWAY_IP --ip-destination-port 53 -j ACCEPT
  17. ebtables -t filter -A FORWARD -i $INTERFACE -p IPV4  --ip-destination $GATEWAY_IP -j DROP

  18. ebtables -t filter -A FORWARD -i $INTERFACE -d $GATEWAY_MAC  -j ACCEPT
  19. ebtables -t filter -A FORWARD -i $INTERFACE -p IPV4 --ip-destination $SUBNET -j DROP

  20. ebtables -t filter -A FORWARD -o $INTERFACE -s ! $GATEWAY_MAC -j DROP

  21. #########################################################
  22. ebtables -t filter -A OUTPUT -o $INTERFACE -p ARP -j DROP
  23. ebtables -t filter -A OUTPUT -o $INTERFACE -p IPV4 -j DROP

  24. #########################################################
  25. ebtables -t filter -A INPUT -i $INTERFACE -p IPV4 -j DROP
复制代码
刚开始设置完规则,ipv6的FORWARD规则没有生效,不知道是因为什么,后来重启多次后莫明其妙地好了,
如果有问题大家一起讨论

===================================================================
2018.08.01
添加带独立交换芯片更改switch设置使用五口都是LAN的方法(即ap模式五口都可用)
[attach]235944[/attach]
有的第一行和第二行可能反过来

******************************************************************************************
2018.01.11

如果双频信号都开启无线隔离,可以如下设置firewall[/hide]
===========================================================================================
2017.10.10
家里的无线网络连接的客户端比较多,经常有亲戚邻居的手机连接,而他们的手机上还经常会有“万能钥匙”这些软件。
被蹭网倒是其次,关键是连接wifi的手机经常使用支付宝、微信、网银等。为了安全给访客网络开启无线隔离,也就是连接访客网络的客户端间网络是不通的,访客网络和其它网络间也是不通的,只能访问外网。
而openwrt在作为ap时,官方没有可以无线隔离的方法,我用ebtables工具通过防火墙开启无线隔离。
接上次更新,防火墙custom rules支持shell,就设置了几个变量,方便修改,如下:
[/hide]

=============================================================
2017.09.02
1。LEDE无线路由器修改LAN ip为和网关同一网段,LAN用网线连接网关。禁用无线路由器LAN的DHCP服务器。
无线隔离方法是使用ebtables配置防火墙,过滤br-lan桥上的数据包。ebtables与iptables不同处是专门过滤网桥的数据包。
先安装ebtables-utils,kmod-ebtables-ipv4,在线安装就可以。
2。Network -> Wireless -> Add添加新的无线网络,无线网络配置不再详说,Mode选AP,Network选LAN,重点记住配置页面上的
Wireless Network: Master "xxxx" (wlan0-1)括号里的网卡名称,也可以用iwinfo查看。
不新建无线网络也可以用原来的。
3。找到网关(如192.168.1.1),网关MAC(如aa:bb:cc:dd:ee:ff)
Network -> Firewall -> Custom Rules,添加如下规则[/hide]4。保存,重启。

5。说明:
我的AP没启用IPV6,关闭IPV6方法是在/etc/sysctl.conf添加如下一行
  1. net.ipv6.conf.all.disable_ipv6=1
复制代码
这个隔离方法是从石像鬼的无线隔离启发得来的,试了今天一天才弄好,有什么可以改进的地方,坛友们提出来,大家共同进步




作者: schen39    时间: 2017-9-2 22:41
沙发。。。。。。。。。。。
作者: ft3980802    时间: 2017-9-2 23:56
这个必须顶起来,学习了
作者: shane    时间: 2017-9-3 08:12
无线隔离是什么意思
作者: housecall    时间: 2017-9-3 08:55
学习一下楼主的方法
作者: Ramida    时间: 2017-9-3 10:18
尝试一下。
作者: jiaoyu    时间: 2017-9-3 13:36
谢谢楼主的无私奉献!!!!!!

作者: waitopen    时间: 2017-9-4 21:17
这个很实用,感谢分享
作者: kingthen    时间: 2017-9-4 22:40
学习一下,
作者: n5413    时间: 2017-9-5 13:44
路过,学习下
作者: fengchen    时间: 2017-10-10 22:29
让更多人看到,人工置顶
作者: mjyhj    时间: 2017-10-10 22:38
哦。。。。。。。。。
作者: hcyme    时间: 2017-10-10 23:25
华硕网件的是有这个,没用过
作者: w1634w    时间: 2017-10-11 02:17
什么情况,好先进的方式

作者: olcolc    时间: 2017-10-11 13:01
ap isolaton
作者: pleasehelp    时间: 2017-10-11 14:28
收藏了。谢谢楼主分享
作者: hiwifi3320810    时间: 2017-10-11 19:41
楼主,你是一个大好人!!
作者: jazz55555    时间: 2017-10-11 21:14
谢谢分享  学习了
作者: herocspx    时间: 2017-10-11 21:56
回复一下,看看
作者: pop2009    时间: 2017-10-13 17:31
学习了 不晓得能不能做成LUCI界面
作者: fanuq    时间: 2017-10-13 18:54
kankan,bucuo a
作者: killerhehe    时间: 2017-10-13 19:00
谢谢分享!!!!!!!!!
作者: weilcen    时间: 2017-10-14 06:30
这个顶一下,支持楼主分享
作者: cdhua2010    时间: 2017-10-14 09:51
楼主辛苦了,谢谢楼主分享。
作者: wo77    时间: 2017-10-14 22:51
BSSID
作者: 落魄的坏孩子    时间: 2017-10-15 00:14
学习了  谢谢分享
作者: xujiahai    时间: 2017-10-15 06:42
学习一下学习一下学习一下
作者: a22124497    时间: 2017-10-15 10:47
绝世好文,不得不顶
作者: toughice    时间: 2017-10-15 13:10
这个必须支持一下楼主

作者: doutoudou    时间: 2017-10-15 16:14
学习一下   
作者: hello520i    时间: 2017-10-15 16:55

路过,学习下
作者: crazy5    时间: 2017-10-15 20:20
我想看看这是什么规则
作者: crazy5    时间: 2017-10-15 22:52
ebtables -t filter -A FORWARD -i wlan0-1 -p IPV4 --ip-protocol udp  --ip-destination 192.168.1.1 --ip-destination-port 53 -j ACCEPT
ebtables -t filter -A FORWARD -i wlan0-1 -p IPV4  --ip-destination 192.168.1.1 -j DROP

ebtables -t filter -A FORWARD -i wlan0-1 -d aa:bb:cc:dd:ee:ff  -j ACCEPT 这句向网关转发的所有协议数据都允许不是和上面两句矛盾了?
作者: fengchen    时间: 2017-10-15 23:06
本帖最后由 fengchen 于 2017-10-15 23:12 编辑
crazy5 发表于 2017-10-15 22:52
ebtables -t filter -A FORWARD -i wlan0-1 -p IPV4 --ip-protocol udp  --ip-destination 192.168.1.1 --i ...

防火墙过滤算法是从上往下逐条比对,直到有匹配的执行完规则就返回,剩下的规则忽略
所以有规则部分重复并不是矛盾,也不是多余

楼上再学习下路由过程吧,第二条是访问网关的,第三条包含访问网关和经网关转发的两种

作者: huang159090    时间: 2017-10-15 23:44
学习下啊  先谢谢了
作者: gzmdshgz    时间: 2017-10-16 00:01
感谢分享,。
作者: hmjack2008    时间: 2017-10-16 00:14
感谢分享,学习下~
作者: 金属教父    时间: 2017-10-16 07:09
这个很实用,感谢分享
作者: 2353187    时间: 2017-10-16 11:20
好像很有用的技术。。。。
作者: 我是菜菜    时间: 2017-10-16 12:38
这个必须顶起来,学习了
作者: horny1979    时间: 2017-10-16 19:38
学习下是啥好办法
作者: X2IN    时间: 2017-10-17 08:37
键是连接wifi的手机经常使用支付宝、微信、网银等
作者: ghost2011    时间: 2017-10-20 01:48
这个很实用,感谢分享
作者: a980883231    时间: 2017-10-20 01:50
不错,看一看
作者: lanshui402    时间: 2017-10-20 02:01
我来看看,学习学习

作者: xiaolong3188    时间: 2017-10-20 10:31
顶一下,感谢分享
作者: if_else    时间: 2017-10-20 13:21
如果您要查看本帖隐藏内容请回复
作者: Cye3s    时间: 2017-10-20 13:30
路过,看看内容
作者: ptkid    时间: 2017-10-20 13:34
进来看看学习学习
作者: shjohnnyyu    时间: 2017-10-20 13:46
谢谢楼主的无私奉献!!!!!!
作者: zhhwin2    时间: 2017-10-20 16:26
学习了!~!~
作者: amen13    时间: 2017-10-21 09:39
进来学习,真不错
作者: xuchuantao17    时间: 2017-10-21 14:38
感谢楼主分享
作者: ghost2011    时间: 2017-10-23 01:28
这个必须顶起来,学习了
作者: mjn    时间: 2017-10-23 09:55
学习一下,谢谢分享!!
作者: erdospj    时间: 2017-10-23 10:25
学习,学习,学习。
作者: ghost2011    时间: 2017-10-25 04:31
这个必须顶起来,学习了
作者: e6656    时间: 2017-10-25 07:52
谢谢分享,进来学习一下
作者: mhy123152    时间: 2017-10-28 17:29
试一下楼主的方法
作者: tmp8341    时间: 2017-10-29 02:20
谢谢分享!!!
作者: 马帅印    时间: 2017-10-29 08:57
800-160-001800-160-001
作者: 小正    时间: 2017-10-29 09:43
签到领奖!!!!!!!!!!!!!!!!!!!!!!!!!!
作者: C.w    时间: 2017-10-31 07:45
来看看
作者: HugoYuan    时间: 2017-10-31 09:05
支持楼主分享哦
作者: wackejohn    时间: 2017-10-31 09:12
收藏了。谢谢楼主分享
作者: Purek    时间: 2017-10-31 10:16
学习下










作者: Bruce_OP    时间: 2017-10-31 12:47
你好 我先看看                     
作者: xieytao    时间: 2017-11-1 21:45
知道了,看看。
作者: gemmanho    时间: 2017-11-1 23:04
谢谢分享,正好可以试试
作者: rups    时间: 2017-11-2 09:50
这个必须顶起来,学习了
作者: robinher    时间: 2017-11-2 14:33
自己之前尝试做二级路由开启访客网络,无线隔离,但上级主路由不知道哪个地方还需怎样设置,一直是连上二级路由的wifi无法访问外网,先看下楼主的试试 。
作者: yiyuechen    时间: 2017-11-2 15:14
这个要学习一下
作者: liangchaofu    时间: 2017-11-2 18:07
谢谢楼主分享,看看!!!
作者: —碎—    时间: 2017-11-2 18:39
支持一个字数补丁
作者: tty228    时间: 2017-11-2 18:51
看一下怎么设置的
作者: 龙守望    时间: 2017-11-4 17:05
看看。。。。。。。。。。。。。。。。。。
作者: 失、语    时间: 2017-11-5 09:38
看看。。。。。。
作者: lycwahpj    时间: 2017-11-5 23:21
非常好,学习受用,既然看到了,就支持一下
作者: allgone    时间: 2017-11-6 08:58
好东西,支持分享了

作者: cxl1994    时间: 2017-11-6 18:53
学习一下!感谢楼主分享
作者: sutuo    时间: 2017-11-6 20:23
ebtables 没用过
作者: corundum    时间: 2017-11-6 21:32
学习一下!感谢楼主分享
作者: 33415790    时间: 2017-11-9 13:53
看看!!!!!!!!!!!!!
作者: hello_limin    时间: 2017-11-9 14:12
必须顶
作者: julie    时间: 2017-11-10 09:15
谢谢分享!!
作者: KaricKKL    时间: 2017-11-10 10:17
这个必须顶起来,学习了

作者: scp_1982    时间: 2017-11-10 13:18
这都要隐藏啊……
作者: 繁华夢    时间: 2017-11-10 21:17
沙发。。。。。。。。。。。沙发。。。。。。。。。。。
作者: kingochan    时间: 2017-11-10 21:49
回复可见~~~~~~~
作者: 仰天望月    时间: 2017-11-10 23:32
666666666666666666666
作者: 454309099    时间: 2017-11-11 10:53
什么方式 . 字数
作者: gzazty    时间: 2017-11-11 17:36
看看隐藏的啥
作者: polly0599    时间: 2017-11-11 19:57
看看,我也在找同类的方法
作者: 大魔包    时间: 2017-11-11 23:45
谢谢楼主分享
作者: 5112075    时间: 2017-11-12 09:51
看一下是怎样发处理的
作者: killsky    时间: 2017-11-12 16:17
楼主,你是一个大好人!!
作者: YPDE    时间: 2017-11-13 13:44
AP没启用IPV6
作者: freedog    时间: 2017-11-13 16:08
看看回复。
作者: 路飞    时间: 2017-11-13 16:17
   k2可以有?
作者: ybyl    时间: 2017-11-13 18:55
看看怎么样的高招,学习一下了。




欢迎光临 恩山无线论坛 (https://www.right.com.cn/forum/) Powered by Discuz! X3.5