openwrt如何限制某一设备访问外网？

justincnn

国产路由器有很简单的设置的地方？
op如何设置？限制wifi设备某台设备可以连接局域网，但是不能访问外网。

gaze

iptables里加一条规则，
丢弃指定mac或者指定内网ip的数据包即可…

justincnn

gaze 发表于 2021-6-8 21:05
iptables里加一条规则，
丢弃指定mac或者指定内网ip的数据包即可…

iptables -A INPUT -p tcp -m mac --mac-source 44:94:FC:25:68:8D --dport 80 -j DROP

按网上的办法，加了这个规则之后，还是不行啊

LGA1150

改 DHCP 设置，给某客户端分配一个无效网关

kd142718

试试Iptables -t Mangle -I FORWARD -m mac –mac-source 44:94:FC:25:68:8D -j DROP
我也没测试iptables我也写的有点乱。
iptables -A INPUT -p tcp -m mac --mac-source 44:94:FC:25:68:8D --dport 80 -j DROP
默认的filter表不负责转发数据。尤其添加到末尾优先级不够 不用过滤协议和端口。

wulishui

kd142718 发表于 2021-6-9 10:52
试试Iptables -t Mangle -I FORWARD -m mac –mac-source 44:94:FC:25:68:8D -j DROP
我也没测试iptables ...

问题是放在INPUT它局域网也访问不了。还偏偏filter的FORWARD就负责转发了，所以就放在FORWARD还靠谱一点，外网拒绝转发，内网还可以访问，但如果nat表存在流量挟持，就完全失效。
正确的做法是在zone做lan->wan的规则。

kd142718

wulishui 发表于 2021-6-9 11:06
问题是放在INPUT它局域网也访问不了。还偏偏filter的FORWARD就负责转发了，所以就放在FORWARD还靠谱一点 ...

恩我也是那么想的。添加到PREROUTING链dhcp又不生效了。不知道nat表能不能过滤mac直接写在nat里最好。要是局域网有多lan限制转发也限制了局域网。内部防火墙没试过就不清楚了。

ftft

限制客户端访问外网的生效命令：
iptables -I FORWARD -m mac --mac-source 设备mac地址 -j DROP
解除禁止的命令：
iptables -D FORWARD -m mac --mac-source 设备mac地址 -j DROP

gaze

不是-A 追加
应该-I 插入

否则在原来的最后一句通常是放行所有，你再-A追加的一条规则就不起作用了…

然后，局域网内是二层通讯，
和路由器的iptables无关（数据不必须经过路由器）

zeroxia

13062678135 发表于 2021-6-9 13:41
限制客户端访问外网的生效命令：
iptables -I FORWARD -m mac --mac-source 设备mac地址 -j DROP
解除禁 ...

感谢。有效果。