|
|
本帖最后由 yumeimm 于 2019-3-9 23:49 编辑
0. 前言
随着经济和社会发展,人民生活愈加富裕。走亲访友成为常态。为客人、亲戚、朋友提供internet接入服务成为一个好主人必须具备的品质。
然后,如果直接将家中的无线wifi密码共享出去,一个可能会带来安全隐患,另外客人等手机可能有wifi共享软件,木马、病毒等,造成家中wifi密码泄露。
如果既能提供给客人internet网络接入,同时又保证安全是一个比较紧迫的问题。
幸运的是,在OpenWrt系统中可以创建多个不同的wifi接入点(AP),从而实现访客网络的功能。
1) IP地址规划
创建访客网络之前,我们先进行网络IP地址的规划。通常内网IP地址段有如下:
10.0.0.0/8
100.64.0.0/10 (运营商使用的内网地址)
172.16.0.0/12
192.168.0.0/16
由于一般家庭用的内网IP地址通常集中于192.168.0.0/16网段,因此我们选择访客网络为172网段,具体选择的网段为: 172.17.1.1/24, 接入点名称为: home-guest
2) 大概的步骤
实现访客网络需要下述几个步骤:
创建访客网络wifi接入点AP --> 设置访客网络接口及DHCP --> 配置防火墙 --> 设置防火墙安全措施。
下面一步一步进行。
1. 创建访客网络AP接入点-接口及IP地址
从浏览器页面进入OpenWrt系统, 点击 “网络” --> “无线”, 添加访客网络(可以对2.4H/5G进行添加)。如下所示:
进入创建页面, 选择SSID为“home-guest”, 在所属网络处,下拉列表框选择创建, 创建网络“guest”, 其它的wifi设置(例如密码等)自行设置。
然后点“保存并应用”。 此时在 “网络”-->“接口”处,生成了名为“guest”的网络。我们在这里配置它的IP地址和DHCP功能。
点击 “网络”-->“接口”, 选择"GUEST", 选择“编辑”, 设置接口开机自动运行,强制链路。
在基本设置中,设置IP地址为静态,地址为172.17.1.1, 网络掩码为: 255.255.255.0.
并启用DHCP服务。
“物理设置”处,为访客网络"home-guest"的无线接口名称,这里为"wlan0-1" (不同的设备可能名称不同)
在“防火墙设置”处,选择网络“GUEST”所属防火墙区域为: "guest"
2. 防火墙设置
为了实现访客网络上网,还需要配置防火墙。点击“网络”-->“防火墙”配置, 创建guest区域,转发选择"wan",
入站“拒绝”,出站“接受”, 转发“拒绝”。 如果不能上网,请调整为“接受”。
3. 安全设置
安全设置我们需要配置如下几点:
1)允许访客网络访问路由器的53端口实现dns查询
2)允许访客网络访问路由器的67-68端口实现dhcp请求
3)禁止访客网络访问家庭局域网。
4)禁止访客网络访问路由器的端口: 22(SSH), 80(HTTP), 443(HTTPS), 其它的例如samba/ftp请自行设置。
点击“网络”-->“防火墙” , “通信规则”选项卡,
名称输入"AllowGuestDNS", 端口数字输入53, 点击添加, 添加完成后, 对此条规则点击“编辑”, 其中原区域选择“guest”, 目标区域选择“本设备”(即路由器),端口53,协议“TCP UDP”。
同样操作添加第2条规则。
第3条规则,选择原区域为“guest”,目标区域为“lan”,动作“丢弃”即可。第4条规则原区域“guest”,目标区域“本设备”, 端口“22 80 443”, 动作“丢弃”。
4. 结论
1)经过上述步骤, 访客网络应该就能使用,并且和本地家庭网络进行了隔离。
2)访客网络不能访问路由器的ssh,web管理页面。
3)如果路由器上安装了$$(不可描述)等, 需要在$$中将guest添加为local区域。
附访客网络的防火墙配置文件: /etc/config/firewall
- config zone
- option name 'guest'
- option network 'guest'
- option input 'REJECT'
- option forward 'REJECT'
- option output 'ACCEPT'
-
- # Allow Guest -> Internet
- config forwarding
- option src 'guest'
- option dest 'wan'
-
- # Allow DNS Guest -> Router
- # Client DNS queries originate from dynamic UDP ports (>1023)
- config rule
- option name 'Allow DNS Queries'
- option src 'guest'
- option dest_port '53'
- option proto 'tcp udp'
- option target 'ACCEPT'
-
- # Allow DHCP Guest -> Router
- # DHCP communication uses UDP ports 67-68
- config rule
- option name 'Allow DHCP request'
- option src 'guest'
- option src_port '67-68'
- option dest_port '67-68'
- option proto 'udp'
- option target 'ACCEPT'
-
- config rule
- option name 'Disable Guest to LAN'
- option proto 'all'
- option src 'guest'
- option dest 'lan'
- option target 'DROP'
- config rule
- option enabled '1'
- option proto 'tcp udp'
- option name 'DisableAccessGateway'
- option dest_port '22 80 443'
- option target 'REJECT'
- option src 'guest'
|
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
评分
-
查看全部评分
|
简体中文
繁體中文
English
日本語
Deutsch
한국 사람
بالعربية
TÜRKÇE
português
คนไทย
IP卡
狗仔卡
发表于 2019-2-28 09:36
置顶卡
沉默卡
喧嚣卡
顶贴卡
显身卡
