当前位置:首页-Linux技术教程-正文

[教程] OPENWRT路由器设置访客网络和配置防火墙进行网络隔离

访客网络主要供家庭外成员例如亲戚和朋友到家做客时使用,尤其是有些亲戚朋友喜欢安装WiFi密码共享类软件,一旦家庭网络密码泄露则可能造成隐私泄露,所以设置访客网络并配置防火墙进行隔离是个不错的选择。

OPENWRT路由器具备强大的功能,虽然没有直接附带访客网络功能,但用户可以根据自己的需要新建访客网络并配置防火墙,最重要的是对内网进行隔离,这样连接访客网络的设备不能访问家庭主要网络,因此即便密码被泄露也不会造成太大影响。而且还可以设置访客网络定时开启功能,在不需要的时候将其关闭,避免因为密码泄露后被蹭网而占用网络带宽。

另外对于某些用户来说也可以将物联网设备连接访客网络,即将物联网设备与家庭主网络进行隔离,避免因为物联网设备出现安全漏洞影响家庭网络的安全,这对于使用家庭网络共享例如SMB等用户来说至关重要。(注:物联网设备隔离后更安全,但如果手机想要连接的话,手机也得连接访客网络并且需要将对应端口打开,建议有经验的用户配置)

LEDE/OPENWRT远程访问系列教程(番外篇):提高路由器的安全性

网段地址的规划:

要建立访客网络首先我们需要对网段进行规划,让不同的网络分别处在不同的网段上方便我们后续管理,原则上对于访客网络我们可以使用不同的子网段,并不是必须使用不同的网段。

例如蓝点网的路由器采用桥接模式连接光猫,路由器网段为192.168.1.x,我们给访客网络划定的网段是192.168.4.x,为什么不是192.168.2.x和3.x呢?因为这两个子网段我们已经有其他用途所以访客网络就继续往后面排。

待访客网络配置完成后连接的设备获取的IP地址都是192.168.4.x,而家庭网络的其他设备地址是192.168.1.x。

配置访客网络接口:

转到OPENWRT路由器网络无线界面,我们创建一个2.4GHz的访客网络(亦可选择5GHz或者分别创建两个频段的访客网络),点击无线概况下2.4GHz频段后面的添加按钮,在设备配置基本设置里不需要修改默认即可。

接口配置中:模式我们选择接入点AP,ESSID即名称例如OPENWRT_Guest来代表访客网络,网络里选择创建,自定义名称为Guest,在无线安全里设置加密方式如WPA2-PSK,算法自动然后设置密码,此密码即访客网络的连接密码,在接口配置高级设置里将隔离客户端勾选,然后点击保存和应用即可创建访客网络。

点击网络接口界面,在接口总览里找到我们刚刚创建的Guest,点击后面的修改按钮。在基本设置中将IPv4地址设置为我们此前规划的网段,例如192.168.4.x那就输入192.168.4.1,子网掩码设置为255.255.255.0。在一般配置高级设置中勾选开机自动运行、勾选使用内置IPv6管理、勾选强制链路

在底部的DHCP服务器基本设置中,我们设置启动和客户端数,启动地址即从哪里开始分配,如果输入100,则最新分配的地址就是192.168.4.100,客户端数即连接数,如果亲戚朋友较多的话,可以设置个大点的客户端数。

最后检查一般配置的物理设置,确认桥接接口已被自动勾选,确保接口里已经勾选无线网络对应的名称例如OPENWRT_Guest(具体名称不同固件可能有所不同),检查完成后点击保存按钮,此时我们的访客网络已经可以成功连接并分配IP地址。

设置防火墙隔离:

在前面我们设置的客户端隔离并不能阻止访客网络与内网设备通信,所以我们还需要手动创建防火墙规则彻底阻断访客网络连接主网络。

转到OPENWRT-网络-防火墙,在基本设置的底部创建新区域并命名为Guest以示区分,入站数据选择拒绝、出站数据选择接受、转发选择拒绝,覆盖网络选择Guest,底部端口转发被勾选的应该是允许转发到目标区域wan,然后点击保存和应用。

点击顶部的通信规则,底部的新建转发规则,规则名称设置为AllowGuestDNS即允许访客网络获取DNS查询对应53端口,创建后点击AllowGuestDNS后面的修改,将源区域选择Guest访客网络,将目标区域设置默认的设备输入目标地址所有目标端口53动作接受,然后保存应用。此规则实际上就是为访客网络放行53端口。

放回概况后创建第二条转发规则,名称为AllowGuestDHCPRequest,代表允许访客网络通过67/68端口实现DHCP请求,创建后点击修改按钮,将源区域设置为Guest访客网络,将源端口设置67-68,将目标区域设置默认的设备输入,将目标端口设置67-68,将动作设置接受然后保存和应用,返回概况。

创建第三条转发规则,名称为DisableLocalLan用来阻止访客网络通过其他端口访问主网络,同样的还是创建后点击修改按钮,源区域设置为Guest源端口设置为所有目标区域设置lan目标地址设置为所有目标端口设置为1-65535动作拒绝,这条规则是阻止1-65535即全部端口通信,当然前面有53/67/68端口放行了优先级更高因此不会影响。修改完成后保存和应用。

PS:第三条规则中的端口也可以根据自己需要设置,但如果你不需要访客网络访问主网络那直接1-65535是最简单的做法。

注意:请始终将1-65535这类屏蔽规则放到最后,路由器执行时按从上到下进行优先级排序。放到最后的好处是,前面有其他接受规则不会被后面规则屏蔽掉。

至此防火墙规则创建完毕,对新手用户来说如果想要测试也很简单,手机连接访客网络后浏览器输入路由器管理地址例如192.168.1.1,如果显示拒绝连接说明防火墙配置无误,对了也要测试下其他网站能否访问,如果能访问但本地地址无法访问说明规则配置正确。

本文参考了恩山无线论坛@yumeimm的教程,感谢原作者。

(全文完)

感谢您的阅读,本文为蓝点网原创内容,转载时请标注来源于蓝点网和本文链接

相关文章

换一批