By | 2020-04-25

如果开放访客网络,有可能造成内网安全隐患;为了保障内网安全,所以需要建立一个隔离访客网络并配置SSID;

  • 新建网络接口
root@localhost:~# vi /etc/config/network

config interface 'guest'
        option proto 'static'
        option ipaddr '192.168.1.1'
        option netmask '255.255.255.0'
  • 新建无线网络(SSID)
root@localhost:~# vi /etc/config/wireless

config wifi-iface 'wifi_guest'
        option device 'radio0'
        option mode 'ap'
        option network 'guest'
        option ssid 'Wifi-Guest'
        option encryption 'none'
        option isolate '1'
  • 新建DHCP地址池
root@localhost:~# vi /etc/config/dhcp

config dhcp 'guest'
        option interface 'guest'
        option start '100'
        option limit '150'
        option leasetime '1h'
  • 配置防火墙规则

防火墙配置是实现访客隔离关键,防火墙配置灵活,下面是访客网络常用配置规则,该配置允许访客网络访问Internet,同时允许访问DHCP和DNS服务器且实现了双向隔离的功能;

root@localhost:~# vi /etc/config/firewall

# ---允许访客网络流出数据---
config zone
        option name 'guest'
        option network 'guest'
        option input 'REJECT'
        option output 'ACCEPT'
        option forward 'REJECT'

# ---允许Guest转发Wan---
config forwarding
        option src 'guest'
        option dest 'wan'

# ---允许访问DHCP服务器---
config rule
        option name 'Allow DHCP Request'
        option proto 'udp'
        option src 'guest'
        option dest_port '67'
        option target 'ACCEPT'

# ---允许访问DNS服务器---
config rule
        option name 'Allow DNS Queries'
        option proto 'udp'
        option src 'guest'
        option dest_port '53'
        option target 'ACCEPT'

发表评论