V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
agate
V2EX  ›  路由器

DD-WRT 如何配置才能实现这样的功能

  •  
  •   agate · 2016-01-29 01:03:14 +08:00 · 5237 次点击
    这是一个创建于 3223 天前的主题,其中的信息可能已经有所发展或是发生改变。

    我有一个路由器打算只给访客使用. 所以我希望设备接入的时候能够上网. 但是不能访问到路由器后端的局域网.

    我的网络情况是:
    前面有一个光猫. 光猫的一个 lan 口连了我的一个主路由器. 然后我这个访客的路由器连在了那个主路由器上.
    主路由器的网段比如为 192.168.1.0/24
    访客路由器的网段为 192.168.10.0/24

    我现在希望做到访客不能访问到主路由器上其他的服务.
    比如我如果是访客. 我是不能反问到 192.168.1.11 上的一个 HTTP 服务器的.

    我不知道该如何操作. 或者可行么? 望大家指点.

    14 条回复    2016-01-29 16:06:00 +08:00
    rio
        1
    rio  
       2016-01-29 01:45:59 +08:00
    如果光猫自己拨号并且有两个 LAN 口,两个路由器分别插光猫的 LAN 口即可。缺点是两个路由器都有两层 NAT 。

    如果光猫不播号,最简单的方法是访客路由接光猫 LAN 口,主路由接访客路由 LAN 口。缺点是房客路由有两层 NAT ,主路由有三层 NAT 。

    当然最理想的方案是再买个支持访客网络的新路由(或者看你现有的两个设备能不能刷 OpenWRT / DD-WRT 然后支持访客网络),然后光猫不播号,这样只有一层 NAT 。
    cxbig
        2
    cxbig  
       2016-01-29 07:25:03 +08:00
    随便换个 200 块左右的路由就支持访客网络了。
    agate
        3
    agate  
    OP
       2016-01-29 07:43:23 +08:00 via Android
    先谢谢楼上两位回复

    @cxbig
    访客网络不能支持我的那个需求 访客还是能够访问到我主路由上的设备

    @rio
    我的
    agate
        4
    agate  
    OP
       2016-01-29 07:48:03 +08:00
    晕倒... 不小心点了发送按钮

    @rio
    我的的主路由器其实自己配置的一个 server. 里头有一些网络规则. 不方便直接插入光猫.

    我的访客路由器已经是 DD WRT 了. 我也试过设置勾选 AP 隔离. 但是访客还是能够访问主路由上的设备.
    agate
        5
    agate  
    OP
       2016-01-29 07:53:25 +08:00
    经过一些尝试. 我发现. 访客网络隔离的是房客 wifi 和主人 wifi 上设备之间的通信. 但是无法隔离上层网络中的访问. 也就是说房客是可以访问到任何主路由器中的设备的. 那是不是意味着我应该在我的主路由器中设置一些 iptables 的规则呢?

    比如我那个访客路由器的 ip 地址是 192.168.1.100
    那么我能不能设置说 192.168.1.100 只能和 网关 192.168.1.1 的机器通讯不让他和其他设备通讯呢?
    如果可以, 该如何写呢? 谢谢
    squid157
        6
    squid157  
       2016-01-29 08:09:20 +08:00 via iPhone
    @agate 设置 iptables 吧
    cxbig
        7
    cxbig  
       2016-01-29 08:22:52 +08:00 via iPhone
    @agate 怎么可能,最近才配过一个 tp-link ,访客就是在你说的另一个网段上。互相之间无法访问,只能使用部分 wan 口带宽。
    jackysc
        8
    jackysc  
       2016-01-29 09:10:47 +08:00
    不知道 ddwrt 支不支持 vlan ,支持 vlan 就行。。。
    agate
        9
    agate  
    OP
       2016-01-29 09:15:28 +08:00 via Android
    哦? 支持的。我去研究一下。
    agate
        10
    agate  
    OP
       2016-01-29 09:57:14 +08:00
    @cxbig
    我理解你说的两个网段. 你那两个是平行的吧. 也就是说你两个 wifi 是在同一个路由器上的吧... 所以两个 NAT 互相不知道对方的内网. 但是我的情况是不想让路由器上链接的设备访问到他上一层网络内的其他设备. (不包括网关). 所以我估计我们说的不是同一件事情...

    @jackysc
    vlan 似乎也是需要配置在我的主路由器上的吧...
    jackysc
        11
    jackysc  
       2016-01-29 09:58:06 +08:00
    @agate 对的
    jasontse
        12
    jasontse  
       2016-01-29 10:11:37 +08:00 via iPad
    iptables -I FORWARD -s 192.168.10.0/24 -d 192.168.1.0/24 -j DROP
    agate
        13
    agate  
    OP
       2016-01-29 15:23:54 +08:00
    @jasontse

    我试了: (P.S. 我的访客路由器在主路由器上的 IP 是 192.168.1.11)

    iptables -I FORWARD -s 192.168.10.0/24 -d 192.168.1.0/24 -j DROP
    iptables -I INPUT -s 192.168.10.0/24 -d 192.168.1.0/24 -j DROP
    iptables -I OUTPUT -s 192.168.10.0/24 -d 192.168.1.0/24 -j DROP

    iptables -I FORWARD -s 192.168.1.11 -d 192.168.1.0/24 -j DROP
    iptables -I INPUT -s 192.168.1.11 -d 192.168.1.0/24 -j DROP
    iptables -I OUTPUT -s 192.168.1.11 -d 192.168.1.0/24 -j DROP

    发现在访客路由器上的设备依旧可以访问 192.168.1.0/24 网段内的服务... (比如. http://192.168.1.10:8080)

    请赐教
    agate
        14
    agate  
    OP
       2016-01-29 16:06:00 +08:00
    忘记补充了... 我主路由器和访客路由器之间是通过交换机连接的... 希望这个不会有什么问题...
    我想是不是其实访客路由器根本不需要请求主路由器啊... 交换机就直接转发了...
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   939 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 20ms · UTC 19:37 · PVG 03:37 · LAX 11:37 · JFK 14:37
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.