设置访客网络,保护内网安全。
家中有人来做客的时候,都会问一下家里的无线密码。但如果在局域网上部署了个人文件(NAS或是其他开了samba的设备)的话,如果直接提供无线密码的话,难免会造成文件泄漏或清楚,除此之外,一旦亲戚的设备上有病毒或安装了后台上传密码的无良国产APP(诸如无线万能钥匙一类),又有可能造成安全隐患。因此我们希望建立一个可以跟LAN隔离的访客网络并配置独立的SSID(WIFI名称)。本文以OpenWRT为例介绍建立访客网络的基本步骤。
习惯使用Luci界面管理的同学可以参考这篇教程:openwrt 无线设置客人网络,能外网,不能内网
写在前面:以下代码适用于CC版本,如果您使用的是BB以及之前的OpenWRT版本,请您根据配置文件中已有的字段修改部分代码中的引号。
1.建立新的网络接口
首先建立新的网络接口,与LAN隔离。
编辑 /etc/config/network 文件并添加一个名为guest的网络接口,其中192.168.4.1可以设置为一个跟LAN网段不同的任意值。
config 'interface' 'guest'
option 'proto' 'static'
option 'ipaddr' '192.168.4.1'
option 'netmask' '255.255.255.0'
2.建立新的SSID
编辑 /etc/config/wireless 文件并添加一个新的名为Guest-WiFi 的无线网络,其中device一项的值需要根据您的路由器型号来选择(或者可以根据wireless文件中已有的配置来判断)。这里我们选择不加密,您也可以根据加密方式来改变encryption的值。添加isolate一项可以实现客户端之间两两隔离。
config 'wifi-iface'
option 'device' 'radio0'
option 'mode' 'ap'
option 'network' 'guest'
option 'ssid' 'Guest-WiFi'
option 'encryption' 'none'
option 'isolate' '1'
3.建立新的DHCP地址池
编辑 /etc/config/dhcp 文件并添加如下字段。为guest接口设置新的地址池。
config 'dhcp' 'guest'
option 'interface' 'guest'
option 'start' '50'
option 'limit' '200'
option 'leasetime' '1h'
4.配置防火墙
最后一步工作就是配置防火墙了,也是实现隔离功能最关键的一步。访客网络防火墙的配置有许多种,下面的配置只满足访问英特网最基本的几项(开放90端口、允许DNS查询和DHCP分配),在OpenWRT的wiki页面有其他配置方式可供参考。
编辑 /etc/config/firewall 并添加如下字段:
config zone
option name 'guest'
option network 'guest'
option forward 'REJECT'
option output 'ACCEPT'
option input 'REJECT'
config forwarding
option src 'guest'
option dest 'wan'
config rule
option name 'Allow DNS Queries'
option src 'guest'
option dest_port '53'
option proto 'tcpudp'
option target 'ACCEPT'
config rule
option name 'Allow DHCP request'
option src 'guest'
option src_port '67-68'
option dest_port '67-68'
option proto 'udp'
option target 'ACCEPT'
config rule
option enabled '1'
option name 'Hide My LAN'
option proto 'all'
option src 'guest'
option dest_ip '192.168.0.1/24'
option target 'REJECT'
5.生效
通过下面命令重启network使之生效。
/etc/init.d/network restart
6.其他
除了上述方法简单配置之外,还可以通过设置Qos的方式限制访客网络的速度。爱折腾的少年还可以单独为访客网络添加一个欢迎界面什么的……
参考:
OpenWRT官方wiki:Configure a guest WLAN