OpenWRT设置访客网络

设置访客网络,保护内网安全。

家中有人来做客的时候,都会问一下家里的无线密码。但如果在局域网上部署了个人文件(NAS或是其他开了samba的设备)的话,如果直接提供无线密码的话,难免会造成文件泄漏或清楚,除此之外,一旦亲戚的设备上有病毒或安装了后台上传密码的无良国产APP(诸如无线万能钥匙一类),又有可能造成安全隐患。因此我们希望建立一个可以跟LAN隔离的访客网络并配置独立的SSID(WIFI名称)。本文以OpenWRT为例介绍建立访客网络的基本步骤。

习惯使用Luci界面管理的同学可以参考这篇教程:openwrt 无线设置客人网络,能外网,不能内网
写在前面:以下代码适用于CC版本,如果您使用的是BB以及之前的OpenWRT版本,请您根据配置文件中已有的字段修改部分代码中的引号。


1.建立新的网络接口

首先建立新的网络接口,与LAN隔离。

编辑 /etc/config/network 文件并添加一个名为guest的网络接口,其中192.168.4.1可以设置为一个跟LAN网段不同的任意值。

2.建立新的SSID

编辑 /etc/config/wireless 文件并添加一个新的名为Guest-WiFi 的无线网络,其中device一项的值需要根据您的路由器型号来选择(或者可以根据wireless文件中已有的配置来判断)。这里我们选择不加密,您也可以根据加密方式来改变encryption的值。添加isolate一项可以实现客户端之间两两隔离。

3.建立新的DHCP地址池

编辑 /etc/config/dhcp 文件并添加如下字段。为guest接口设置新的地址池。

4.配置防火墙

最后一步工作就是配置防火墙了,也是实现隔离功能最关键的一步。访客网络防火墙的配置有许多种,下面的配置只满足访问英特网最基本的几项(开放90端口、允许DNS查询和DHCP分配),在OpenWRT的wiki页面有其他配置方式可供参考。
编辑 /etc/config/firewall 并添加如下字段:

5.生效

通过下面命令重启network使之生效。

6.其他

除了上述方法简单配置之外,还可以通过设置Qos的方式限制访客网络的速度。爱折腾的少年还可以单独为访客网络添加一个欢迎界面什么的……

参考:
OpenWRT官方wiki:Configure a guest WLAN


授权协议:创作共用 署名-非商业性使用 2.5 中国大陆
除注明外,本站文章均为原创;转载时请保留上述链接。

1
说点什么

avatar
1 Comment threads
0 Thread replies
0 Followers
 
Most reacted comment
Hottest comment thread
0 Comment authors
OpenWRT设置访客网络 | 明月永在博客 Recent comment authors
  Subscribe  
最新 最旧 得票最多
提醒
trackback

[…] 本文目录 [收起] […]