Bagaimana cara mengisolasi klien WLAN di OpenWRT?

3

Saat ini saya sedang menyiapkan jaringan nirkabel publik. Saya ingin mencegah klien dari berbicara satu sama lain.

Inilah pengaturan saya saat ini.

Secara grafis dengan LuCi

/etc/config/firewall without anything related to lan:

config 'zone'
    option 'name' 'wan'
    option 'input' 'REJECT'
    option 'output' 'ACCEPT'
    option 'forward' 'REJECT'
    option 'masq' '1'
    option 'mtu_fix' '1'
    option 'network' 'wan'

config 'rule'
    option 'src' 'wan'
    option 'proto' 'udp'
    option 'dest_port' '68'
    option 'target' 'ACCEPT'
    option 'family' 'ipv4'

config 'rule'
    option 'src' 'wan'
    option 'proto' 'icmp'
    option 'icmp_type' 'echo-request'
    option 'target' 'ACCEPT'

config 'zone'
    option 'name' 'public'
    option 'network' 'public'
    option 'output' 'ACCEPT'
    option 'input' 'REJECT'
    option 'forward' 'DROP'

config 'forwarding'
    option 'dest' 'wan'
    option 'src' 'public'

config 'rule'
    option 'target' 'ACCEPT'
    option 'src' 'public'
    option 'proto' 'tcpudp'
    option 'dest_port' '53'
    option '_name' 'public dns'

config 'rule'
    option 'target' 'ACCEPT'
    option '_name' 'public dhcp'
    option 'src' 'public'
    option 'proto' 'udp'
    option 'src_port' '67-68'
    option 'dest_port' '67-68'

Entah bagaimana klien masih dapat berkomunikasi satu sama lain. Mengapa begitu dan apa yang bisa saya lakukan untuk melawannya?

Georg Schölly
sumber

Jawaban:

5

Luci tidak menawarkan semua pengaturan sepanjang waktu. Jika tersedia isolateakan tersedia sebagai Additional fieldantarmuka nirkabel. Tambahkan bidang dan centang kotak. Namun, ketika saya membaca skrip, defaultnya adalah mengaktifkan isolasi.

Jika tidak, Anda perlu mengedit /etc/config/wirelessdan menambahkan option isolate 1ke wifi-ifacebagian. Direktori /lib/wirelesssebagai skrip startup nirkabel tempat Anda dapat menemukan opsi yang didukung.

Firewall mungkin menjadi masalah karena Anda mungkin mengizinkan perutean di antara semua IP pada sakelar. Anda harus mengubah aturan ini untuk membatasi alamat yang dapat diakses. Izinkan koneksi ke router itu sendiri, tetapi Anda mungkin tidak ingin mengaktifkan akses ke alamat lain.

BillThor
sumber
1

AFAIK, OpenWRT mendukung isolasi AP secara asli. Pengaturan NVRAM wl0_ap_isolatedan wl_ap_isolatedapat diaktifkan dengan mengaturnya untuk 1. Namun, pencarian Google cepat tidak menunjukkan bahwa banyak orang mengalami hasil yang tidak konsisten tergantung pada revisi firmware. Saya tidak dapat menjelaskannya karena saya belum pernah mencobanya sendiri.

Sejauh mengapa klien Anda dapat berkomunikasi satu sama lain, lalu lintas antar-LAN mungkin tidak mengenai firewall.

Bit Bacon
sumber
Lalu lintas antar LAN? Apakah itu fitur standar WLAN? Itu akan menjelaskan penurunan paket 20%.
Georg Schölly
Sepertinya OpenWRT mengabaikan pengaturan nvram yang mendukung / etc / config / lama.
Georg Schölly
Maaf, itu seharusnya intra-LAN. Tetapi jika Anda beberapa paket terjatuh dan bukan yang lain dengan konfigurasi ini, saya tidak tahu. Sepertinya pengetahuan OpenWRT saya terlalu ketinggalan zaman.
Bacon Bits