У меня на моем маршрутизаторе Linksys e2500v3 мелькнуло DD-WWRT.
Я добавил виртуальный интерфейс для создания гостевой сети Wi-Fi, которая будет иметь доступ к Интернету, но не к частной сети или маршрутизатору.
На этом этапе гостевая сеть может получить доступ к Интернету, но когда я пытаюсь выполнить RDP с ПК в моей частной сети (вне маршрутизатора ddwrt) на другой ПК в частной сети (который получает свой IP от маршрутизатора ddwrt), он не ' т работа.
Я сузил это до этой команды:
iptables -t nat -I POSTROUTING -o br0 -j SNAT --to `nvram get lan_ipaddr`
Когда эта команда закомментирована или удалена, предположим, что в сети больше нет доступа к Интернету, но я могу подключиться к ПК, подключенному к частной сети маршрутизатора ddwrt, с другого компьютера в моей частной сети (независимо от подсети).
Когда команда активна, гостевая сеть имеет Интернет, но не может RDP.
Настройка на маршрутизаторе DDWRT:
WAN: disabled
LAN IP: 192.9.202.250 (was an available IP on my network)
DHCP range: 192.9.202.160-192.9.202.165
Private WIFI: wl0
Guest WIFI: wl0.1
Created bridge: br1 (IP 192.168.5.100)
Assigned bridge: br1 assigned to wl0.1
DNSMasq:
#Enables DHCP on br1
interface=br1
#Set the default gateway for br1 clients
dhcp-option=br1,3,192.168.10.100
#Set the DHCP range and default lease time of 24 hours for br1 clients
dhcp-range=br1,192.168.10.101,192.168.10.105,255.255.255.0,24h
Firewall commands:
#Allow guest bridge access to Internet
iptables -I FORWARD -i br1 -m state --state NEW -j ACCEPT
iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
#Block access between private and guest
iptables -I FORWARD -i br0 -o br1 -m state --state NEW -j DROP
iptables -I FORWARD -i br1 -d `nvram get lan_ipaddr`/`nvram get lan_netmask` -m state --state NEW -j DROP
#NAT to make Internet work
iptables -t nat -I POSTROUTING -o br0 -j SNAT --to `nvram get lan_ipaddr`
#Block guest access to router services
iptables -I INPUT -i br1 -p tcp --dport telnet -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --dport ssh -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --dport www -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --dport https -j REJECT --reject-with tcp-reset
Целевой ПК - 192.9.202.165
Исходный ПК - 192.9.202.140 (этот IP-адрес предоставляется главным маршрутизатором, а не маршрутизатором ddwrt)