Задать вопрос

Точка доступа за nat Запрет досупа в локальную сеть из wifi как?

Доброго времени суток
Есть локальная сеть с тупыми свичами.
Есть задача настроить wifi c доступом в интернет но без доступа в локальную сеть (в которую точка подключается WAN портом.
В наличии есть TPLink WA701. т.к. подобное организовать средствами стандартной прошивки невозможно она біла перешита на OpenWRT.
Настройки вроде сделаны правильно но правило не отрабатывает. по wifi с точки доступа можно попасть в локальную сеть.
Настройки:
root@OpenWrt:~# cat /etc/config/network

config interface 'loopback'
        option ifname 'lo'
        option proto 'static'
        option ipaddr '127.0.0.1'
        option netmask '255.0.0.0'



config interface 'WLAN'
         option ifname 'wlan0'
        option proto 'static'
        option ipaddr '192.168.88.1'
        option netmask '255.255.255.0'
        option dns '208.67.222.222'

config interface 'WAN'
         option ifname 'eth0'
        option proto 'dhcp'


root@OpenWrt:~# cat /etc/config/firewall

config defaults
        option syn_flood '1'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'REJECT'

config zone
        option name 'lan'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option network 'WLAN'
        option forward 'REJECT'

config zone
        option name 'wan'
        option output 'ACCEPT'
        option forward 'REJECT'
        option masq '1'
        option mtu_fix '1'
        option network 'WAN'
        option input 'ACCEPT'

config forwarding
        option src 'lan'
        option dest 'wan'

config rule
        option name 'Allow-DHCP-Renew'
        option src 'wan'
        option proto 'udp'
        option dest_port '68'
        option target 'ACCEPT'
        option family 'ipv4'

config rule
        option name 'Allow-Ping'
        option src 'wan'
        option proto 'icmp'
        option icmp_type 'echo-request'
        option family 'ipv4'
        option target 'ACCEPT'

config include
        option path '/etc/firewall.user'

config rule
        option src 'lan'
        option name 'BLOCK LAN'
        option dest_ip '10.38.14.0/24'
        option target 'DROP'
        option dest '*'

Вроде бы все сделал правильно а адреса 10.38.14.0/24 из wifi все равно доступны.
Может кто то сможет показать в чем моя ошибка
  • Вопрос задан
  • 1325 просмотров
Подписаться 1 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 2
@DastiX
VLAN+Routes+Firewall
Ответ написан
@eserDEN Автор вопроса
Почитав про opernWRT узнал что можно использовать iptables.
Снес все содержимое /etc/config/firewall кроме строк
config include
        option path '/etc/firewall.user'

в /etc/firewall.user записал
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -i wlan0 -d 10.38.14.0/24 -j DROP

И все заработало как нужно, но почему не получилось с конфигурацией firewal с зонами вопрос так и остался открытым
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы