saber酱的抱枕

生于忧患,死于安乐

04/14
12:17
其他

OpenWrt+IPv6 NAT下的安全隔离的访客WIFI

咦翻页功能好使了嘛。
什么翻页功能只在预览里好使?你看看什么鬼
翻页功能限定在英文固定链接里用,我改了下就好了233

虽然按照我自己的规划,openwet路由器后面应该跟一个一般的AP,我看办公室这个asus路由器在AP模式下还能够开访客网络……
嘛总有个万一吧。

之所以要安全隔离……除了防像万能wifi钥匙这种玩意之外
万一连进来一个人在捣乱,万一猜中了你的路由管理密码,万一连进了你家存放不可描述的机器#滑稽

总之原则就是,按照在wan侧的防火墙标准来防这个guest侧:
数据包可以通过wan进入internet侧,但要是直接访问wan(路由器)或者另一个你自己的内部局域网,则一律拒绝。

问题就在于事情没有这么简单,假如你真的把所有的和wan的直接交流屏蔽了,那么这个guest侧既没有办法获得路由器分配的ip,也不能通过路由器做dns解析。虽然说你手动设置能用,但那也太麻烦了吧。违背了guest的初衷。
所以要把那几个关键的东西进白名单。
(其实这教程在网上都有,但问题在于,绝大部分都只针对ipv4进行了设置。ipv6没做。这还怎么装B#滑稽)

不过前提是你的硬件得支持多SSID。如果一次只能出1个的话那就凉了。


白名单要点:

DNS:tcp+udp(因为你可以做tcp dns)的53端口
DHCP:ipv4 udp的67端口
DHCPv6:ipv6 udp的547端口
以及ICMPv6。(ICMPv6是单独的协议,不是tcp或udp。它在v6中除了ping什么的外,还承担了邻居发现之类的职责,对无状态的ipv6分配(比如安卓)等很重要)

翻页啦!

OpenWrt+IPv6 NAT下的安全隔离的访客WIFI