hostapd を使用した Ubuntu でのクライアント分離

Question 1

入力と出力に iptables ルールを作成し、送信元アドレス範囲がルーター/デフォルトゲートウェイと通信できるようにします。また、そのサブネット上のサーバーやその他のリソースに対する追加ルールも作成します。

送信元アドレス範囲と送信元アドレス範囲の間のパケットをドロップする最終ルールを作成します。

iptables -A INPUT -i $WIFI -o $WIFI -s 192.168.1.0/24 -d 192.168.1.1 -j ACCEPT
iptables -A INPUT -i $WIFI -o $WIFI -s 192.168.1.0/24 -d $SOMESERVERIP -j ACCEPT
iptables -A INPUT -i $WIFI -o $WIFI -s 192.168.1.0/24 -d $SOMEOTHERSERVERIP -j ACCEPT
iptables -A INPUT -i $WIFI -o $WIFI -s 192.168.1.0/24 -d 192.168.1.0/24 -j DROP

この一連のイベントの基本は次のとおりです。

サブネット内にあり、ゲートウェイと通信している場合は受け入れます
サブネット内にあり、サーバーと通信している場合は受け入れます
ルール2は、許容可能なサーバーがなくなるまで繰り返されます。
サブネット内にあり、サブネット内の他のものと通信している場合は、それをドロップします

Answer

入力と出力に iptables ルールを作成し、送信元アドレス範囲がルーター/デフォルトゲートウェイと通信できるようにします。また、そのサブネット上のサーバーやその他のリソースに対する追加ルールも作成します。

送信元アドレス範囲と送信元アドレス範囲の間のパケットをドロップする最終ルールを作成します。

iptables -A INPUT -i $WIFI -o $WIFI -s 192.168.1.0/24 -d 192.168.1.1 -j ACCEPT
iptables -A INPUT -i $WIFI -o $WIFI -s 192.168.1.0/24 -d $SOMESERVERIP -j ACCEPT
iptables -A INPUT -i $WIFI -o $WIFI -s 192.168.1.0/24 -d $SOMEOTHERSERVERIP -j ACCEPT
iptables -A INPUT -i $WIFI -o $WIFI -s 192.168.1.0/24 -d 192.168.1.0/24 -j DROP

この一連のイベントの基本は次のとおりです。

サブネット内にあり、ゲートウェイと通信している場合は受け入れます
サブネット内にあり、サーバーと通信している場合は受け入れます
ルール2は、許容可能なサーバーがなくなるまで繰り返されます。
サブネット内にあり、サブネット内の他のものと通信している場合は、それをドロップします

Question 2

現時点では、iptablesルールはWiFiインターフェースによって直接転送されるパケットには影響しません。これ。

良いニュースは、Hostapd 2.9には、まさにあなたが説明したことを実行するというオプションがあることですap_isolate。これについては以下をお読みください。ここ。

このフラグを設定すると、アクセスポイントネットワーク上のデバイスからのすべてのパケットがアクセスポイントによってドロップされます。

Answer

現時点では、iptablesルールはWiFiインターフェースによって直接転送されるパケットには影響しません。これ。

良いニュースは、Hostapd 2.9には、まさにあなたが説明したことを実行するというオプションがあることですap_isolate。これについては以下をお読みください。ここ。

このフラグを設定すると、アクセスポイントネットワーク上のデバイスからのすべてのパケットがアクセスポイントによってドロップされます。

hostapd を使用した Ubuntu でのクライアント分離

答え1

答え2

関連情報