Wir haben einen WLAN-Hotspot oder einen drahtlosen Zugangspunkt hostapd
in Ubuntu erstellt. Wie können wir WLAN-Clients auf die gleiche Weise isolieren, wie es „Client Isolation“ bei einigen Zugangspunkten tut? Gibt es eine Möglichkeit, dies zu kombinieren, iptables
um hostapd
einige Firewall-Regeln zwischen WLAN-Clients anzuwenden?
Antwort1
Erstellen Sie eine iptables-Regel für die Eingabe und Ausgabe, die es dem Quelladressbereich ermöglicht, mit dem Router/Standard-Gateway zu kommunizieren, sowie zusätzliche Regeln für alle Server oder andere Ressourcen in diesem Subnetz.
Erstellen Sie eine endgültige Regel, die Pakete zwischen dem Quelladressbereich und dem Quelladressbereich verwirft.
iptables -A INPUT -i $WIFI -o $WIFI -s 192.168.1.0/24 -d 192.168.1.1 -j ACCEPT
iptables -A INPUT -i $WIFI -o $WIFI -s 192.168.1.0/24 -d $SOMESERVERIP -j ACCEPT
iptables -A INPUT -i $WIFI -o $WIFI -s 192.168.1.0/24 -d $SOMEOTHERSERVERIP -j ACCEPT
iptables -A INPUT -i $WIFI -o $WIFI -s 192.168.1.0/24 -d 192.168.1.0/24 -j DROP
Die Grundlagen dieser Ereigniskette sind:
- Wenn es im Subnetz ist und mit dem Gateway kommuniziert, akzeptieren Sie es
- Wenn es im Subnetz ist und mit einem Server kommuniziert, akzeptieren Sie es
- Regel 2 wird wiederholt, bis keine akzeptablen Server mehr verfügbar sind
- Wenn es sich im Subnetz befindet und mit irgendetwas anderem im Subnetz kommuniziert, lassen Sie es fallen.
Antwort2
Zu diesem Zeitpunkt iptables
haben Regeln keinen Einfluss auf die Pakete, die direkt von der WLAN-Schnittstelle weitergeleitet werden.Das.
Die gute Nachricht ist, dass Hostapd 2.9 eine Option namens hat, ap_isolate
die genau das tut, was Sie beschrieben haben. Sie können darüber lesenHier.
Sobald Sie dieses Flag gesetzt haben, werden alle Pakete von Geräten im Access Point-Netzwerk vom Access Point gelöscht.