Hemos creado un punto de acceso wifi o un punto de acceso inalámbrico hostapden Ubuntu. ¿Cómo podemos aislar a los clientes wifi de la misma manera que lo hace el "Aislamiento de clientes" en algunos puntos de acceso? ¿Hay alguna forma de combinarnos iptablespara hostapdaplicar algunas reglas de firewall entre clientes wifi?
Respuesta1
Cree una regla de iptables en la entrada y salida que permita que el rango de direcciones de origen se comunique con el enrutador/puerta de enlace predeterminada, reglas adicionales para cualquier servidor u otros recursos en esa subred.
Cree una regla final que descarte paquetes entre el rango de direcciones de origen y el rango de direcciones de origen.
iptables -A INPUT -i $WIFI -o $WIFI -s 192.168.1.0/24 -d 192.168.1.1 -j ACCEPT
iptables -A INPUT -i $WIFI -o $WIFI -s 192.168.1.0/24 -d $SOMESERVERIP -j ACCEPT
iptables -A INPUT -i $WIFI -o $WIFI -s 192.168.1.0/24 -d $SOMEOTHERSERVERIP -j ACCEPT
iptables -A INPUT -i $WIFI -o $WIFI -s 192.168.1.0/24 -d 192.168.1.0/24 -j DROP
Los conceptos básicos de esta cadena de eventos son:
- si está en la subred y está hablando con la puerta de enlace, acéptelo
- Si está en la subred y está hablando con un servidor, acéptalo.
- La regla 2 se repite hasta que te quedas sin servidores aceptables
- Si está en la subred y está hablando con cualquier otra cosa en la subred, suéltelo.
Respuesta2
En este momento,iptables las reglas no tienen ningún efecto sobre los paquetes reenviados directamente por la interfaz wifi, segúneste.
La buena noticia es que Hostapd 2.9 tiene una opción llamadaap_isolate que hace exactamente lo que usted describió. Puedes leer sobre esto.aquí.
Una vez que establezca esa bandera, el punto de acceso descartará todos los paquetes de los dispositivos en la red del punto de acceso.