OpenWrt访客网络配置教程，轻松搞定隔离上网

进入高级设置这个页面，去勾选‘开机自动运行’这一项，接着勾选‘使用内置的IPv6管理’这一项，然后勾选‘强制链路’这一项，这三项勾选好之后，其他的都保持默认状态。

物理设置那个页面，要去那儿勾选“桥接接口”，还要勾选“开启STP”，在接口列表当中，要勾选“ra1”，也要勾选“rai1”。

完成上面那些一般配置之后，将页面拉至底部，而后点击“配置DHCP服务器”，从而进入。

DHCP服务器，其基本设置方面，开始地址要依据需求来设定，客户数量同样需按照需求进行设置，租期也是根据需要去设置。

DHCP服务器，进行高级设置，将“动态DHCP”勾选起来，别的部分不填写内容。

DHCP服务器，关于IPv6的设置，其中路由通告服务，DHCPv6服务，NDP代理，它们运行的均是混合模式，而DHCPv6模式设定为“无状态加上精准度毫无差错”，之后保存修改并且应用，然后返回到接口总览界面。接着进入到下一步骤项目进行操作。

3. 配置防火墙：

为了实现访客网络上网，还需要配置防火墙。

防火墙——常规设置，拉到底部，点“添加”

防火墙，常规设置里，名称为guest，入站数据是拒绝状态，而出站数据为接受状态，转发则是拒绝状态。要是访客终端无法上网，那就试着把这3项调整成“接受”。涵盖的网络方面，勾选guest接口。

端口触发那标签，能够达成转发至目标区域，选上wan加上wan6，予以保存并且应用，而后返回至上一级。

区域标签，确认配置结果如下图，保存&应用。

进入下一步，配置流量规则

4. 配置防火墙安全策略：

防火墙安全设置我们需要配置如下几点：

1）允许访客网络访问路由器的53端口实现dns查询；

2）允许访客网络访问路由器的67-68端口实现dhcp请求；

3）禁止访客网络访问内部网络的其他终端；

4）访客网络禁止对路由器端口进行网络访问：其中包括端口21，也就是FTP；还有端口22，即SSH；以及端口23，为Telnet；端口80，是HTTP；端口443，是HTTPS；端口137至139，属网络共享和旧版的SMB服务；端口445，乃新版的SMB服务；端口455，是勒索病毒常用的端口，若有其他安全需求需自行设置。

A、给出第一条规则，用以准许访客网络去访问路由器的53端口，达成dns查询。

点击“网络”——>“防火墙” ——>“通信规则”选项卡，

输入名称为“Allow DNS Queries for Guest”，输入端口数字是53，执行点击添加操作，踏入流量规则编辑页面，着手创建第一条规则。

流量规则编辑的页面，按照下边这张图去设置好咯，保存并且应用之后返回，把第一条规则给创建起来哟。

B、照样进行操作，去创建第二条规则，让访客网络能够实现对路由器的67 – 68端口的网络访问，以此达成dhcp请求。

C、创建第三条规则，禁止访客网络访问内部网络的其他终端；

D、第四条规则被创建，访客网络对路由器端口的访问被禁止，这些端口包括：21（FTP）、22（SSH）、23（Telnet）、80(HTTP)、443(HTTPS)、137 – 139（网络共享与旧版的SMB服务）、445（新版的SMB服务）、455（勒索病毒常用的端口），若有其他安全需求则参照自行设置。

5. 结论

1）经过上面所说的那些步骤，访客网络应当就能够被使用，而且它与内部网络进行了分隔。

2）可访问路由器的telnet、ssh、FTP、网络共享、web管理页面等的不是访客网络，在一定程度上避免勒索病毒传播的也不是访客网络。

3）要是路由器那儿装上了$$(不可描述)之类的，那就得在$$里把guest添作local区域。

未经允许不得转载：openwrt技术分享 » OpenWrt访客网络配置教程，轻松搞定隔离上网