隔离客人网络

Question

我正在我的路由器上设置一个第二用户无线网络，我想确保连接到客用无线网络的客户端不可能访问我的主网络。

最初，我在iptables中使用了IP过滤，但是我发现，一个欺骗他的IP的客人可能仍然可以访问我的主网络。

目前，我正在使用基于界面的过滤和iptables。我是否正确地认为，这是伪造的，客人将无法访问我的主要网络？

谢谢!

PS:我的路由器正在运行OpenWRT。

编辑：

按照用户3192427‘S的回答，我需要添加一些关于我的要求的细节。首先，我无法控制主网络的加密(它可以是开放的、WEP、WPA2或802.1x)。第二，客服网络必须开放。第三，也是最重要的一点，我主要关注的是，添加来宾网络不会增加漏洞。

因此，我从user3192427's的回答中了解到，我目前的解决方案仍然允许攻击者深入了解我的主要网络拓扑结构。我想知道的是，它是否在我的主要网络中添加了一个以前没有的入口点。例如，如果我的主网络是开放的和不安全的，那么添加一个开放的来宾网络不会使它变得更加不安全。如果我的主网络有WEP或WPA2，即使没有开放的来宾网络，攻击者仍然可以通过嗅探流量和“猜测”密钥来入侵它。如果我的主网络有802.1x (正确配置)，AFAIK攻击者无法进入。因此，我重新表述的问题是:假设我的主要网络是不可穿透的，那么添加一个开放的来宾网络是否会使其穿透(就像使它能够真正地侵入其上的某个设备或进入路由器)。

Answer 1

我不想说答案是“是”/“否”，但鉴于我必须提供的信息，我会解释原因。这真的取决于你的客人和你的偏执程度/你想花多少时间来管理这个AP。

您可以编写iptable规则以防止客人获取/访问您的内部网络的信息，但是您几乎必须为每种可能泄漏的协议(包括arp、dns、smb、bonjour等)编写规则.虽然这是可行的，但您需要非常定期地重新检查这些规则，并将其与您从来宾网络收集的数据包进行比较，以确保它们仍然有效。

如果您的客人是黑客类型，那么像802.1q这样的东西不会阻止他们。VLAN是为路由和网络标识而设计的，而不是安全的。Vlans需要在上面添加一些东西来执行额外的安全性。如果你谷歌VLAN跳转，你可以找到资源来做到这一点相当容易。

为了保护您提到的设置，我将查看本文：http://www.zdnet.com/blog/ou/a-secure-wireless-lan-hotspot-for-anonymous-users/587 (它有几年的历史了，但技术是相同的)。您可以在DD-WRT上设置802.1x。

下面是一个简单的例子：http://www.dd-wrt.com/phpBB2/viewtopic.php?p=684347

别忘了在主网络和客人网络中使用不同的密钥。如果客人能够解密您的通信量，他们可能无法访问它，但是执行数据包上限会给他们提供很多有关它的信息。

Answer 2

在OpenWRT上，由于802.1Q集群技术，可以同时运行两个SSID。请在以下文章中找到更多细节：

使用开放WRT的802.1Q多接入点

只要在开始的时候检查一下你的路由器是否能够处理这个问题。