OpenWrt路由器实现内网隔离：访客网络ACL配置指南

OpenWrt路由器实现内网隔离：访客网络ACL配置指南

引用

CSDN

1.

https://blog.csdn.net/2301_79715162/article/details/140673057

在家庭和小型企业网络环境中，内网安全是一个重要的话题。本文将介绍如何在OpenWrt系统中实现访问控制列表（ACL）功能，以实现对访客网络的隔离保护。本文主要面向对路由器配置有一定了解的用户。

前言

从一个基本需求出发：能否实现内网设备之间的访问控制，是判断一款路由器是否达到"企业级"或"商用"级别的重要标准。在过去，即使是家用路由器也具备简单的IP到IP限制功能，但现在的普通路由器却逐渐取消了这一功能。

需求分析

对于同时需要家庭和商用网络环境的用户来说，网络架构通常采用软路由作为主路由，再通过多个路由器扩展出不同的SSID，用于访客、无线监控和内网数据等不同用途。在这种情况下，内网安全尤为重要。虽然内网设备都使用强密码，但如果不能阻止访客设备访问内网重要设备，仍然存在安全风险。

硬件与软件环境

• 硬件：H3C NX30PRO路由器（百元级Wi-Fi 6路由器，有丰富的刷机包支持）
• 软件：OpenWrt（恩山B大 NX30PRO专版）

操作步骤

1. 进入OpenWrt的防火墙设置界面：

• 选择左侧菜单的"网络" -> "防火墙"
• 点击上方的"通信规则"

2. 新建转发规则项：

• 在"新建转发规则项"区域输入规则项名称
• 源区域选择"LAN"
• 目标区域选择"WAN"
• 点击左侧的"添加并编辑"

3. 配置转发规则：

• 按照界面提示进行配置
• 确保勾选启用该规则
• 保存并应用设置

4. 处理IPv6相关设置：

• 由于访客网络通常不需要使用IPv6，可以删除"接口"中的"WAN6"项
• 关闭DHCP服务中的IPv6 DHCP服务

测试

测试条件：

• 手机连接到访客SSID，获取到192.168.124.X的访客IP段
• 内网网段为192.168.1.X

测试结果：

• ACL规则启用前，访客设备可以访问上一级内网设备
• ACL规则启用后，访客设备无法访问上一级内网设备

ACL规则启用前的访问情况

ACL规则启用后的访问情况

ACL规则启用后的访问情况

总结

对于注重内网安全的用户来说，ACL规则是一个非常简单且有效的功能。通过合理配置，可以轻松实现内网隔离，提高网络安全性。

本文原文来自CSDN