OpenWrt路由器配置ACL实现内网隔离

OpenWrt路由器配置ACL实现内网隔离

引用

CSDN

1.

https://blog.csdn.net/2301_79715162/article/details/140673057

在家庭和小型办公网络中，如何有效隔离访客网络与内网资源，防止潜在的安全风险？本文将介绍如何在OpenWrt路由器上配置ACL（访问控制列表）功能，实现内网设备的安全隔离。

需求分析

对于同时需要满足家庭和商用需求的用户来说，网络安全性是一个重要考量因素。即使所有内网设备都设置了强密码，但如果不能阻止访客设备访问内网重要设备，仍然存在安全风险。虽然大多数路由器的访客模式可以提供基本的隔离功能，但当路由器作为下级分支使用时，这种保护能力就显得有限了。访客设备虽然无法访问该级路由器下的内网资源，却可能访问上一级网络中的内网资源，这在主路由看来属于内网数据交换，无法触发ACL功能。

硬件与软件环境

• 硬件：H3C NX30PRO路由器（百元级WiFi6，有丰富的刷机包支持）
• 软件：OpenWrt恩山B大NX30PRO专版

配置步骤

1. 进入OpenWrt管理界面，选择左侧菜单的“网络”->“防火墙”，然后点击上方的“通信规则”。
2. 在页面底部找到“新建转发规则项”：

• 在最左侧的框中输入规则项名称（可自定义）；
• 源区域选择“LAN”；
• 目标区域选择“WAN”；
• 点击左侧的“添加并编辑”。

3. 添加的转发规则项会出现在上方列表中，点击该项目右侧的“修改”。
4. 按照图示配置规则（具体配置细节略），完成后记得点击“保存&应用”，同时确保转发规则被启用。
5. 由于默认选择了IPv4+IPv6的ACL模式，但实际使用中访客网络通常不需要IPv6，因此可以删除“接口”中的“WAN6”项，并关闭DHCP服务中的IPv6 DHCP服务。

测试验证

测试条件：

• 手机连接到访客SSID，获取到192.168.124.X的访客IP段
• 内网网段为192.168.1.X

测试结果：

• 启用ACL规则前：访客设备可以访问上一级内网资源
• 启用ACL规则后：访客设备无法访问上一级内网资源

总结

对于注重内网安全的用户来说，配置ACL规则是一个简单而有效的内网隔离方法。通过自定义防火墙规则，可以轻松实现访客网络与内网资源的有效隔离，提升网络安全性。