【前言】
我是小白,但是从我的观点看来,有没有ACL是目前我对一款路由器
能不能够得着所谓“企业级‘、’商用”等级别的入门标准。
在六年前,家用路由器也有这种简单的IP到IP的限制功能【比如水星老版的D12G】
不知道为什么,在现在的普通路由器,都已经删减了很多经典功能。
【需求分析】
本人是家庭&商用混合需求的用户,网络框架基本是软路由为主路由+然后拓展出好几个路由器。
一个路由器有多个SSID,主要负责访客、无线监控接入、内网数据等。
所以我非常关心内网安全,即使内网设备都是强密码,
若无法阻断访客设备对内网重要设备的访问,就会存在安全风险。
但是一般的路由器原厂固件上提供的访客模式,如果作为主路由使用会非常好用。
好用之处在于:
1.它能够阻断路由器中每一台访客设备之间的联系,确保了每一台设备自身的安全性。
2.同时也禁止了访客设备对接入该路由器设备下的非访客内网设备。
3.禁止访客对网关进行各种风险操作,比如禁止ping、禁止追踪,
甚至是禁止了访客访问路由器管理页面。
所以说,如果将路由器作为主路由使用,那么访客网络算得上是最简易最方便的隔离手段了。
但是如果你的路由器不是主路由,是主路由下分出来的路由器,那么访客网络的保护能力就十分有限了。
因为访客网络可以禁止访客访问该级路由器下的内网资源,但是无法禁止访客访问上一级网络中的内网资源。
而在这种网络下的主路由,基本都采用了比较完善的路由系统,提供了ACL功能。
但是访客网络直接访问上一级路由下的内网资源时,在主路由看来,属于是内网数据交换。
无法触发主路由的ACL功能。
此时,在该网络下,如果你的下级分支路由没有ACL功能,要实现访客网络隔离保护。
那就只能迂回的使用网管交换机,采取多台路由器的方式,采用VLAN对不同的上网数据进行分类。
最后汇总到主路由器上,通过VLAN标记,划分不同的IP网段,制定主路由的ACL规则,阻断访客网络对上一级内网资源的链接。
【增加了设备投入成本、布线难度、维护难度】换来的访客网络隔离。
所以我一直在寻找一种可以减少设备数量和减少网络复杂程度,提高网络可靠性的替代方法。
【硬件&软件】
硬件:路由器是H3C NX30PRO,百元级WIFI6,各大论坛大佬都有很丰富而且稳定的刷机包。
软件:OPENWRT 恩山B大 NX30PRO专版
【操作过程】
一、选择Openwrt左侧的【网络】-【防火墙】 点击上方的【通信规则】
二、拉下来,找到【新建转发规则项】
在最左侧的框中输入你的规则项名字(任意名字均可);
源区域选择【LAN】;目标区域选择【WAN】;
最后点击左侧的【添加并编辑】
三、你添加好的转发规则项会出现在上方
点击该项目右侧的【修改】
四、照着图里抄作业就行,抄完作业记得点【保存&应用】,
同时一定要确保转发规则被勾选启用。
五、此时我们虽然在规则里选中了IPV4+IPV6的ACL模式。
但是我并没有输入任何IPV6网段,所以理论上IPV6网段任然有可能存在漏网之鱼。
那应该怎么办?
访客网络几乎不承载任何固定服务,基本就是普通的上网数据。
所以几乎是用不上ipv6的,所以直接 直接删除 【接口】中的【WAN6】项 即
同时关闭DHCP服务中的IPV6 DHCP服务。
【测试】
在分支路由器访客SSID上的设备是否能够访问到上一级中的重要内网设备。
条件:
1.手机连接到访客SSID,获取到【192.168.124.X】的访客IP段
2.内网网段为【192.168.1.X]
测试结果:
【ACL规则启用前】
【ACL规则启用后】
【总结】
对于注重内网安全的小白用户来说,ACL规则是一个非常简单非常有效非常使用的功能。
有这个功能之后内网隔离会变得非常简单。
扫一扫
2713
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
