Eu exibi o DD-WWRT no meu roteador Linksys e2500v3.
Adicionei a interface virtual para criar uma rede Wi-Fi de convidado que teria acesso à Internet, mas não à rede privada ou ao roteador.
Neste ponto, a rede guest pode acessar a Internet, mas quando tento RDP de um PC na minha rede privada (fora do roteador ddwrt) para outro PC na rede privada (que recebe seu IP do roteador ddwrt), não funciona.
Eu reduzi isso a este comando:
iptables -t nat -I POSTROUTING -o br0 -j SNAT --to 'nvram get lan_ipaddr'
Quando este comando é comentado ou excluído, a rede de adivinhação não tem mais acesso à Internet, mas eu posso RDP em um PC conectado à rede privada do roteador ddwrt de outro PC na minha rede privada (independentemente da sub-rede). / p>
Quando o comando está ativo, a rede de convidados tem internet, mas não pode RDP.
Configuração no roteador DDWRT:
WAN: disabled
LAN IP: 192.9.202.250 (was an available IP on my network)
DHCP range: 192.9.202.160-192.9.202.165
Private WIFI: wl0
Guest WIFI: wl0.1
Created bridge: br1 (IP 192.168.5.100)
Assigned bridge: br1 assigned to wl0.1
DNSMasq:
#Enables DHCP on br1
interface=br1
#Set the default gateway for br1 clients
dhcp-option=br1,3,192.168.10.100
#Set the DHCP range and default lease time of 24 hours for br1 clients
dhcp-range=br1,192.168.10.101,192.168.10.105,255.255.255.0,24h
Firewall commands:
#Allow guest bridge access to Internet
iptables -I FORWARD -i br1 -m state --state NEW -j ACCEPT
iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
#Block access between private and guest
iptables -I FORWARD -i br0 -o br1 -m state --state NEW -j DROP
iptables -I FORWARD -i br1 -d 'nvram get lan_ipaddr'/'nvram get lan_netmask' -m state --state NEW -j DROP
#NAT to make Internet work
iptables -t nat -I POSTROUTING -o br0 -j SNAT --to 'nvram get lan_ipaddr'
#Block guest access to router services
iptables -I INPUT -i br1 -p tcp --dport telnet -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --dport ssh -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --dport www -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --dport https -j REJECT --reject-with tcp-reset
O PC alvo é 192.9.202.165
O PC de origem é 192.9.202.140 (esse IP é fornecido pelo roteador principal, não pelo roteador ddwrt)