post

网络接口通常通过配置文件（如 /etc/config/network）进行定义和管理。当您创建一个新的网络（例如，一个专门为访客设计的无线网络）时，您会指定一个接口名称。这个名称随后用于系统的其他配置部分，包括防火墙规则、DHCP配置等。

如何创建访客网络接口

1. 在OpenWrt中添加网络接口：您可以通过Web界面（LuCI）或直接编辑配置文件来添加新的网络接口。例如，为访客网络添加一个新的无线网络SSID，并将其关联到一个新的网络接口（例如，br-guest）。

2. 配置文件示例：

   • 编辑 /etc/config/network 文件，添加如下配置以创建新的桥接接口（如果适用）：

     config interface 'guest'
         option type 'bridge'
         option ifname 'eth0.3'
         option proto 'static'
         option ipaddr '192.168.3.1'
         option netmask '255.255.255.0'
     

   • 这里，interface 'guest' 定义了一个新的网络接口名为 guest，您可以将其理解为 br-guest（如果您希望使用这个特定的名称，只需相应地修改配置即可）。

3. 更新防火墙配置：之后，您需要根据新创建的接口名（如 guest 或您选择的任何名称）更新防火墙配置，确保访客网络的隔离。

注意事项

• 接口名称（如 br-guest）通常用于区分不同的网络（如主网络、访客网络、管理网络等）。
• 在配置网络和防火墙规则时，确保使用正确的接口名称，以保障规则的正确应用。
• 如果您通过Web界面（LuCI）操作，创建和配置网络接口的过程会更直观，系统会自动生成配置文件的相关条目。

防火墙规则

要使用防火墙规则在同一网段内创建一个访客网络，您需要在网络层面上确保所有设备都可以获取IP地址（比如通过同一个DHCP服务器），同时在防火墙层面上隔离访客设备与主网络的通信。这种配置通常在企业或高级家庭网络中使用，允许访客接入网络而不访问内网资源。以下是一个基于OpenWrt（或类似系统）的示例步骤：

1. 创建访客网络接口（可选）

如果您的设备允许，在同一个物理接口上创建一个虚拟接口（例如，一个新的SSID用于无线访客网络）。这一步骤不是必须的，因为您的目标是在相同的网段上实现隔离，但它有助于组织和管理目的。

2. 配置DHCP服务

确保访客设备能够从同一个DHCP服务器获取IP地址。您可能需要配置DHCP服务器，以便为所有设备（包括访客设备）分配同一网段的IP地址。

3. 配置防火墙规则

关键步骤在于配置防火墙规则，以隔离访客设备。您需要创建规则，以阻止访客网络中的设备访问主网络中的资源，但允许它们访问外部互联网。使用OpenWrt，您可以通过编辑/etc/config/firewall文件或使用Web界面（如果可用）来完成此操作。

示例防火墙规则

以下是一个简单的例子，说明如何阻止访客网络访问内网资源：

# 允许访客网络访问外部互联网
iptables -I FORWARD -i br-guest -o eth0 -j ACCEPT

# 阻止访客网络访问内网（192.168.1.0/24为内网IP范围）
iptables -I FORWARD -i br-guest -d 192.168.1.0/24 -j REJECT

# 允许访客网络访问DHCP和DNS（如果需要）
iptables -I INPUT -i br-guest -p udp --dport 67 -j ACCEPT
iptables -I INPUT -i br-guest -p udp --dport 53 -j ACCEPT
iptables -I INPUT -i br-guest -p tcp --dport 53 -j ACCEPT

在这个例子中，br-guest是访客网络接口的名称，eth0是连接到互联网的外部接口。您需要根据实际情况调整接口名称和IP地址范围。

4. 应用并测试防火墙规则

应用您的防火墙配置后，重启防火墙服务，然后测试配置以确保访客设备不能访问主网络，但可以正常上网。

这种配置的关键在于正确设置防火墙规则，以实现网络隔离的同时保持网络通信的需要。务必在实际部署前彻底测试配置，以确保网络安全性和功能性符合预期。