路由器刷了DD-WRT后可以设置虚拟无线网络,即一个无线路由器上有多个无线网络,可以设置不同的加密方式和SSID,相互之间可以控制访问权限。
下面介绍添加一个虚拟无线网络并与其他网络相隔离的方法,设置成功后的效果为:使用该虚拟无线网络接入路由器可以正常上网,但与其他网络的用户不能相互访问。适合家庭、公司等环境下为来访客人提供无线网络,并且不影响自用的网络。也可用于设置收费热点,方法将在下一篇帖子中介绍。
设置步骤:
设置过程中请注意保存和应用的不同。
1、添加虚拟无线网络
进入DD-WRT路由器的web设置页面,打开 无线-基本设置 页面,单击下方的 虚拟接口 列表下的 添加 按钮,设置合适的参数后应用。
注意:在这一步可以看到虚拟无线网络的接口名称,在SSID的前面,图中的为 wl0.1 ,请记住,稍后将用到。
打开 无线-无线安全 页面,设置合适的安全模式。本文目的是建立供访客使用的无线网络,为了使用方便可以选择不开启加密以便访客使用。
2、隔离虚拟无线网络
# 在br1上开启DHCP interface=br1 # 设置默认网关 dhcp-option=br1,3,192.168.2.1 # 设置客户端IP范围、子网掩码和租约时间 dhcp-range=br1,192.168.2.100,192.168.2.150,255.255.255.0,24h
其中#开头的为注释,可以不输,如果想设置不同的DNS,可再输入一下内容(不包含[]):
dhcp-option=br1,6,[DNS IP 1],[DNS IP 2]
全部输入完成以后单击 保存 按钮,等候10秒后重启路由器。
你现在应该能够连接到虚拟无线的SSID,并收到一个DHCP租约是在192.168.2.0/24子网的IP地址。在你进行下一步之前请确保你可以连接到它,收到一个DHCP租约,并连接到路由器的192.168.2.1。
3、限制访问
在进行此步设置之前请先确认 SPI防火墙 为启用状态。
正常情况下此时接入虚拟无线网络应该可以正常上网了,但在笔者的路由器上出现的能ping通路由器但不能上网的情况,此时可按一下方法设置:
打开 管理-命令 页面,在 指令解释器 中输入一下内容并单击 保存为防火墙指令 按钮。
iptables -t nat -I POSTROUTING -o `get_wanface` -j SNAT --to `nvram get wan_ipaddr` iptables -I FORWARD -i br1 -m state --state NEW -j ACCEPT iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
重启路由器后应该可以正常访问网络了。
下面限制虚拟无线网络的访问权限,使其只能访问外网不能访问内网。
单击 防火墙 框中的 编辑 按钮,在刚才输入的命令后面输入一下内容:
iptables -I FORWARD -i br0 -o br1 -m state --state NEW -j DROP
单击 保存为防火墙指令 按钮,重启使其生效。
至此一个可以访问互联网但不能访问局域网的虚拟无线网络就算设置完成了。