В настоящее время у меня есть маршрутизатор, подключенный к основной сети (192.168.0.x). На этом маршрутизаторе я хочу, чтобы Ethernet-порты были связаны с основной сетью, а vlan (беспроводной) был настроен через отдельный DHCP-сервер в его собственной подсети (192.168.1.x). Сейчас это отлично работает.
Проблема, с которой я столкнулся, заключается в том, что я хочу заблокировать доступ из vlan к другим клиентам в той же подсети (поэтому заблокируйте трафик 192.168.0.x на 192.168.0.x), а также заблокируйте весь трафик в основной сетевой подсети ( хотя и разрешает запросы DNS).
Я подумал, что мне понадобятся некоторые правила iptables:
# allow DNS
iptables -I INPUT -i br0 -p udp --dport 53 -j ACCEPT
iptables -I INPUT -i br0 -p tcp --dport 53 -j ACCEPT
iptables -I OUTPUT -p udp --dport 53 -j ACCEPT
iptables -I OUTPUT -p tcp --dport 53 -j ACCEPT
# deny access to the 192.168.x.x hosts from internal vlan-users
iptables -A OUTPUT -s 192.168.1.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -j DROP
iptables -A FORWARD -d 192.168.0.0/255.255.255.0 -m state --state NEW -j DROP
iptables -I INPUT -d 192.168.0.0/255.255.255.0 -m state --state NEW -j DROP
Однако при тестировании я все еще мог подключиться к клиентам на 192.168.0.x и 192.168.1.x
Что мне не хватает? Возможно, я пробую это на неправильных цепях (или, возможно, на столе)?