Ho seguito questo tutorial ( link ) per un hotspot Wifi nella guesthouse. Funziona bene, ma ogni dispositivo sulla rete WiFi può raggiungere qualsiasi dispositivo LAN nella LAN e viceversa. Non voglio questo (o almeno blocco lo spoofing ARP) perché c'è un traffico HTTP sensibile (non posso usare SSL).
Quali regole di iptables sono necessarie per limitare il WiFi a essere utilizzato solo per "Internet"? Effettuo il login con SSH su Rpi dalla LAN.
Dopo un po 'di debug ho trovato il mio problema Non erano le regole del firewall ma il fatto che il server DHCP per la mia LAN non funzionava (e quindi creando uno scenario molto strano).
Queste sono le regole che ho usato (ho svuotato tutte le precedenti regole di iptables dal tutorial):
sudo iptables -P FORWARD DROP
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
sudo iptables -A FORWARD -i wlan0 -o eth0 -d 192.168.2.0/24 -j DROP
sudo iptables -A FORWARD -i wlan0 -o eth0 -j ACCEPT
sudo iptables -A FORWARD -i eth0 -o wlan0 -d 192.168.2.0/24 -j DROP
sudo iptables -A FORWARD -i eth0 -o wlan0 -j ACCEPT
E questo risulta in:
Chain FORWARD (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination
0 0 DROP all -- wlan0 eth0 anywhere 192.168.2.0/24 192 11645 ACCEPT all -- wlan0 eth0 anywhere anywhere
0 0 DROP all -- eth0 wlan0 anywhere 192.168.2.0/24
9 6286 ACCEPT all -- eth0 wlan0 anywhere anywhere
Quello che succede qui è che rifiuto il traffico dalla mia LAN (192.168.2.x) dall'accesso alla WLAN e viceversa. Se i pacchetti sono conformi a questa regola, io uso NAT per trasferirli al gateway della LAN e su Internet.
Leggi altre domande sui tag firewalls raspberry-pi iptables arp-spoofing