OpenWrt限制设备连接Internet

起因

有一天查看OpenWrt设备状态的时候,突然发现一个熟悉的Mac地址,而且没有主机名。感觉心里不踏实,毕竟已经做了最初级的SSID隐藏,我脑袋里想到的第一反应就是之前有人来家里玩的时候,连了家里的WIFI,而且还使用了什么WIFI密码盒子之类的软件,这类软件拿到GPS定位或运营商定位,再结合扫描的SSID信息,可能已经把我的WIFI信息和密码传到服务器上面了。这样我就必须要做进一步的改善了,当然最简单的方法就是改密码,但是家里有其他人使用,改动比较费事;再想到的就是WIFI连接时的MAC白名单验证,但我想这个可能通过抓包也能好样的出来,不是太好。

解决思路

家里的路由器基本都是用的OpenWrt,应该能通防火墙规则来做点文章,思路是MAC地址白名单,可连LAN,无法使用WAN,放狗搜了下,找到一些文章。How to Block Device on OpenWRT Based on MAC Address

修改

其实就是在Network -> Firewall里的Zones中的Zone Lan => REJECT,然后再给需要使用Internet的设备增加相应规则。改动就是修改OpenWrt中的/etc/config/firewall

最后一点就是内网做好防护工作,OpenWrt的SSH禁用密码,只能使用密钥;uhttpd修改为SSL,且修改端口。s