[OpenWrt]网站白名单访问与ssid间设备隔离

OpenWrt支持在一个频段上在信道相同的条件下同时部署多个无线网络，而默认添加的无线网络共用本地LAN接口，导致连接到不同ssid的设备间依然可以做到相互访问

使用VLAN技术，针对不同ssid分配一个不同的VLAN接口，可以很好地完成连接不同SSID的设备间隔离

添加隔离网段的AP。

进入无线管理页面，选择添加。2.4G和5G随便选一个添加都可以

创建新的网络，名字可以自己命名。我这里示例LAN2

然后进入接口管理。选择刚刚创建的LAN2，点击修改，部分固件存在BUG，如果这里没有出现上一步创建的网络名称时，可以手动添加一个

设置为静态地址

修改网段信息并保存

设置DHCP服务

设置防火墙信息

转至网络-防火墙，将新生成的防火墙修改的和lan相同，如果没有出现此防火墙信息可以新建一个

测试连接，大功告成！

修改访问白名单，试了其他效果都不好，这里使用iptables设置

iptables -t nat -A PREROUTING -p udp --dport 53 -j REDIRECT --to-ports 53
iptables -t nat -A PREROUTING -p tcp --dport 53 -j REDIRECT --to-ports 53
iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE
iptables -I FORWARD -p udp --dport 53 -j ACCEPT  #释放端口,设置域名白名单
iptables -I FORWARD -p tcp --dport 53 -j ACCEPT
iptables -I FORWARD -p udp --dport 22 -j ACCEPT
iptables -I FORWARD -p tcp --dport 22 -j ACCEPT
iptables -I FORWARD   -d sec.hdu.edu.cn  -j ACCEPT
iptables -I FORWARD   -d sec0.hdu.edu.cn  -j ACCEPT
iptables -I FORWARD   -d sec1.hdu.edu.cn  -j ACCEPT
iptables -I FORWARD   -d sec2.hdu.edu.cn  -j ACCEPT
iptables -I FORWARD   -d sec3.hdu.edu.cn  -j ACCEPT
iptables -I FORWARD   -d sec4.hdu.edu.cn  -j ACCEPT
iptables -I FORWARD   -d sec5.hdu.edu.cn  -j ACCEPT
iptables -I FORWARD 14   -j DROP #丢弃所有流量 ，17：插入位置

目标URL在白名单中的流量在被匹配到后，会直接被放行，并不在向下执行，因此运行到DROP，表明流量并不在白名单中。