2つのサブネットを持つ構成があります。この例では、それらを192.168.1.128/26(128)および192.168.1.64/26(64)と呼びます。 64サブネットには、ゲストがアクセスできないようにする必要のあるすべての内部デバイスが含まれています。 128サブネットは、基本的にワイヤレスブロードキャストサブネットです。
私の問題は、この(128)サブネットに接続する2種類のユーザーがいることです。まず、インターネットにのみアクセスできるゲストです。次に、64サブネット上の内部デバイスだけでなくインターネットにもアクセスできる必要があるスタッフです。
基本的なLinksysルーターを使用しており、サブネット間のルーティングを適切に管理できます。私の質問は、64サブネットにルーティングされるユーザーを「スタッフ」ユーザーの静的リストに制限するにはどうすればよいですか?
通常、ファイアウォールルール(パケットフィルタリング)を使用してアクセスをブロックまたは許可します。 linksysのストックファームウェアを使用している場合、これが可能かどうかはわかりません。dd-wrtなどを使用している場合は、iptablesルールを使用して実行できます。
これはゲストワイヤレスネットワークであるため、割り当てられたIPアドレスまたはMACアドレスでスタッフシステムを識別することはおそらく非常に賢明ではありません。これにより、ファイアウォールルールを使用したあらゆる種類のアクセス制御の実行がほぼ除外されます。
おそらく行う必要があるのは、スタッフのワイヤレスクライアントにVPNを設定することを検討することです。これにより、スタッフは信頼できるネットワークにVPNを確立できます。
別のオプションは、スタッフアカウント専用に追加のSSID /サブネットを設定し、異なるレベルのワイヤレス認証を使用することです。ゲストSSIDに暗号化/認証がない可能性があります。スタッフのSSIDでは、強力な事前共有キーを備えたWPA2を使用するか、理想的にはWPAで利用可能なエンタープライズ認証の1つを使用します。