Eu tenho um roteador dd-wrt com duas interfaces Wi-Fi ( ath0, ath1). Eu quero que tudo o que está acontecendo ath0não tenha nenhum tipo de acesso WAN. Apenas LAN (de e para o dispositivo).
Como eu faria isso da maneira mais fácil e robusta?
Antes eu tentei isso usando ath1 também adicionando um AP virtual, uma nova ponte para o AP e algumas configurações avançadas de roteamento e firewall. No entanto, isso era muito complicado e imaginei que deveria ser muito mais fácil usar minha ath0interface (5 GHz) para essa finalidade.
Estou usando o OpenVPN como cliente, o que torna as coisas um pouco mais complicadas. Ao usar o firewall do iptables com a abordagem antiga, eu sempre teria que redefinir manualmente as configurações do firewall porque um arquivo em /etc/ está substituindo minhas regras ( -Ino topo) por causa da VPN, permitindo que tudo acesse a WAN desde que termine a VPN. Por causa do squashFS, não consegui encontrar uma maneira de evitar isso e sempre ter que sobrescrevê-lo manualmente depois de salvar as configurações/reinicializar o roteador não é tão bom. Também não tenho certeza se ele não irá sobrescrevê-lo novamente mais tarde.
Também não quero ath0ter acesso VPN. Não posso usar iptables com um IP de origem porque deveria ser para todos os clientes nesse SSID/interface e assim que eles se conectarem, então não saberei um IP com antecedência.
Eu tentei pesquisar isso, mas não consegui encontrar nada que funcionasse para o meu caso, exceto a solução de AP/ponte virtual excessivamente avançada.