[routeur] wifi sans accès au lan

J’utilise un routeur Linksys WRT54G, sur lequel je viens de tester le firmware Tomato.

Je me demandais s’il était possible, avec ce type de routeur, d’avoir un lan sur ethernet, et d’ouvrir le wifi de manière à ce que ceux qui se connectent n’aient accès qu’à internet, mais pas aux autres machines locales (sur le lan ethernet mais aussi les autres clients wifi). En gros, c’est pour donner un accès wifi dans un café…

Est ce possible de faire ça avec des règles de routage? Quelqu’un aurait un tutorial sur ça? Sinon, avec un firmware spécial?

(Il faudrait n’autoriser que le DHCP sur wifi, et ne permettre la communication qu’avec la gateway)

Des idées?

Avec Tomato en tout cas je ne pense pas que se soit possible sur un WRT54, mais j’en vu passer le WRT610N qui se dit double bande, alors je ne sait pas exactement ce que ca veut dire mais tu devrais peut être jeter un coup d’œil.

Il semblerait que ça soit faisable facilement avec un second routeur: http://www.dslreports.com/faq/12676

Cependant, il n’y a aucune raison matérielle qui empêcherait de le faire sur un seul routeur. Il semblerait que ça soit possible en bidouillant iptables via ssh, mais après ça doit être compliqué de combiner ça avec les autres fonctionnalités du routeur (limiter le débit sur le wifi, filtrer les ports / protocoles, et n’ouvrir l’accès qu’à certaines heures)

(il semble que chez linksys, il y ait une option “ap isolation” pour isoler les clients wifi entre eux, mais pas entre ethernet et le wifi)

Je continue de chercher…

A oui j’y avais pas pensé, iptables est accessible en SSH (user root)
Si tu y arrives ça m’intéresse :slight_smile:

Je ne connais pas trop Tomato mais plus openwrt. Mais bon, du moment que t’as un firmware linux sur lequel t’as un accès ssh tu peux à peux près faire ce que tu veux.
Pour ta solution à priori il suffirait de ne pas bridger le wifi avec le lan, d’empecher avec iptables le trafic entre le wifi et le lan et mettre le serveur dhcp uniquement sur le wifi et le tour serait joué.

Bah sur le tomato y’a la fonction AP isolation, qui a l’air de faire ce que tu veux (sur le wifi):

(dans Advanced-> Wireless)

Cette fonction n’empêche pas l’accès aux machines câblées normalement.

A tester, je suis pas sûr.

Non, cela empêche deux clients wifi de communiquer entre eux directement. Rien ne les empêche à priori de communiquer via le réseau local.