Назад | Перейти на главную страницу

pfsense: как заблокировать интернет для одного клиента

У меня дома есть сеть с брандмауэром PFSense Software. Есть около 2 ПК и 3 портативных компьютера, которые подключаются к Интернету через этот брандмауэр.

Я хочу использовать правила брандмауэра, чтобы заблокировать доступ в Интернет для одного из этих устройств в сети. Тот, который я хочу заблокировать, имеет назначенный статический IP-адрес, и я также знаю его MAC-адрес.

Я просто не могу понять, как создать правило, которое будет эффективно блокировать доступ в Интернет для этого одного устройства. Но я все еще хочу, чтобы это устройство могло иметь доступ к внутренней сети, например, к общим дискам сетевых принтеров и т. Д.

Добавьте правило брандмауэра LAN, чтобы заблокировать IP-адрес парня, перейдя в Брандмауэр -> Правила -> LAN:

НОТА: Исходный источник изображения

И убедитесь, что ваше правило перед правило по умолчанию «разрешить всем»; поскольку правила обрабатываются сверху вниз по порядку, пока не будет найдено подходящее.

Я знаю, что это старый вопрос, но он все еще относится к pfSense 2.4.

Я рекомендую использовать псевдонимы для применения правил к нескольким хостам.

Не человек pfsense, но действительные правила PF, которые вам нужны, следующие.

block in on <internal interface> from <static ip> to any
pass in on <internal interface> from <static ip> to <internal network>
pass out on <internal interface> from <static ip> to <internal network>

Перейдите на страницу Firewall-> Rules и щелкните вкладку LAN. Добавьте вверху новое правило со следующими настройками:

Action: Block
Protocol: Any
Source: Single Host or Alias | <IP-Adress>

Учтите, что это заблокирует один IP-адрес. Таким образом, если IP-адрес хоста изменится, он снова сможет получить доступ к Интернету.

Я испробовал множество подходов, ни один из которых не сработал. Но один сделал

(a) Сначала я установил правило, которое позволяло (в данном случае 192.168.1.7) подключаться к любой точке моей локальной сети 192.168.1.0 / 24. Значит, брандмауэр -> Правила -> Изменить

  1. Действие -> Пройти
  2. Интерфейс -> Адрес LAN
  3. Семья -> (выбираете вы)
  4. Протокол -> Любой
  5. ИСТОЧНИК Один хост ---> 192.168.1.7
  6. Назначение ---> Сеть 192.168.1.0 / 24

(b) Затем я создал правило блокировки ниже этого в иерархии Firewall -> Rules -> Edit

  1. Действие -> Блокировать
  2. Интерфейс ---> LAN
  3. Семейство адресов ---> (выбор пользователя)
  4. Протокол -> Любой
  5. Исходный одиночный хост или псевдоним ---> 192.168.1.7
  6. Пункт назначения -> любой

Это сработало

Что действительно сбивает с толку, так это терминология. Возможно, кто-нибудь сможет это объяснить

(а) Если у меня есть IP-адрес во внутренней локальной сети, почему бы не заблокировать его для доступа к глобальной сети (которая находится за пределами моего маршрутизатора, и я думаю, что это будет считаться Интернетом) заблокировать этот IP-адрес от доступа в Интернет

(b) Так почему же блокировка этого IP-адреса от доступа к LAN (я предполагаю, что любой IP-адрес за NAT находится в LAN, и любой IP-адрес в этой сети за LAN может выходить в Интернет, если он не заблокирован) предотвращает это? IP от доступа в Интернет. Полагаю, я только что ответил на свой вопрос, потому что следующее, что я сделал, это разрешил этому IP-адресу доступ к локальной сети 192.168.1.0 / 24 (в формате CIDR).

Я скажу, что термины LAN, WAN Network и т. Д. Нуждаются в небольшом разъяснении для новичков, использующих pfSense. Что такое WAN на самом деле? Почему я не могу просто заблокировать свой IP-адрес LAN от доступа к WAN? Почему это не работает? Я думаю, что любой, кто сможет ответить на этот вопрос, поможет мне и многим другим, я полагаю

Спасибо парировать

Также вы можете просто сделать,

Действие -> Пропустить интерфейс -> Семейство адресов LAN -> (вы выбираете) Протокол -> Любой ИСТОЧНИК, отдельный узел ---> 192.168.1.7 Назначение (инвертировать) ---> WAN