Если у меня есть одно устройство (192.168.12.5) на интерфейсе LAN, которому я хочу запретить доступ в Интернет, и я помещаю правило (верхнее правило № 1) на интерфейс LAN для:
Block
Protocol Ipv4*
Source 192.168.12.5 Port *
Destination ANY Port * Gateway *
Правило работает, и машина не может получить доступ к Интернету. Но почему на интерфейсе LAN не работает следующее?
Block
Protocol Ipv4*
Source 192.168.12.5 Port *
Destination WAN_net Port * Gateway *
Везде, где я видел в сети, показан один и тот же метод для этого (установите любой пункт назначения). Почему это? Я пытаюсь заблокировать выход трафика из WAN с этого IP-адреса. Я бы подумал, что это будет означать, что моим пунктом назначения должна быть сеть WAN.
Блокировать
Протокол IPv4 *
Источник 192.168.12.5 Порт *
Порт назначения WAN_net * Шлюз *
Это правило будет блокировать весь трафик IPv4 от 192.168.12.5 к сегменту сети WAN_net вашего провайдера, а не в Интернет.
В Интернете есть все IP-адреса, которых нет: 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16
Итак, чтобы заблокировать доступ к Интернету без использования ЛЮБОГО места назначения, создайте псевдоним, называемый чем-то вроде PRIVATE_NETWORKS, и используйте его в своем правиле следующим образом:
Block
Protocol Ipv4*
Source 192.168.12.5 Port *
Destination !PRIVATE_NETWORKS Port * Gateway *
Теперь любой трафик IPv4 из 192.168.12.5, не предназначенный для вашей частной сети, будет заблокирован.
Во втором случае вы блокируете трафик из 192.168.12.5 в подсеть WAN (все IP-адреса, которые вы настроили в WAN-порту), но разрешаете другие любые IP-адреса.