Для начала я действительно не знаю, правильное ли это место для этого вопроса, но поскольку serverFault определяется как Для системных и сетевых администраторов, Я попробую.
У меня есть файервол (Zywall 110). И я хочу запретить доступ к определенному ресурсу (в локальной сети), если локальный IP-адрес поступает из определенного диапазона (в той же локальной сети).
Итак, я зашел в конфигурацию> Политика безопасности> Контроль политик и добавил новое правило
FROM : LAN
TO : LAN
SOURCE : IP_RANGE(192.168.1.50 - 192.168.1.100)
DESTINATION : IP ADDRESS (192.168.1.3)
SERVICE : ANY
USER : ANY
SCHEDULE : NONE
ACTION : DENY
LOG : LOG
И попытался с машины в диапазоне получить доступ 192.168.1.3
и это возможно. Я тоже пробовал заменить LAN
по ANY
, та же проблема. И журнал даже не создается.
Единственное, что работает, - это блокировка всего доступа из этого конкретного диапазона. Итак, когда я положил ANY
везде, кроме источника. У машины нет доступа к WAN, но есть доступ ко всему в LAN ...
Я заметил, что эта лицензия не активна
Либо этот брандмауэр работает только для блокировки доступа к глобальной сети, либо это проблема неактивированной лицензии.
Может кто это подтвердить? Или я просто что-то упускаю?
В большинстве сетей внутренний трафик LAN не маршрутизируется через маршрутизатор / брандмауэр, клиенты общаются друг с другом напрямую. Поэтому, если вы хотите запретить доступ к 192.168.1.3, вам следует сделать это на 192.168.1.3 или убедиться, что трафик маршрутизируется через брандмауэр (если задействованы переключатели и т. Д.), Прежде чем правила брандмауэра могут применяться.
UTM означает «Unified Threat Management», который включает в себя защиту от фишинга, централизацию конфигурации и т. Д. И является дополнительной функцией, которая вам не нужна для вашей задачи. То, что вы хотите сделать, - это простое правило на основе IP, оно не имеет ничего общего с лицензией.
Вкратце: ваш трафик не фильтруется, потому что он никогда не проходит через брандмауэр.