我家里有一个装有 PFSense 软件防火墙的网络。大约有 2 台 PC 和 3 台笔记本电脑通过此防火墙连接到互联网。
我想使用防火墙规则来阻止网络上其中一个设备的互联网访问。我想阻止的设备确实分配了静态 IP 地址,而且我也知道它的 MAC 地址。
我似乎无法弄清楚如何创建一条规则来有效地阻止该设备的互联网访问。但我仍然希望该设备能够内部访问网络,例如网络打印机共享驱动器等。
答案1
通过进入防火墙 -> 规则 -> LAN,添加 LAN 防火墙规则来阻止该人的 IP:
笔记: 图片原始来源
确保你的规则是前默认的“允许所有人”规则;因为规则是按自上而下顺序处理的,直到找到匹配的规则。
答案2
答案3
不是 pfSense 人,但您需要的实际 PF 规则如下。
block in on <internal interface> from <static ip> to any
pass in on <internal interface> from <static ip> to <internal network>
pass out on <internal interface> from <static ip> to <internal network>
答案4
我尝试了无数种方法,但都不起作用。但有一个方法确实有效
(a)我首先设置了一条规则,允许(在本例中为 192.168.1.7)连接到我的 192.168.1.0 /24 局域网中的任何位置。这意味着防火墙-->规则-->编辑
- 行动——>通过
- 接口-->LAN 地址
- 家庭-->(您选择)
- 协议——>任意
- 源单个主机 ---> 192.168.1.7
- 目的地 ---> 网络 192.168.1.0 /24
(b)接下来,我在防火墙-->规则-->编辑的层次结构中创建了一条阻止规则
- 操作-->阻止
- 接口--->LAN
- 地址系列 ---> (用户选择)
- 协议——>任意
- 源单个主机或别名 ---> 192.168.1.7
- 目的地 --> 任意
有效
真正令人困惑的是术语。也许有人可以解释一下
(a)如果我的内部 LAN 上有 IP 地址,那么为什么阻止它访问 WAN(在我的路由器之外,我认为应该算作互联网)不会阻止该 IP 地址访问互联网
(b)那么为什么阻止该 IP 地址访问 LAN(我认为 NAT 后面的任何 IP 地址都在 LAN 上,并且 LAN 后面的此网络中的任何 IP 都可以访问 Internet,除非被阻止)会阻止该 IP 访问 Internet。我想我刚刚回答了我自己的问题,因为我接下来要做的就是允许该 IP 地址访问本地网络 192.168.1.0 /24(CIDR 格式)
我想说的是,对于使用 pfSense 的新手来说,LAN、WAN 网络等术语需要稍微解释一下。WAN 到底是什么?为什么我不能直接阻止我的 LAN IP 地址访问 WAN?为什么这不起作用?我想任何能回答这个问题的人都会帮助我和其他很多人
谢谢,帕里