我这里有一个实验室环境,用于测试一些只能在这个“实验室环境”网络上运行的软件。
为此,“实验室环境”在网络外围设有一个 pfSense 防火墙,充当“网关”。
我需要设置 pfSense 以禁止所有内部 LAN 地址向外连接到 Internet,但具有静态 IP 地址的单个系统除外。
我尝试过阻止FROM LAN Address -> (any),但没有成功,因为系统仍然能够通过该规则访问互联网。我认为创建“通过”规则对此来说很容易FROM 172.16.1.1 TO (any)。
有人能帮我解决这些防火墙规则吗?我对 pfSense 有点陌生,因为我来自iptables网络边缘环境,所以任何帮助我都会很感激。
答案1
您没有阻止“LAN 地址”,您需要阻止“LAN 子网”。
请执行下列操作:
- 添加一条规则作为第一条规则:
PASS, 172.16.1.1 -> ANY - 添加规则作为第二条规则:
DENY, LAN subnet -> ANY