如果我在 LAN 接口上有一个设备 (192.168.12.5),我想阻止它访问互联网,并且我在 LAN 接口上放置了一条规则 (顶部规则 #1) 来:
Block
Protocol Ipv4*
Source 192.168.12.5 Port *
Destination ANY Port * Gateway *
规则生效了,机器无法访问互联网。但是为什么在 LAN 接口上以下操作不起作用?
Block
Protocol Ipv4*
Source 192.168.12.5 Port *
Destination WAN_net Port * Gateway *
我在网上看到的所有地方都展示了同样的方法(将目的地设置为任意)。为什么会这样?我试图阻止流量从该 IP 退出 WAN。我认为这意味着我的目的地应该是 WAN 网络。
答案1
阻止
协议 Ipv4*
源 192.168.12.5 端口 *
目标 WAN_net 端口 * 网关 *
此规则将阻止从 192.168.12.5 到您的 ISP 的 WAN_net 网段的所有 Ipv4 流量,而不是 Internet。
互联网是所有不属于以下范围的 IP 地址:10.0.0.0/8、172.16.0.0/12、192.168.0.0/16
因此,为了在不使用任何目的地的情况下阻止对 Internet 的访问,请创建一个名为 PRIVATE_NETWORKS 之类的别名,并在规则中使用它,如下所示:
Block
Protocol Ipv4*
Source 192.168.12.5 Port *
Destination !PRIVATE_NETWORKS Port * Gateway *
现在,任何来自 192.168.12.5 的 IPv4 流量(不是发往您的私有局域网)都将被阻止。
答案2
在第二种情况下,您阻止从 192.168.12.5 到 wan 子网的流量(您在 wan 端口中配置的所有 IP),但允许其他任何 IP。