阻止一台设备访问互联网,但允许所有其他目的地

阻止一台设备访问互联网,但允许所有其他目的地

如果我在 LAN 接口上有一个设备 (192.168.12.5),我想阻止它访问互联网,并且我在 LAN 接口上放置了一条规则 (顶部规则 #1) 来:

Block 
Protocol Ipv4*  
Source 192.168.12.5 Port *  
Destination ANY Port * Gateway *  

规则生效了,机器无法访问互联网。但是为什么在 LAN 接口上以下操作不起作用?

Block  
Protocol Ipv4*  
Source 192.168.12.5 Port *  
Destination WAN_net Port * Gateway * 

我在网上看到的所有地方都展示了同样的方法(将目的地设置为任意)。为什么会这样?我试图阻止流量从该 IP 退出 WAN。我认为这意味着我的目的地应该是 WAN 网络。

答案1

阻止
协议 Ipv4*
源 192.168.12.5 端口 *
目标 WAN_net 端口 * 网关 *

此规则将阻止从 192.168.12.5 到您的 ISP 的 WAN_net 网段的所有 Ipv4 流量,而不是 Internet。

互联网是所有不属于以下范围的 IP 地址:10.0.0.0/8、172.16.0.0/12、192.168.0.0/16

参见:ietf-rfc1918

因此,为了在不使用任何目的地的情况下阻止对 Internet 的访问,请创建一个名为 PRIVATE_NETWORKS 之类的别名,并在规则中使用它,如下所示:

Block
Protocol Ipv4*  
Source 192.168.12.5 Port *  
Destination !PRIVATE_NETWORKS Port * Gateway * 

现在,任何来自 192.168.12.5 的 IPv4 流量(不是发往您的私有局域网)都将被阻止。

答案2

在第二种情况下,您阻止从 192.168.12.5 到 wan 子网的流量(您在 wan 端口中配置的所有 IP),但允许其他任何 IP。

相关内容