首先,我真的不知道这是否是这个问题的正确地方,但 serverFault 定义为对于系统和网络管理员,我会尝试一下。
我有防火墙(Zywall 110)。并且如果本地 IP 来自特定范围(在同一个 LAN 中),我想拒绝对特定资源(在 LAN 中)的访问。
因此我进入配置>安全策略>策略控制并添加了一条新规则
FROM : LAN
TO : LAN
SOURCE : IP_RANGE(192.168.1.50 - 192.168.1.100)
DESTINATION : IP ADDRESS (192.168.1.3)
SERVICE : ANY
USER : ANY
SCHEDULE : NONE
ACTION : DENY
LOG : LOG
并尝试从范围内的机器访问192.168.1.3
,这是可能的。我也尝试用 替换LAN
,ANY
同样的问题。甚至没有创建日志。
唯一有效的方法是阻止来自此特定范围的整个访问。因此,当我将ANY
除源之外的所有位置都放上去时。机器无法访问 WAN,但仍然可以访问 LAN 中的所有内容...
该防火墙要么仅用于阻止 WAN 访问,要么是未激活的许可证问题。
有人能证实这一点吗?还是我只是忽略了什么?
答案1
在大多数网络中,LAN 内部流量不通过路由器/防火墙路由,客户端直接相互通信。因此,如果您想拒绝对 192.168.1.3 的访问,您应该在 192.168.1.3 上进行拒绝,或者确保流量通过防火墙路由(如果涉及交换机等),然后防火墙规则才能应用。
UTM 代表“统一威胁管理”,涉及网络钓鱼保护、配置集中化等,是您完成任务时不需要的额外功能。您想要做的是一个简单的基于 IP 的规则,它与许可证无关。
简而言之:您的流量不会被过滤,因为它从未通过防火墙。