我的网络上有计算机,我想允许它们访问 LAN 资源 - 我使用它们的 IP 地址 (LAN_WHITELIST) 创建了一个别名。对于其他设备,我只想进行 Internet 访问。
所以我还为私有网络创建了一个别名:10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 - INTERNAL_NET。
我的规则如下:
也就是说,我将 LAN_WHITELIST 传递给 INTERNAL_NET。我不阻止 LAN_WHITELIST 到 INTERNAL_NET。其余规则为默认规则。
现在:
- 具有 LAN_WHITELIST 的计算机可以访问互联网和 LAN 服务器。这样就没问题了。
- LAN_WHITELIST 之外的计算机无法访问互联网,但它们可以访问 LAN 服务器。这是错误的。
我该如何修正规则才能让它按我需要的方式工作?
编辑:刚刚了解到我需要为非 LAN_WHITELIST 主机授予 pfSense 访问权限,因为它们将其地址作为 DNS (192.168.0.1)。所以现在看来 !LAN_WHITELIST 可以访问互联网。
EDIT2:可能是因为流量不通过路由器,所以我无法用防火墙规则阻止它?所有主机和服务器都在同一个本地网络中。