У меня в сети есть компьютеры, которым я хочу разрешить доступ к ресурсам локальной сети — я создал псевдоним с их IP-адресами (LAN_WHITELIST). Для других устройств я хотел бы сделать только доступ в Интернет.
Поэтому я также создал псевдоним для частных сетей: 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 — INTERNAL_NET.
Мои правила выглядят следующим образом:
То есть я передаю LAN_WHITELIST в INTERNAL_NET.
Блокирую не LAN_WHITELIST для INTERNAL_NET.
Остальные правила по умолчанию.
Сейчас:
- компьютеры с LAN_WHITELIST имеют доступ к Интернету и к серверам локальной сети. Хорошо.
- компьютеры за пределами LAN_WHITELIST не имеют доступа к Интернету, но имеют доступ к серверам локальной сети. Это не правильно.
Как мне исправить правила, чтобы это работало так, как мне нужно?
EDIT: только что понял, что мне нужно предоставить доступ к pfSense для хостов, отличных от LAN_WHITELIST, потому что они получают его адрес как DNS (192.168.0.1). Теперь похоже, что у !LAN_WHITELIST есть доступ в Интернет.
EDIT2: Может ли быть так, что трафик не проходит через маршрутизатор, поэтому я не могу заблокировать его правилами брандмауэра? Все хосты и серверы находятся в одной локальной сети.
