Firewall правило для локальной сети

Обсуждение ПО и его настройки
Ответить
Shpilly-Willy
Сообщения: 2
Зарегистрирован: 28 окт 2017, 21:30

Всем добрый день!
RouterBOARD 750G r3, Version 6.36.1 (stable)
Подскажите, если кто знает, почему не работает правило фаервола для локальной сети.
В сети 192.168.23.0/28 есть устройство (точка доступа wi-fi) с адресом 192.168.23.2, к которому я хочу запретить доступ на порт 80 из всей сети.
Создал в IP->Firewall правило:
chain=forward action=drop protocol=tcp src-address=192.168.23.0/28 dst-address=192.168.23.2 dst-port=80 log=no log-prefix=""
но оно не работает. Находится правило на самом верху.
При этом, если я так же точно запрещаю какой-нибудь внешний ресурс, например, адрес этого форума dst-address=217.107.219.12 dst-port=443, то правило прекрасно работает!
Не работает только для внутренней сети.
Никак не могу понять почему.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Нельзя запретить общаться двум хостам в рамках их маски сети!

Если проводить аллегорию: нельзя находясь вне комнаты, запретить двумя людям общаться, когда Вас там нет.
Поэтому выход только один: на самой точке (23.2) сделать запрет (если такое возможно). Роутер тут не поможет.

Или если хотите всё же на роутере это сделать, выделите точку 23.2 в другую подсеть,
скажем новый адрес будет уже 23.102 и уже всё, при маске /28 запрос на адрес 23.102 точно пойдёт
не напрямую, а уже через роутер, и при правильном написании запрещающего правила - сработает запрет.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Shpilly-Willy
Сообщения: 2
Зарегистрирован: 28 окт 2017, 21:30

Спасибо!
Теперь всё ясно.


Ответить