Para empezar, no sé realmente si es el lugar correcto para esta pregunta, pero como serverFault se define comoPara administradores de sistemas y redes, Lo intentaré.
Tengo un cortafuegos (Zywall 110). Y quiero negar el acceso a un recurso específico (en LAN) si la IP local proviene de un rango específico (en la misma LAN).
Entonces fui a configuración > Política de seguridad > Control de políticas y agregué una nueva regla.
FROM : LAN
TO : LAN
SOURCE : IP_RANGE(192.168.1.50 - 192.168.1.100)
DESTINATION : IP ADDRESS (192.168.1.3)
SERVICE : ANY
USER : ANY
SCHEDULE : NONE
ACTION : DENY
LOG : LOG
Y probé desde una máquina del alcance para acceder 192.168.1.3
y es posible. También intenté reemplazarlo LAN
por ANY
el mismo problema. Y el registro ni siquiera se crea.
Lo único que funciona es bloquear todo el acceso desde este rango específico. Entonces cuando puse ANY
en todas partes excepto en la fuente. La máquina no tiene acceso a la WAN pero aún tiene acceso a todo lo que hay en la LAN...
Noté que esta licencia no está activa
O este firewall solo funciona para bloquear el acceso WAN o es un problema de licencia no activada.
Puede alguien confirmar esto? ¿O simplemente me estoy perdiendo algo?
Respuesta1
En la mayoría de las redes, el tráfico LAN interno no se enruta a través del enrutador/firewall, los clientes se comunican entre sí directamente. Entonces, si desea denegar el acceso a 192.168.1.3, debe hacerlo en 192.168.1.3 o asegurarse de que el tráfico se enrute a través del firewall (si hay interruptores, etc. involucrados) antes de que se puedan aplicar las reglas del firewall.
UTM significa "Gestión unificada de amenazas", que implica protección contra phishing, centralización de la configuración, etc. y es una característica adicional que no necesita para su tarea. Lo que quiere hacer es una regla simple basada en IP, no tiene nada que ver con la licencia.
En resumen: su tráfico no se filtra porque nunca atraviesa el firewall.