Для начала я не знаю, правильно ли я задаю этот вопрос, но поскольку serverFault определяется какДля системных и сетевых администраторов, я попробую.
У меня есть брандмауэр (Зиволл 110). И я хочу запретить доступ к определенному ресурсу (в локальной сети), если локальный IP-адрес принадлежит определенному диапазону (в той же локальной сети).
Поэтому я зашел в Конфигурация > Политика безопасности > Управление политиками и добавил новое правило.
FROM : LAN
TO : LAN
SOURCE : IP_RANGE(192.168.1.50 - 192.168.1.100)
DESTINATION : IP ADDRESS (192.168.1.3)
SERVICE : ANY
USER : ANY
SCHEDULE : NONE
ACTION : DENY
LOG : LOG
И пробовал с машины в диапазоне получить доступ 192.168.1.3и это возможно. Я также пробовал заменить LANна ANY, та же проблема. И журнал даже не создается.
Единственное, что работает, это блокировка всего доступа из этого конкретного диапазона. Поэтому, когда я ставлю ANYвезде, кроме источника. Машина не имеет доступа к WAN, но все еще имеет доступ ко всему в LAN...
Я заметил, что эта лицензия не активирована.
Либо этот брандмауэр блокирует только доступ к WAN, либо проблема в неактивированной лицензии.
Может ли кто-то это подтвердить? Или я просто что-то упускаю?
решение1
В большинстве сетей внутренний трафик локальной сети не маршрутизируется через маршрутизатор/брандмауэр, клиенты взаимодействуют друг с другом напрямую. Поэтому, если вы хотите запретить доступ к 192.168.1.3, вам следует сделать это на 192.168.1.3 или убедиться, что трафик маршрутизируется через брандмауэр (если задействованы коммутаторы и т. д.) до того, как правила брандмауэра смогут применяться.
UTM означает «Unified Threat Management» (унифицированное управление угрозами), что включает в себя защиту от фишинга, централизацию конфигурации и т. д. и является дополнительной функцией, которая вам не нужна для вашей задачи. То, что вы хотите сделать, это простое правило на основе IP, оно не имеет ничего общего с лицензией.
Короче говоря: ваш трафик не фильтруется, поскольку он никогда не проходит через брандмауэр.