Правило брандмауэра для запрета доступа из диапазона IP-адресов к определенному устройству

Question

Правило брандмауэра для запрета доступа из диапазона IP-адресов к определенному устройству

Для начала я действительно не знаю, является ли это место правильным для этого вопроса, но поскольку serverFault определяется как Для системных и сетевых администраторов, я сделаю это.

У меня есть брандмауэр ( Zywall 110). И я хочу запретить доступ к определенному ресурсу (в локальной сети), если локальный IP идет из определенного диапазона (в той же локальной сети).

Итак, я зашел в конфигурацию> Политика безопасности> Контроль политик и добавил новое правило

FROM : LAN
TO : LAN
SOURCE : IP_RANGE(192.168.1.50 - 192.168.1.100)
DESTINATION : IP ADDRESS (192.168.1.3)
SERVICE : ANY
USER : ANY
SCHEDULE : NONE
ACTION : DENY
LOG : LOG

И пробовал с машины в диапазоне доступа 192.168.1.3 и это возможно. Я тоже пытался заменить LAN от ANY, та же проблема. И журнал даже не создан.

Единственное, что работает, это блокирует весь доступ из этого конкретного диапазона. Поэтому, когда я ставлю ANY везде, кроме источника. Машина не имеет доступа к глобальной сети, но все равно имеет доступ ко всему в локальной сети...

Я заметил, что эта лицензия не активна

Либо этот брандмауэр работает только для блокировки доступа к глобальной сети, либо это проблема неактивированной лицензии.

Кто-нибудь может это подтвердить? Или я просто что-то упустил?

0

firewall zyxel zywall

Источник

Raccoon 15 мар '18 в 11:43

1 ответ

Решение

Другие вопросы по тегам firewall zyxel zywall

Broco 15 мар '18 в 12:03 2018-03-15 12:03 · Accepted Answer · 2018-03-15 12:03

В большинстве сетей трафик внутренней локальной сети не маршрутизируется через маршрутизатор / брандмауэр, клиенты общаются друг с другом напрямую. Поэтому, если вы хотите запретить доступ к 192.168.1.3, вы должны сделать это на 192.168.1.3 или убедиться, что трафик направляется через брандмауэр (если задействованы коммутаторы и т. Д.), Прежде чем применять правила брандмауэра.

UTM означает "Унифицированное управление угрозами", которое включает защиту от фишинга, централизацию конфигурации и т. Д. И является дополнительной функцией, которая вам не нужна для вашей задачи. То, что вы хотите сделать, это простое правило на основе IP, оно не имеет ничего общего с лицензией.

Вкратце: ваш трафик не фильтруется, потому что он никогда не проходит через брандмауэр.