防火墙 – 阻止网络设备与LAN上的其他设备通信

我一直在使用防火墙/路由器分发Pfsense一段时间了,我一直试图弄清楚如何通过使用拒绝/拒绝LAN规则将LAN上的服务器与LAN上的其他计算机“隔离”.我尝试在Firewall-> rules-> LAN下添加规则,拒绝设备(我的手机,例如192.168.1.102)将任何TCP数据包发送到我的网络服务器192.168.1.105.由于某种原因,数据包设法得到了.奇怪的是,如果我指定路由器本身作为目的地,并阻止手机/电脑与它通话,它就可以工作.我用同一个子网上的无线笔记本电脑和无线电话进行了测试.

我的拓扑结构如下:

(internet)->(modem)->(pfsense)->(wireless router /w switch)->(wired devices)
                                            |
                                        (Wireless laptop/phone)
| == wifi
-> == wire

是否有可能无线路由器/交换机只是将数据包从我的手机中继到服务器并完全绕过防火墙(解释为什么我的规则不起作用)?如果是这样,我怎么能设置它以便所有LAN流量必须通过我的防火墙与网络上的任何其他计算机通信?

此处提供的网页界面图片为3 rep不会让我发布图片:(image

最佳答案
如果两个主机位于同一子网上,则流量没有理由通过路由器.您的规则永远不会被应用.这两个设备连接到交换机(或其他一些第2层网络硬件).主机A说“我希望此流量转到主机B的IP”,并且您的交换机显示“确定,已完成”.

更新:
如果VLAN是一个选项,请将每个主机放在单独的VLAN中.这样,您可以在它们之间强制执行路由规则,并实现所需的逻辑分离.

转载注明原文:防火墙 – 阻止网络设备与LAN上的其他设备通信 - 代码日志