[SOLUCIONADO] Duda sobre regla de DMZ a Internet sin pasar por toda la LAN

_neok

Hola a todos!
Tengo un equipo (antispam) en mi DMZ, expuesto a internet con un NAT en una de mis WAN.
Tengo una regla funcionando que le permite comunicarse con dos IP de mi LAN y nada más. Hasta aquí todo bien.
Ahora bien, necesito que ese equipo pueda conectarse a internet, pero no al resto de mi LAN.
Si armo una regla de DMZ to any se conecta a internet pero también a la LAN completa.
Cómo y dónde me recomiendan armar la/s reglas para que se comunique a internet y solo a las IP de mi LAN que yo le indique?
Muchas gracias por cualquier pista!
Saludos cordiales

Gabriel

ptt

Crea una Regla Bloqueando el trafico hacia  LAN Net, y luego la regla pass con destino "any"

j.sejo1

Adicional a la Regla que dice ptt.

Para que lo tengas en cuenta, en pfsense las reglas son de permiso en la interfaz.

Me explico:  Si quieres algo que vaya de un punto A a un Punto B,  debes hacerlo (permitirlo) en la Interfaz A.

Si quieres que algo de B no llegue al destino A,  simplemente en la interfaz B no lo dejas salir.

Incluso no declarar reglas es no permitir el acceso.  Por lo que un Deny ALL al final, es solo para reafirmar.

Si en mi Lan solo tengo que todo lo que vaya a ICMP sea permitido. sea en si lo unico permitido. Por lo que un DENY ALL al final solo redundaría y seria util para los Log únicamente.  Asi las trabajo yo y me ha ido bien.

_neok

@ptt:

Crea una Regla Bloqueando el trafico hacia  LAN Net, y luego la regla pass con destino "any"

Gracias! Mañana lo pruebo y les comento.
Saludos!

_neok

@j.sejo1:

Adicional a la Regla que dice ptt.

Para que lo tengas en cuenta, en pfsense las reglas son de permiso en la interfaz.

Me explico:  Si quieres algo que vaya de un punto A a un Punto B,  debes hacerlo (permitirlo) en la Interfaz A.

Si quieres que algo de B no llegue al destino A,  simplemente en la interfaz B no lo dejas salir.

Incluso no declarar reglas es no permitir el acceso.  Por lo que un Deny ALL al final, es solo para reafirmar.

Si en mi Lan solo tengo que todo lo que vaya a ICMP sea permitido. sea en si lo unico permitido. Por lo que un DENY ALL al final solo redundaría y seria util para los Log únicamente.  Asi las trabajo yo y me ha ido bien.

Gracias j.sejo1 !
Si lo de permisos en las interfaces lo sabía, igual vale la aclaración para la comunidad.
Saludos!

_neok

@ptt:

Crea una Regla Bloqueando el trafico hacia  LAN Net, y luego la regla pass con destino "any"

Solucionado como dice ptt.