Разрешить доступ только в интернет



  • Добрый день! Возможно, вопрос глупый и я недосмотрел что-то в мануале.
    Допустим у меня несколько локальных подсетей (LAN, OPT1, OPT2…) и доступ к интернету через интерфейс WAN.
    Мне нужно дать доступ во внешнюю сеть из подсети OPT2, допустим по протоколу HTTP; но при этом не разрешать доступ в другие локальные подсети (LAN, OPT1). Как это сделать одним правилом?)
    Если в поле destination выбираем any, то доступ во внешнюю сеть есть, но также есть доступ и во все локальные подсети. Если выбирать wan net, то доступ в интернет работать не будет (об этом как раз в справке где-то и написано, что это только wan-подсеть, а не весь интернет)
    Как быть? Запрещающие правила доступа к локальным подсетям сверху лепить каждый раз?



  • Поддерживаю вопрос, тоже недавно с этим столкнулся, пока правила запрещающие налепил и все….



  • Создайте aliass с перечислением локальных сетей.
    Создайте правило разрешающее всё, кроме алиаса.



  • @Scodezan:

    Создайте aliass с перечислением локальных сетей.
    Создайте правило разрешающее всё, кроме алиаса.

    Во блин. В голове как раз крутилось, что можно разрешить всё, кроме одной сети. Но про алиас из сетей не додумался. Спасибо!



  • Можно и без алиасов, создав разрешительное правило на интерфейсе и указав в Destination  - not адрес-подсети
    И тогда трафик будет бегать куда угодно кроме этой подсети.



  • @werter:

    Можно и без алиасов, создав разрешительное правило на интерфейсе и указав в Destination  - not адрес-подсети
    И тогда трафик будет бегать куда угодно кроме этой подсети.

    Дык в исходной задаче нужно исключить трафик минимум из двух подсетей.



  • Согласен, можно без алиаса, если подсети в одном из 3-х классов

    10.0.0.0 — 10.255.255.255
    172.16.0.0 — 172.31.255.255
    192.168.0.0 — 192.168.255.255
    

    Лично у меня вышеупомянутый алиас появился когда настраивал Outbound NAT, без него закладка смотрелась жутко.