pfsense：如何阻止一个客户端的互联网

通过转到防火墙 -> 规则 -> LAN 添加一个 LAN 防火墙规则以阻止该人的 IP：

注意： 图片的原始来源

并确保您的规则在默认的“允许所有人”规则之前；因为规则是自上而下按顺序处理的，直到找到匹配的规则。

我知道这是一个老问题，但它仍然适用于 pfSense 2.4

我建议使用别名将规则应用于多个主机。

不是 pfsense 人，但您需要的实际 PF 规则如下。

block in on <internal interface> from <static ip> to any
pass in on <internal interface> from <static ip> to <internal network>
pass out on <internal interface> from <static ip> to <internal network>

转到防火墙-> 规则页面，然后单击 LAN 选项卡。使用以下设置在顶部添加新规则：

Action: Block
Protocol: Any
Source: Single Host or Alias | <IP-Adress>

请记住，这将阻止单个 IP 地址。所以如果主机的IP改变了，它就可以再次访问互联网。

我尝试了无数种方法，但都没有奏效。但是有一个

(a)我首先设置了一个规则，允许（在本例中为 192.168.1.7）连接到我的 192.168.1.0 /24 局域网中的任何地方。所以这意味着防火墙->规则->编辑

1. 行动 --> 通过
2. 接口 --> 局域网地址
3. 家庭->（您选择）
4. 协议 --> 任何
5. SOURCE 单主机 ---> 192.168.1.7
6. 目的地 ---> 网络 192.168.1.0 /24

(b) 接下来，我在 Firewall-->Rules-->Edit 的层次结构下创建了一个阻止规则

1. 动作 --> 阻止
2. 接口--->局域网
3. 地址族--->（用户选择）
4. 协议 --> 任何
5. 来源单一主机或别名 ---> 192.168.1.7
6. 目的地 --> 任何

那行得通

真正令人困惑的是术语。也许有人可以解释这一点

(a) 如果我的内部 LAN 上有一个 IP 地址，那么为什么不阻止它访问 WAN（在我的路由器之外，我认为这将被视为 Internet）阻止该 IP 地址访问 Internet

（b）那么为什么阻止该 IP 地址访问 LAN（我想 NAT 后面的任何 IP 地址都在 LAN 上，并且 LAN 后面的这个网络中的任何 IP 都可以访问 Internet，除非它被阻止）阻止访问 Internet 的 IP。我想我刚刚回答了我自己的问题，因为接下来我做的是允许该 IP 地址访问本地网络 192.168.1.0 /24（以 CIDR 格式）

我会说 LAN、WAN 网络等术语需要对使用 pfSense 的新手进行一些澄清。什么是广域网，真的吗？为什么我不能阻止我的局域网 IP 地址访问广域网？为什么这不起作用？我想任何能回答这个问题的人都会帮助我和其他很多人，我猜

谢谢，招架

你也可以这样做，

操作 --> 通过接口 --> LAN 地址系列 -->（您选择）协议 --> Any SOURCE Single Host ---> 192.168.1.7 Destination (Invert) ---> WAN

最初的概念可能是违反直觉的，因为流量必须在操作系统可以控制数据包流的地方排队。从 Internet 到 LAN 上的主机（下载）的传入流量被整形，使 LAN 接口远离防火墙。同样，从 LAN 到 Internet 的流量（上传）在离开 WAN 时会受到影响。

如果有人仍在跟踪此...只想分享我对@Parry 的想法：

A. 对于良好的做法，您将包含一个 ALLOW 规则，因为您的意图是阻止访问（所以在您阻止（所有）您不希望它做的事情之前允许做什么）

B. 需要阻止规则是因为： 1. 默认的“LAN to Any”规则 = LAN 可以在任何地方获得的一切

 2. Blocking 

“WAN 地址”表示仅阻止对 Pfsense Wan 接口 IP 的访问 “WAN 网络”表示您的 WAN 接口从您的 ISP 所在的网络

这与互联网不同！

从技术上讲，这里应该只需要 1 个阻止规则来阻止它进入互联网。

action = block source = 192.168.1.7 Destination = !(RFC1918) 创建别名或 !(Lan_network) 内置

在同一子网 (LAN) 上通信的设备不会被防火墙过滤。