Topics

Hallo Zusammen,

ich bin noch am Lernen und einarbeiten in OPNsense.

Ich hab hier im LAN einen Host, dem ich keinen WAN-Zugang gewähren möchte. VLAN ist hier nicht Thema.
Hab jetzt mehrere Möglichkeiten gefunden zu blocken - weis aber nicht, welche die richtige Regel und FW-konform ist.

1. Variante
Action: block oder reject
Interface: LAN
Protocol: any
Source: single host 192.168.2.87
Destination: any
Log: x
Description: Block Internet für 192.168.2.87

2. Variante
Action: block oder reject
Interface: LAN
Protocol: any
Source: single host 192.168.2.87
Destination invert: x
Destination: LAN net
Log: x
Description: Block Internet für 192.168.2.87

3. Variante
Aliase:
Name: aliase_private_ip_netze
Content: 10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
100.64.0.0/10
127.0.0.0/8
169.254.0.0/16

Rule:
Action: block oder reject
Interface: LAN
Protocol: any
Source: single host 192.168.2.87
Destination invert: x
Destination: alias_private_ip_netze
Log: x
Description: Block Internet für 192.168.2.87

Klar ist, egal welche Variante richtig ist, die Rule muss an erster Stelle, im Regelsatz, stehen.
Welche der drei Varianten ist Richtige und enspricht den FW rules?