Поздравляю с поиском проблемы! 😎 Дело в том, что в типичных файрволах роутеров ACL-полиси описываются как один исходный адрес, соответствующий одному целевому адресу. Если же у вас комбинация из 3 исходных адресов и 8 целевых, как вы сделали, то другим производителям нужно будет использовать 3 * 8 = 24 правила для реализации. Очевидно, что в интерфейсе UB есть логическая ошибка, из-за которой не удается корректно выполнить операцию 3 * 8. Это явная ошибка в дизайне UI и реализации алгоритма. Поскольку программа не может подтвердить, является ли математическая связь между вашими двумя исходными адресами "побитовой операцией И" или "побитовой операцией ИЛИ", а арифметическая связь между несколькими целевыми адресами также не отражена в UI в виде "побитовой операции И" или "побитовой операции ИЛИ". Возможно, я описал это немного сбивчиво, но надеюсь, вы понимаете, что в этом интерфейсе есть две серьезные ошибки и неоднозначности.

Я бы предложил реализовать это, используя базовый метод один-на-один, постепенно добавляя внутренние записи. Только так мы сможем понять, в чем проблема.

Это требование похоже на то, как будто хочешь установить забор у входа во двор, чтобы несколько непоседливых детей сидели в своих комнатах и учились, а не носились туда-сюда по разным комнатам и шумели.😅

Правильные правила брандмауэра применяются только к трафику, проходящему через брандмауэр/маршрутизатор. Если у вас есть сети уровня 3, вам придется ограничивать доступ через ACL-список.

Ты знаешь, заработает ли настройка сетевого объекта, если в качестве назначения использовать L3 + межсетевую сеть VLAN, а в качестве источника – что-то вроде DMZ/IoT? Я думаю о чем-то вроде этого: DMZ/IoT → межсетевое маршрутирование VLAN → L3 VLAN(ы).

Смотрю, как ACL, настроенные в веб-интерфейсе, транслируются в конфигурацию на коммутаторе, и это выглядит так, но я все еще не уверен, почему веб-интерфейс не дает мне создать больше правил. Может быть, коммутатор ограничен только 12 ACL-правилами?

# switch ACLswitch.acl.ip.1.name=BLOCK LAB 1 TO LAB 2 AND 3-1switch.acl.ip.1.action=denyswitch.acl.ip.1.type=ipswitch.acl.ip.1.src.ip=10.0.6.254/24switch.acl.ip.1.dst.ip=10.0.7.254/24switch.acl.ip.2.name=BLOCK LAB 1 TO LAB 2 AND 3-2switch.acl.ip.2.action=denyswitch.acl.ip.2.type=ipswitch.acl.ip.2.src.ip=10.0.6.254/24switch.acl.ip.2.dst.ip=10.0.8.254/24switch.acl.ip.3.name=BLOCK LAB 2 TO LAB 1 AND 2-1switch.acl.ip.3.action=denyswitch.acl.ip.3.type=ipswitch.acl.ip.3.src.ip=10.0.7.254/24switch.acl.ip.3.dst.ip=10.0.8.254/24switch.acl.ip.4.name=BLOCK LAB 2 TO LAB 1 AND 2-2switch.acl.ip.4.action=denyswitch.acl.ip.4.type=ipswitch.acl.ip.4.src.ip=10.0.7.254/24switch.acl.ip.4.dst.ip=10.0.6.254/24switch.acl.ip.5.name=BLOCK LAB 3 TO LAB 1 AND 2-1switch.acl.ip.5.action=denyswitch.acl.ip.5.type=ipswitch.acl.ip.5.src.ip=10.0.8.254/24switch.acl.ip.5.dst.ip=10.0.7.254/24switch.acl.ip.6.name=BLOCK LAB 3 TO LAB 1 AND 2-2switch.acl.ip.6.action=denyswitch.acl.ip.6.type=ipswitch.acl.ip.6.src.ip=10.0.8.254/24switch.acl.ip.6.dst.ip=10.0.6.254/24switch.acl.ip.7.name=BLOCK SWITCH L3 to UDM L3-1switch.acl.ip.7.action=denyswitch.acl.ip.7.type=ipswitch.acl.ip.7.src.ip=10.0.6.254/24switch.acl.ip.7.dst.ip=10.0.2.254/24switch.acl.ip.8.name=BLOCK SWITCH L3 to UDM L3-2switch.acl.ip.8.action=denyswitch.acl.ip.8.type=ipswitch.acl.ip.8.src.ip=10.0.6.254/24switch.acl.ip.8.dst.ip=10.0.3.254/24switch.acl.ip.9.name=BLOCK SWITCH L3 to UDM L3-3switch.acl.ip.9.action=denyswitch.acl.ip.9.type=ipswitch.acl.ip.9.src.ip=10.0.7.254/24switch.acl.ip.9.dst.ip=10.0.2.254/24switch.acl.ip.10.name=BLOCK SWITCH L3 to UDM L3-4switch.acl.ip.10.action=denyswitch.acl.ip.10.type=ipswitch.acl.ip.10.src.ip=10.0.7.254/24switch.acl.ip.10.dst.ip=10.0.3.254/24switch.acl.ip.11.name=BLOCK SWITCH L3 to UDM L3-5switch.acl.ip.11.action=denyswitch.acl.ip.11.type=ipswitch.acl.ip.11.src.ip=10.0.8.254/24switch.acl.ip.11.dst.ip=10.0.2.254/24switch.acl.ip.12.name=BLOCK SWITCH L3 to UDM L3-6switch.acl.ip.12.action=denyswitch.acl.ip.12.type=ipswitch.acl.ip.12.src.ip=10.0.8.254/24switch.acl.ip.12.dst.ip=10.0.3.254/24

Не пугайся, так как есть автоматические ограничения в интерфейсе, сделаем это вручную. 😉 Раз ты выяснил, что максимальный предел – 2 сегмента адреса назначения, твое первоначальное требование было 3 * 8, то есть комбинация из 3 сегмента адреса источника и 8 сегментов адреса назначения. Ты уже реализовал 3 * 2 из них, и добавление следующих трёх правил 3 * 2 должно пройти успешно.