Правила LAN In предназначены для управления трафиком, поступающим в брандмауэр от LAN-сетей. Назначение может быть другой LAN или WAN.Правила LAN Out используются для управления трафиком, покидающим брандмауэр и направляющимся в LAN-сеть. Источником может быть другая LAN-сеть, WAN или сам брандмауэр.Если вы хотите заблокировать трафик, уходящий к публичному DNS-серверу от LAN-клиента, вам нужно заблокировать его по мере поступления в шлюз из LAN (правило LAN In) или когда этот трафик покидает брандмауэр на пути к интернету (WAN Out).Если бы вы использовали правило LAN Out, это было бы достаточно близко, но неэффективно. Вы заблокировали бы ответ, не дав клиенту его получить, что означает, что запрос ушел, был обработан внешним DNS-сервером, а затем ответ был потерян. Лучше ловить это до того, как запрос покинет вашу сеть.При этом я думаю, что, возможно, ваш вопрос на самом деле таков: "Почему я должен использовать правило In вместо правила Out, если могу достичь того же результата?". Если вы к этому подводите, это хороший вопрос, и на него есть несколько ответов.Одна из причин — это эффективность. Правила In обрабатываются до того, как брандмауэр выполняет маршрутизацию пакета, а правила Out — после. Тратить время на маршрутизацию, чтобы потом отбросить пакет, не имеет смысла. Я никогда не измерял, насколько это дорого… Я просто понял, что это хорошая практика и в целом следовал ей.Еще одна причина — это то, что я хочу, чтобы правило применялось только к устройствам в моей LAN. Я не хочу, чтобы DNS-трафик самого шлюза фильтровался моими правилами. Одна из вещей, которые не охватываются правилами LAN In, заключается в том, что они не работают для блокировки исходящих DNS-запросов от VPN-клиентов. Если бы я хотел этого, мне пришлось бы применить некоторые правила WAN Out.Учитывая все это, новый зональный брандмауэр упрощает ситуацию. Вам просто нужно учитывать, откуда исходит трафик и куда он направляется (например, зонa Home в зону External).

Это текущие правила, которые я использую с PiHole. Группа портов DNS включает порты 53 и 853. Группа DNS-серверов содержит IP-адреса моего PiHole. Локальные сети — это стандартная группа RFC1918 (диапазоны адресов 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8). В дополнение к этому, у меня есть правила Destination NAT, которые перенаправляют DNS-запросы от всего, что находится в Home, IoT и Management, на мои PiHole для DNS... кроме самих PiHole. Это предотвращает зависание устройств, когда они пытаются отправить DNS-запрос на жестко заданный DNS-сервер. Они получают ответ от моего PiHole, нравится им это или нет.