Привет! Я пытался заблокировать трафик с моего NAS через WAN OUT, но это не сработало. Трафик всё равно выходит. Порт 443 UDP должен быть открыт для выхода с NAS наружу. Кто-нибудь может помочь?

Это сработает? Тебе нужен адрес назначения?

Недавно я ушёл с надёжного E3000 на прошивке tomato и полностью перешёл на оборудование UniFy. Теперь в доме везде отличный 5G WiFi с полной скоростью. Но это означало, что пришлось заново создавать VLANS и настраивать статические IP-адреса в контроллере.

Я создал следующие сети:
Home Lan (тип: Corporate), без VLAN, DHCP включён  
Guests (тип: Guest), VLAN30, DHCP включён  
Internet of Things (тип: Corporate), VLAN40, DHCP включён  
IP Cameras (тип: Corporate), VLAN20, DHCP включён

Чего хочу добиться:
Подключения из Home LAN разрешены к VLAN 20 и 40 (вы же хотите смотреть камеры, правда?).  
Между VLAN-ами нет связи, они не должны общаться друг с другом, с интернетом и с сетью Home LAN.

Для этого, благодаря этому форуму, я сделал такое в брандмауэре:  
Создал группу «AllvLANs» и включил в неё соответствующие IP-диапазоны (192.168.20.0/24, 192.168.40.0/24).  
Гостевая сеть не добавлена, так как у неё уже стоит тип Guest (192.168.30.0/24).

Дальше в Firewall «LAN IN» добавил 3 правила:  
2000 — разрешает Home LAN инициировать трафик к VLAN, но VLAN не может инициировать обратный трафик в Home LAN. (Accept -> Established & Related), источники и назначения оставлены пустыми.  
2001 — разрешает весь трафик из Home LAN в VLAN.  
2002 — сбрасывает весь трафик от AllvLANs в любой адрес.

Похоже, что работает отлично. Сейчас ищу способ заблокировать 1 или 2 устройства из Home LAN от доступа к интернету, но пока не разобрался, как это сделать.

Это совсем другое дело. Это полностью заблокирует устройство в вашей сети. Эта тема как раз про блокировку доступа к интернету (например, для устройств, которые пытаются связаться с сервером, но при этом вы хотите, чтобы их можно было использовать локально).

Если хотите блокировать NFS-шары в определённое время, я бы настроил cron на сервере NFS, который будет менять список разрешённых устройств и перезапускать сервис NFS. Просто назначьте статические IP вашим клиентам, которых хотите блокировать.

Вот инструкция:

1. Создайте сетевую группу. Назовите её RFC1918.  
2. Добавьте в неё сети 10.0.0.0/8, 172.16.0.0/12 и 192.168.0.0/16.  
3. Создайте ещё одну сетевую группу для устройства, которое хотите заблокировать.  
4. Добавьте его статический IP с маской /32.  
5. Перейдите в LAN OUT.  
6. Создайте новое правило.  
7. Для действия выберите DROP.  
8. В разделе Source > Address / Port group выберите RFC1918.  
9. В разделе Destination > Address / Port group выберите группу, которую создали для заблокированного устройства.  
10. Сохраните правило.

[EDIT]: Это сработает только если устройство, которое вы хотите заблокировать, и LAN находятся в разных IP-диапазонах, например, разделены VLAN. Это связано с тем, что трафик в одном IP-диапазоне обрабатывается на канальном уровне (L2) коммутаторами, как и отметил @JasonJoel.

У меня дома есть сервер с статическим IP 192.168.1.2, который отдаёт медиа через протокол NFS. Я хочу заблокировать доступ к этому серверу с некоторых устройств в той же подсети ночью.

Из вашего сообщения я понимаю, что это невозможно, потому что трафик обрабатывает коммутатор?

У меня EdgeRouter-X, который тоже действует как коммутатор, но, как я понимаю, это всё равно не поможет. Можете подтвердить?

Кстати, в версии контроллера 5.5.2 и новее, кажется, правила WAN OUT работают. Это было бы более простым местом для установки правила блокировки доступа в Интернет для клиента, если не нужно ограничивать внутренний трафик или связь.