Я решил укрепить мою внутреннюю сеть и начал работу по сегментированию определенных устройств за новым VLAN. Я сделал это, создав новый VLAN 65 под названием Self Hosted и переместив его в новую зону "Self Hosted", которая создает правило Block All по умолчанию. Отмечу, что VLAN был настроен без включения Isolation, я полагаюсь на зону брандмауэра для блокировки трафика. Я настроил тестовый хост в сети и отметил VLAN на UDM Pro, к которому он подключен, новым VLAN в качестве VLAN по умолчанию. Идея заключалась в том, чтобы постепенно добавлять правила для разрешения внутренней сети для связи с VLAN Self Hosted по мере необходимости. Я начал с добавления базового правила разрешения ICMP-трафика, чтобы я мог пинговать хосты в этом подсети, что работало без проблем. Однако, когда я добавил некоторые правила для тестового устройства (TCP-порты 80, 443 и 22), хосты из VLAN по умолчанию не могут достучаться до тестового хоста, и запуск nmap показывает, что трафик фильтруется. Чтобы проверить, я временно добавил правило Allow All выше правила Block All, и это, казалось, сняло ограничения и позволило мне подключиться к тестовому хосту. Я не совсем уверен, чего мне не хватает, что вызывает фильтрацию трафика. Я даже удалил новую зону и попытался настроить правила брандмауэра в зоне Internal, начиная с правила Block All, но наблюдалось то же поведение.

Вот вывод моего тестирования и скриншоты сетей и матрицы зон/правил.

ping 192.168.65.176

PING 192.168.65.176 (192.168.65.176): 56 data bytes
64 bytes from 192.168.65.176: icmp_seq=0 ttl=63 time=2.330 ms
64 bytes from 192.168.65.176: icmp_seq=1 ttl=63 time=0.597 ms
64 bytes from 192.168.65.176: icmp_seq=2 ttl=63 time=0.669 ms

nmap -p 22 192.168.65.176
Password:
Nmap scan report for 192.168.65.176
Host is up (0.0029s latency).

PORT STATE SERVICE
22/tcp filtered ssh

Nmap done: 1 IP address (1 host up) scanned in 0.76 seconds