Понял, не знал, что пинги шлюза обходят правило... Сейчас для меня это все довольно странно, нужно привыкать к логике здесь. Например, у меня есть виртуальная машина с адресом 192.168.250.140, и она может пинговать машину с адресом 192.168.250.56, и я ничего не могу с этим поделать. Я пробовал добавить политику в зону, где находится эта сеть, чтобы этот конкретный виртуальный девайс был заблокирован и не мог общаться ни с чем другим в той же зоне, но я все равно могу получить доступ ко всем общим ресурсам, пинговать, подключаться по SSH и т.д. Я понимаю, что могу поместить эту виртуальную машину в другой VLAN и в другую зону, но мне все равно интересно, почему так происходит. Политику межсетевого экрана на основе зон позволяет мне выбирать устройство по IP-адресу, MAC-адресу или имени и, якобы, решать, что оно может делать в той же зоне, независимо от того, находятся ли они в одном VLAN или нет… но увы, у меня не получается так. И не то чтобы мне помогало, что я относительно новенький в Unifi и в межсетевых экранах в целом.