pfSense - Làm cách nào để chỉ cho phép lưu lượng truy cập vào internet đối với một phần máy chủ?

Tôi có các máy tính trên mạng của mình mà tôi muốn cho phép truy cập vào tài nguyên LAN - Tôi đã tạo bí danh bằng địa chỉ IP của chúng (LAN_WHITELIST). Đối với các thiết bị khác, tôi chỉ muốn truy cập Internet.

Vì vậy, tôi cũng đã tạo bí danh cho các mạng riêng: 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 - INTERNAL_NET.

Quy tắc của tôi trông như sau:

Tức là tôi chuyển LAN_WHITELIST sang INTERNAL_NET. Tôi không chặn LAN_WHITELIST tới INTERNAL_NET. Phần còn lại của các quy tắc là mặc định.

Ngay lập tức:

• các máy tính có LAN_WHITELIST có quyền truy cập Internet và các máy chủ LAN. Điều này là ổn.
• các máy tính bên ngoài LAN_WHITELIST không có quyền truy cập Internet, nhưng chúng có quyền truy cập vào các máy chủ LAN. Cái này sai.

Làm cách nào để sửa các quy tắc để thực hiện công việc này khi tôi cần?

CHỈNH SỬA: Tôi hiểu rằng tôi cần cấp quyền truy cập vào pfSense cho các máy chủ không phải LAN_WHITELIST, vì chúng nhận địa chỉ của nó là DNS (192.168.0.1). Vì vậy, bây giờ có vẻ như !LAN_WHITELIST có quyền truy cập Internet.

EDIT2: Có thể lưu lượng truy cập không đi qua bộ định tuyến, vì vậy tôi không thể chặn nó bằng các quy tắc tường lửa? Tất cả các máy chủ và máy chủ đều nằm trong cùng một mạng cục bộ.