OPNsense: blockera en IP-adress från internetåtkomst

Det är lite ologiskt att du kan ange en host adress med en nätmask och den plockar hela nätet. Borde bara gå att ange nät adresser om du har en nätmask annat än /32, så prova att ändra din /24 till /32 i regeln så funkar det.
Testa precis här hemma själv

Det är en smaksak, men om brandväggen har stöd för brandväggsregler baserade på MAC-adress så kan man använda det i stället. Det funkar på iptables och nftables under Linux och jag tycker det borde vara möjligt även på FreeBSD/OPNSense. Baserar man regeln på IP så blir man beroende av att en andra regel finns för att tilldela en viss IP till viss MAC, så MAC kommer ändå i spel. Om TV:n får för sig att börja slumpa fram MAC-adress vid boot (ur locally administered-rangen) så är man körd oavsett.

Om det skulle vara så att tv ändrar macaddress så får kan du sätta upp ett specifikt ssid och subnät säg 192.168.2.0/24 (som ett exempel) som du kopplar upp tv:n på. Därefter sätter du först upp en regel för vad det subnät får nå, säg 192.168.0.0/24. Därefter sätter du upp en regel där du blockerar detta subnät, från att nå internet(0.0.0.0/0.)

Fältet heter "Source", så det är inte så konstigt att man kan ange nätmask där

Absolut, men att köpa en host-adress med en nätmask och sen matcha hela nätet är lite konstigt....
Rätt många verktyg varnar om man gör den tankemissen.

Jag antar att det går att specificera gateway i brandväggsregler precis som i pfSense, isåfall kan du också göra en brandväggsregel som säger att din TV:s Ip-adress inte får går ut genom din/gateway(s).

Såhär ser en regel ut i min pfSense som förhindrar att klienter som som tillhör ailaset AzireVPN_SE kommer ut genom WAN Gateway:

Om du har action block kommer de inte gå ut genom någonting alls, då borde det sista markerade valet inte spela någon roll.

Hmm, det funkar iallafall för mig, klienterna kommer ut genom VPN-Gateway som är specifierat i annan brandväggsregel?

menar du "köra"?. Inte alls konstigt, hans subnät är antagligen en /24, så blockar han /24 så blockas hela subnätet, väldigt logiskt.

OPNSense är inte för vanliga användare, de varnar inte om du gör något som avancerade användare skulle kunna tänka sig att göra.

Så kan det vara, om det blir pass-regeln som matchar. menade bara att gateway är överflödigt i just den här regeln, eftersom den inte släpper igenom något.

Hmm, ok. Så regelns alla vilkor läses alltså inte in innan det beslutas om vad som ska göras när man har block som action, det har jag aldrig tänkt på.

gw är inget villkor som matchas mot, det är ett argument som berättar att:

om ett paket matchar och skapar ett state från den här regeln, ska det och alla efterföljande paket som hör till samma anslutning skickas genom en specifik gateway och inte enligt standard routingtabell på opnsense-maskinen.

Användbart om du har flera wan, till exempel, och vill styra vilka enheter som använder vilken.

Men det har ingen effekt för block-regler, eftersom de inte skapar något state.

- Skapa en ny regel & tillåt all trafik inom ditt lokala nätverk(för din enhet).
- Skapa sedan en block rule för utgående trafik med "source adress" för din enhet.

Rangordna sedan reglerna korrekt i listan för regler.

Allowregeln skall ligga före block.

Regeln som Du fick i första träffen borde fungera om Du anger /32.

Men om det går(går på pfSense från stenåldern): välj istället Single host och skriv in IP-adressen på TV:n utan filter(= utan mask).

Då får man sätta TV:n på ett eget VLAN och filtrera hela nätet.

Det låter ju faktiskt logiskt.