Доброе время суток.
Проблема следующая.
Одной организации давал доступ к своей сети через PPTP. Потом удалил юзера, под которым они ходили. В результате раз 50 в минуту в логах вижу попытку идентифицироваться по PPTP по удаленному юзеру.

Решил полностью отрубить этот IP.
Что сделано.
Добавлен адрес BL_IP1 = внешнему IP, который хочу отключить.
Созданы правила:
1.
Имя: Drop_from_IP
Action: Drop
Services: all_tcpudpcmp
Source: Interface - any; Network - BL_IP1
Destination: Interface - any; Network - all_nets

2.
Имя: Drop_To_IP
Action: Drop
Services: all_tcpudpcmp
Source: Interface - any; Network - all_nets
Destination: Interface - any; Network - BL_IP1

Переместил правила на самый верх.
В результате в логах вижу все те же попытки соединения по PPTP.

Где что не так в правилах написал?

Destination: Interface - core; Network - Wan_ip
А второе правило вообще удалите.

Сделал
Эффект тот же

ну тогда покажите скрин лога и скрин правила.

Понятно.
- у вас используется правило PPTP before rules, которое по понятным причинам работает до любых правил из IPrules., чтобы вы там не ограничивали.
- Вариант такой: отключите в настроках pptp сервера (Advanced settings ) - PPTP before rules , и создайте в ручную правило разрешающее подключатся по pptp на wan1 с любых адресов . Затем уже выше него поставиьте ваше блокирующее.

Спасибо, действительно все заработало. Не знал об этом нюансе.
Но вот теперь не могу сообразить, как настроить правила для PPTP сервера. Поэксперементировал - отбивает пакеты, правила не отрабатывают.
Вот конечный результат (правила 3 и 4)

Спасибо, разобрался

Кроме ручного запрещения/разрешения доступа к РРТР серверу можно и access rules использовать...

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Ваше 3е правило разрешило весь трафик к внешнему интерфейсу WAN, что не есть правильно. вместо all_tcp... выберите там pptp_suite. и Старайтесь all_service\all_tcpudp использовать обдуманно.

так же как правильно заметил danilovav вы можете вопользоваться Access rules, он действительно будет блокировать удаленный хост даже с галкой pptp before rules.

Я именно так и сделал в результате (всмысле PPTP_suite). All_* пользуюсь осторожно, просто это был результат экспериментов и правило не работало даже с All_tcpudpcmp. А ошибка была в другом. Надо было сделать разрешение для всех пакетов из wan на pptp-трафик:



Если не прав - поправьте.
И большое спасибо за ответы.

Вернул все назад и настроил Access Rules. На мой взгляд самый простой и наглядный вариант. Спасибо, danilovav