Alessandro9791 ha scritto:credo tu abbia ragione il traffico le in input sono già chiuse a me serve bloccare le porte dalla 40000 in su verso la wan, della sola vlan2 che e sul bridge
Riassumo per essere sicuri che ci siamo capiti:
Vuoi che gli utenti LAN di una specifica subnet/vlan non possano raggiungere indirizzi esterni su porte non standard
Se è così allora devi aggiungere delle regole di FILTER - chain FORWARD
Puoi ragionare in logica inclusiva o esclusiva
Inclusiva: elenchi una per una le porte o range di porte che vuoi bloccare (nel tuo caso dst-port=40000-65535)
Esclusiva: elenchi le porte consentite e in calce a tutto metti una action DROP su tutto il resto (ad esempio ACCEPT su porte 80,443,53, ecc ecc e poi in calce una DROP generica)
Tutte queste regole devono avere src = la vlan/subnet da limitare; dst non specificare nulla; out-interface = la tua WAN