добрый день

juniper srx 240
пытаюсь запретить с сервера ходить в интернет:

схема:

интернет-----(ge-0/0/0 | ge-0/0/1)-------server

создаю запрещающее правило:

term server1 {
            from {
                source-address {
                    X.X.X.X/32;
                }
                destination-port [ 80 443 ];
            }
            then {
                discard;
            }

и оно не работает!

в какую сторону копать?

ps: filter подключен к интерфейсу ge-0/0/0, правило первое в списке, другие запрещающие и разрешающие правила работают...

• juniper packet mode -запрещающее правило,anonymous, 19:07 , 06-Окт-16
  • juniper packet mode -запрещающее правило,tester0, 21:00 , 06-Окт-16
    • juniper packet mode -запрещающее правило,anonymous, 22:27 , 06-Окт-16
      • juniper packet mode -запрещающее правило,tester0, 10:45 , 07-Окт-16
        • juniper packet mode -запрещающее правило,anonymous, 11:58 , 07-Окт-16
          • juniper packet mode -запрещающее правило,tester0, 14:40 , 07-Окт-16

sh conf int ge-0/0/0
sh conf int ge-0/0/1

show interfaces ge-0/0/0
vlan-tagging;
unit 437 {
    vlan-id 437;
    family inet {
        filter {
            input local_acl1;
        }
        address Z.Z.Z.Z/29;
    }
}

show interfaces ge-0/0/1
vlan-tagging;
unit 0 {
    vlan-id 1437;
    family inet {
        address A.A.A.A/27;
        address B.B.B.1/26;   <----directly connected to server
        address C.C.C.C/24;
    }
}

Вы ждёте пакет от своего сервака как входящий на порту с интернетом.

> Вы ждёте пакет от своего сервака как входящий на порту с интернетом.

это надо делать на ge-0/0/1  ?

или как правильно?

Ну да, или на ge-0/0/1, или на том же порту 0/0/0 поменять фильтр input на output.

все получилось, спасибо!