控制DMZ到内部网段间数据传输方向的请教

auto

请教各位，有一个困扰，当用ros建立DMZ区后，DMZ区中的IP与内网中的IP可以互访，故入侵者可以通过DMZ区的IP做跳板进入内网，所以并没有达到DMZ的缓冲区目的。
如果能控制数据的方向，如只允许方向为源地址为内网IP到DMZ区的IP的数据包，而不允许方向为源地址DMZ区的IP到内网IP的数据包，即可解决这个问题。我记得用ISA的时候可以控制数据包的方向，ROS的话我看了很多资料好像没有，我也按允许源地址到目标地址、限制目标地址到源地址的方法测试过，发现不行，限制目标地址到源地址的做法会drop掉目标地址回复源地址的数据包。

各位有没有相关的资料，或ROS根本就有这个功能而我没有发现，请回贴给我！谢谢谢谢！

auto

做不到么？自己顶一下！