Bloquear comunicacion entre host y permitr unicamente a su gateway

[DELARSEC]

Buenas tardes a todos..

Queria ver si alguien de ustedes ha hecho lo siguiente y como lo han aplicado.


Actualmente lo que pretendo es en una empresa que tiene diferentes sucursales y sus conexiones redundantes son por medio de MPLS y VPN. Se tiene la comunicación sin problema entre todas desde cualquier parte que estés.

¡IDEA!
Pretendo  hacer el bloqueo de los equipos dentro de cada una de las sucursales, supongamos que un usuario de RH no debería responderle el ping y acceder por red a cualquier maquina de su sucursal y al resto (aplican excepciones como a soporte ellos si requieres acceder a todas las sucursales). Y que unicamente el equipo que tenga la comunicación exitosa sea su Gateway.

Todas las sucursales son de diferentes segmentos

Con esto pretendo asegurar que si un equipo se infecte, no se propague y poder aislarlo al momento de ser detectado.