настраиваем сетевой экран правильно. Как?

[Ahamemnon]

Коллеги, здравствуйте. Помогите разобраться с настройкой политики сетевого экрана KES 11.5

Задача от бизнеса следующая: есть конечное множество подсетей вида 192.168.х.х. 

Нам нужно, чтобы хосты из определенной группы администрирования  беспрепятственно взаимодействовали с некоторым подмножеством данных подсетей.

Что я сделал:

В разделе сети объявил подсети 192.168.1.0/24 и 192.168.52.0/24 - Доверенными. Сеть 0.0.0.0/0 - Публичной.

Далее задал правила - как на скрине, применил политику. Подключился к хосту по рдп (из доверенной подсети), пинганул яндекс - пинг есть. 

А по моей логике - приоритет у того правила, что выше - его быть не должно, пинг может быть только в доверенных подсетях. 

Что я делаю не так? 

  

[oit]

Ну так и есть: правила работают сверху вниз.

Покажите правила на скринах

[Ahamemnon]

показываю. 

[oit]

А зачем протокол TCP указали?

Пинги - это ICMP.

Попробуйте протокол убрать - напишите результат.

[Ahamemnon]

О! Получилось.

Вопрос - правильно ли я понимаю, что Сетевые пакетные правила имеют приоритет над Сетевыми правилами программ, и, таким образом, хосты из группы, где работает эта политика, будут взаимодействовать только с теми подсетями, что я объявлю в политике доверенными?  

[oit]

Это же два разных компонента..

Правда в СЭ можно указывать - по правилам программы.