@wzxjohn 当然是 10.开头的内网 IP

@Radeon 你别告诉我你 ping 的是外网 IP 啊。。。

@ZhangTingkuo 这个我知道。但是这个出站规则可以阻止我连自己的内网机器却不能阻止连腾讯的镜像，是什么原因

apt-get upgrade 用的是腾讯的镜像，走的是内流量。

腾讯云用的是内网的 DNS ，换成 114 之类的就行了

@Radeon “防火墙外”不就是受影响的意思吗。墙外，墙内两个词自己体会一下。

@BOYPT 都说了我的内网机器是受安全组规则影响的

@Radeon 那就是“内网机器”在策略防火墙规则外。

@wzxjohn
@realpg
@BOYPT
@lhbc
@smallfount
@wdlth

我反复测试了。首先我的内网机器都是一个帐号下的。如果出站规则是允许，就能互相 ping 通，如果出站规则是拒绝，就互相 ping 不通。其次，在出站规则是拒绝的时候，确实能连 IDC 内的腾讯的源，看来是做了一个特殊的隐藏规则

不同帐号内网本来就不通。源默认用腾讯云的内网镜像，不走外网。你修改的策略在出腾讯云的 NAT 层，你可以理解为在你家路由器上配的策略，不会影响任何内网流量。

你把 source.list 改成非腾讯的就不行了吧……

因为镜像在你的策略防火墙里面。

安全组是配置在公网 NAT 设备里的，跟你的服务器无关
你服务器的内网流量，不经过公网的 NAT 设备

@smallfount 问题是这个出站规则应该也把 IDC 内部的 IP 也屏蔽了才对啊

@wdlth 问题是内网也应该连不通才对啊。事实上，我是不能 ping 通其他的内网机器

因为 APT 的 source 在他们 IDC 里就有....

默认用的是内网的镜像