NAT loopback открывает доступ к приложениям на роутере, несмотря на правила фаерволла

[M V]

Помогите, пожалуйста, понять, как закрыть дыру. (Надеюсь, что это не фича...)

На кинетике настроен "Protected" интерфейс для IOT.
NAT выключен, nat loopback выключен, создано статическое правило:

ip static IOT ISP

Так же существует правило, которое разрешает NAT пакетов из подсети за VPN туннелем

ip static 192.168.255.0 255.255.255.0 ISP

Проблема в том, что на любые пакеты из IOT (или другой Protected или Private сети), отвечает сам кинетик, независимо от настроек фаервола (я не смог заблокировать подключения, при том, что стоит deny IP any to {RFC_1918, 127/8} на интерфейсе IOT. На WAN IP не могу такое правило создать, т.к. он динамический. Соответственно, если я, напимер, подключаюсь к любому IP из подсети из static правила (даже несуществующему), на порт какого-нибудь приложения, которое есть на кинетике (например SSH или HTTP), то отвечает кинетик:

user@debian:~$ curl 192.168.255.10:65080
<html>
<head><title>403 Forbidden</title></head>
<body>
<center><h1>403 Forbidden</h1></center>
<hr><center>Web server</center>
</body>
</html>
user@debian:~$ curl 192.168.255.123:65080
<html>
<head><title>403 Forbidden</title></head>
<body>
<center><h1>403 Forbidden</h1></center>
<hr><center>Web server</center>
</body>
</html>
user@debian:~$ curl 192.168.255.111:65080
<html>
<head><title>403 Forbidden</title></head>
<body>
<center><h1>403 Forbidden</h1></center>
<hr><center>Web server</center>
</body>
</html>

(это отвечает веб-морда кинетика при запросе к любому IP из "static" сети, например..)

Цитата из мануала:

protected интерфейсы не имеют доступа к устройству и другим private/protected подсетям, но они имеют доступ к public
интерфейсам и интернету. Устройство обеспечивает защищенным сегментам только доступ к службам DHCP и DNS.

Это явно не работает..

Похоже, что nat loopback включен по-умолчанию для всех удаленных static подсетей и я не нашел способа его выключить.

Edited September 12 by M V