chupasaurus

Поднять веб-сервис, который создаёт/удаляет временные правила (статья на Хабре, описание схемы есть в главе Port Knocking).

Почему, чтобы сделать простые и очевидные вещи, в данном случае — разрешить/запретить программе доступ в Сеть, надо обладать специальными знаниями?

Файрволл в ОС с настройками по-умолчанию работает в режиме обучения, где любая программа, стучащаяся в интернеты, спрашивает доступа. Видимо, вы из любителей отключать UAC и страдать.

1. Исходя из названия ДМЗ - зона без строгого контроля для внешнего траффика. С точки зрения наружнего МСЭ эта зона эквивалентна внешней сети, т.е. максимальная строгость. Поскольку ДМЗ и ЛВС защищать надо по-разному, то и указываются они отдельно.
2. Топология с одним МСЭ экраном для ДМЗ и ЛВС указана в вики (маршрутизатор с внешними каналами может и не фильтровать траффик вообще).

Перепроверьте ACL, указанный в access-group acl in interface inside. Возможно, у вас разрешается весь udp.

Работает для TCP: в iptables для нежелательных соединений вместо прописать -j REJECT --reject-with tcp-reset. Таким образом будет отличить закрытый и отфильтрованный порты почти невозможно (только по разнице в микросекундах, что с джиттером интернет-соединений не получится).