[UncleD]

Как и ожидалось сам себе злой буратино. А именно, в первом посте не написал, что для правил блокирующих шару и рдп в качестве src.ip указал "Адрес этой станции", а надо то бы поставить "Любой". Хотя и странно, что сначала это и не мешало, но и я могу что-то путать.

Ну и возможно кому-то интересное. Для блокировки шары хватает правил TCP без UDP, кроме того, в логах светятся только правила по 445 и 139 портам, а 137 и 138 еще ниразу не отработали. Это конечно еще нужно помониторить, но пока что выходит, что можно обойтись двумя правилами вместо восьми.