ja mam zablokowany cały ruch z i do świata, po vpn bez problemu mam dostęp. serwer ntp mam na routerze i jego ip wpisane w ustawieniach na każdej kamerze. działa bez problemu.

Dom : router https://i.imgur.com/IuB6Zwy.png | TP-LINK T1700G-28TQ |Zyxel XGS-1210-12 | 6x Ruckus r310 unleashed  + Ruckus icx7150-c12p | Truenas scale 124TB 25Gb| Xpenology 12TB | apc smart ups 750 lcd 100Mb/s - 25Gb/s
Podróżne : GL.Inet MT3000  +1TB hdd
Działka : rb260gs 1j wdm 1Gb+ ruckus r310 + nb m5 + kilka kamer ip  + panel 285Wp + lifepo4 12v 60Ah .

Obudzę stary temat, udało mi się zablokować cały ruch na zewnątrz wpisałem własne reguły w firewall

iptables -I FORWARD 1 -m mac --mac-source x:mac kamery:x -j REJECT

Widzę kamerę po LAN ale gdy łączę się z zewnątrz przez VPN WG do routera nie mogę połączyć się z kamerą może trzeba dodać do reguły port z VPN ? Może ktoś mi taką regułę napisać, mój port VPN to 8902

Ok super a tak głęboko to nie znam się na tych regułach zrobiłem jak napisałeś mam dostęp do kamery ale kamera nawiązuje połączenie z Amazonem widzę na statystykach a tego chce zablokować

OK. Nie miej urazy do mnie za wstawkę z "PS.", chciałem Ci tylko doradzić jak pisać tak, żeby wyglądało bardziej "profesjonalnie".
Co do reguły, to nie pisałem, żebyś całkowicie usunął FORWARD bo myślałem, że się domyślisz czytając post @ambrozy5 który jest 2 linijki wyżej:
https://eko.one.pl/forum/viewtopic.php? … 96#p221996

Blokując TYLKO po mac-source wycinasz wszystko. Zablokowałeś również FORWARD do tunelu, a można przecież zablokować FORWARD do wszystkiego oprócz tunelu
Są jeszcze do wykorzystania takie opcje jak: -i oraz -o, -s oraz -d do wyboru do koloru, bez pomijania opcji --mac-source, ale taka reguła musi być np. na ACCEPT i wtedy sprawdzi nie tylko źródłowy mac adres, ale również do jakiego interfejsu będzie chciał wyjść i wypuści go tylko tam gdzie będzie miał zgodę.

Amazon nie wejdzie Ci przez tunel, no chyba żeby.....

Metody są różne na takie konfiguracje.

1. Niektórzy robią dodatkową oddzielną sieć dla kamer np."lan_cam" i wyłączają forward (w zasadzie w ogóle go nie wpisują w /etc/config/firewall ) między "lan_cam" i "wan" ale zostawiają forward między (ważne strzałki):
"wg" <-> "lan_cam"
"wg" <-> "lan"
"lan" <-> "lan_cam"
"lan"  -> "wan"
po to, żeby będąc podłączonym np. laptopem lub smartfonami do tego routera do sieci "lan" móc wychodzić na świat i jednocześnie łączyć się lokalnie z kamerami z tej drugiej puli adresów.
Konfig WG też musi być odpowiednio przygotowany.

2. A jeżeli chcesz zrobić podobnie do @ambrozy5 i mieć kamerę w strefie "lan" to:
a) usuwasz forward między "lan" i "wan"
b) zezwalasz na forward między: "wg" <-> "lan"
c) ustawiasz na routerze serwer ntp
d) wpisujesz w kamerach IP routera jako serwer ntp

3. a co do Twojej reguły i własnego sposobu na zablokowanie ruchu z kamery za pomocą komendy to może sprawdź to:

-o wg0 ----> to jest interfejs wyjściowy (out) czyli interfejs tunelu
! -----> wykrzyknik przed -o neguje ten interfejs, czyli "wszystkie za wyjątkiem wg0"
-j DROP ----> wiadomo
możesz wtedy mieć forward między "lan" i "wan", ponieważ ta pierwsza reguła sprawi że nastąpi dopasowanie źródłowego mac adresu kamery i jeżeli pakiet z adresem docelowym np. Amazona będzie chciał wyjść interfejsem "wan" np. eth1 to zostanie odrzucony.
Warunek. Tunel nie może być wyjściem na świat dla routera, czyli domyślna trasa nie może być kierowana na tunel.

... ale chyba kamera nie wychodzi na świat?

Jeżeli myślałeś że regułą na routerze zmusisz kamerę żeby siedziała cicho i w ogóle nic nie puszczała nawet po sieci LAN to ... tak nie działa.

Połączenia w sieci LAN będą, ponieważ kamera pyta DNSa a więc wysyła coś na bramę czyli router. Czasem router jej odpowie że adres amazon.pl to A.B.C.D.
Kamera uszykuje połączenie na adres docelowy A.B.C.D który musi wyjść przez WAN routera i wtedy reguła powinna zablokować taki FORWARD na świat.

Zależy ile masz tych kamer i innych rzeczy. Jak sporo to opłaca się robić osobną sieć.
Ale w tamtej sieci też będzie ruch po "lan_cam" bo hostom jak ludziom, gęby nie zamkniesz
Chyba że wejdziesz do konsoli kamery i tam ustawisz w jej własnym firewallu, żeby nic nie puszczała na OUTPUT oprócz "wyjątków"

kamera jak kamera. Praca w chmurze dobra rzecz, bo nie trzeba mieć publicznego IP żeby oglądać pokoje czy podwórko.
Ale czasem ma to swoje wady bo chińczyk też ogląda co się robi

A może ona ma interfejs WEBowy na innym porcie np. 192.168.1.101:81 i nie trzeba przez program hikvision ?
A możę sprawdź jak wygląda ścieżka strumienia rtsp i wołaj obraz po rtsp://192.168.1.101/abcdefgh ?

Ty masz ten sprzęt, to poszukaj takich informacji