dopk писал(а):
Vladimir22 писал(а):
http://forum.dlink.ru/viewtopic.php?f=3&t=29666
со слов Серия DFL: Пример настройки PBR от пользователя YuriAM
О, спасибо большое, похоже это моя тема, пойду покурю, что пишут.
вернулся к вопросу, в прошлый раз времени не хватило разобраться.
Не работает даже публикация на основном интерфейсе, но недефолтном ip. Настроены ARP, NAT, SAT, ALLOW.
По логам DefaultRule дропает пакет, который мне нужен, при этом SRC interface = Wan1, а DST интерфейс пустой.
На основе инструкции YuriAM и лог делаю вывод: не хватает правила маршрутизации + таблица маршрутизации с направлением пактов на core (без них роутер не догадывается куда ему отправлять эти пакеты), а там уже произойдет ALLOW и SAT.
На cisco 881 для того же результата достаточно было одного правила для SAT (в моём случае, правда, правил было четыре, т.к. были настроены acl на обоих интерфейсах в оба направления). Кстати, в cisco в acl можно было сделать правило с reflect, в dlink вижу в firewall Goto и Return - надо будет изучить подробнее
Еще, возможно, NAT и ARP не обязательны - провести тест.
Отдельная таблица маршрутизации, возможно, тоже не обязательна. Кажется, что можно указать в основной таблице, что трафик для публикуемой ip отправлять на core (то есть обойтись без правил маршрутизации). Разница будет в том, что правило маршрутизации может выполняться для определенного сервиса, а маршрут в основной таблице будет применяться для всего трафика на данный адрес, что может быть удобнее в плане настройке других сервисов, но убирает дополнительную фильтрацию на входе, зато это может и чуть снизить нагрузку на устройство.
upd: 1. маршрут в основной таблице - работает
2. без NAT, кажется, тоже работает. С NAT с внешним адресом отличающимся от публикуемого тоже работает