Ситуация следующая, dmz под isp2. vlan настроить как dmz. Что проделал:
1. определил виртуальны интерфейс vlan5_like_dmz
2.Switch Management определил ему порт 5
3. настроил правила для того чтобы из сети на lan интерфейсе попасть в сеть vlan5 :
1) ssh Allow lan lannet vlan5_like_dmz vlan5-dmznet ssh
2) http_allow Allow lan lannet vlan5_like_dmz vlan5-dmznet http-all
3) smtp Allow lan lannet vlan5_like_dmz vlan5-dmznet mail-services
4) ping_inbound Allow vlan5_like_dmz vlan5-dmznet core lannet ping-inbound
5) ping_outbound Allow lan lannet vlan5_like_dmz vlan5-dmznet ping-outbound

Пинг машины в vlan5-dmznet есть, ssh работает. Не могу попасть на web интерфейс этой машины в сети vlan5-dmznet + не могу клиентом подцепится к mail серверу на этой машине.

Нужна помощь, что не так сделал

1.Пакету, надо знать не только как достичь цели, но и ещё как вернутся....
2 пакету надо разрешить возвращаться.....

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

По сути дела, почта и http - это TCP протокол как и ssh. Правила для них есть. Они должны прекрасно работать.

Попробуйте правила для них перенести выше ВСЕХ остальных IP правил и их папок.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

У меня вопрос:
При настройке dmz на физ. интерфейсе dmz, правила которые использую позволяют открыть web-ку. Так какое нужно указать правило чтобы из vlan5 пришел ответ на машину в lan-не . Если не сложно поясните.

По правде сказать, не знаю, что Владимир имел ввиду. Ваши правила и так подразумевают, что через установленное соединение ходят пакеты в обе стороны.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Тем не менее, можно ли взглянуть на скриншот таблицы маршрутизации?
Status\Routes

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

названия поменялись, но суть осталась та же.

тут по крайней мере 3 замечания:
1. Не следует использовать сеть 170.0.0.0, т.к она не относится к серым адресам и вряд ли вам ее выделили как белую

2. Подсеть wan должна иметь совершенно отличный от 255.255.255.248 вид. Предположительно 8x.x.x.136/29

3. использование 10.0.0.0/24 трудно рекомендовать. Куда лучше 192.168.238.0/24, 172.30.238.0/24 или 10.238.238.0/24. Вероятно, эти рекомендации подойдут и к пункту 1.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

170.0.0.0 никак не используется, это переделанный на dmz IP для того чтобы его использовать на vlan. Все остальное учту спс.
PS метод перебора действий не дает результатов. tcpdump на машине с web видит обращение из lan сети и пытает ответить, tcpdump на машине в lan сети видит что что-то происходит (tcp previous segment not captured - погуглил не понял что это значит).

Вы зря слишком глубоко копаете. На нормальной прошивке и конфиге DFL глючить не будет.

Вы пробовали?


Это белая подсеть. Вдруг на ней супер-пупер-техно-порно-ресурс bgp.coopercitrus.com.br [170.0.0.1], без которого не сможет жить и работать ваше начальство?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Чудо произошло сменил прошивку с Firmware:DFL-260E A1 FW v2.30.01.06(for WW) на Firmware:DFL-260E A1 FW v2.40.04.08(for WW) и заработало.

Спс!

2.30 глючная была прошивка.
Можно потом и на 11.10.01 перейти.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...