Перечитал и русский и английский мануал, но так и не понял до конца как это работает в Dlink-ах
ситуация следующая:
dfl210 подключен к билайн через порт WAN по IPoE т.е. без всяких лишних клиентов L2TP или PPTP как это было ранее.
внутри к порту LAN подключен вайфай роутер DIR300 подключен через свой порт LAN ! DHCP (LAN) на вайфае выключен, к порту WAN ничего не подключено.
Таким образом вайфай я использую просто как точку доступа, клиенты вайфай получают IP от DHCP сервера dfl210.
сеть LAN - 192.168.1.0/24
DFL210 LAN IP- 192.168.1.110
dir300 LAN IP - 192.168.1.250

чтобы смотреть вебинтерфейс вайфая из внешки c WAN dfl210 я пробросил внутрь
внешний порт 3456 в качестве http порта.
ip правила:

пытаюсь подключиться, - не работает.
Я сообразил, что видимо вайфай не ожидает что через LAN к нему будут ломиться с адресов не из его LANподсети, и не пускает.
Ок, думаю вставлю еще правило и поменяю адрес источника на DFL210 LAN IP чтобы думал что с него подключаются.
вставляю между SAT и Alow еще SAT.
получаю следующий набор:
интер.источника сеть_источника интер.получателя сеть_получателя новыйIP:новыйпорт


пробую,- опять не работает!
причем в логах я вижу что Allow сработало
sourcerule=SAT2 destrule=SAT1 WAN/LAN и дальше идут адреc IP с которого я захожу из внешки, а получатель IP dfl210 WAN_IP

в подключениях по таймауту через минуту все стихает.

и тут я подумал что адрес источника меняется правилом NAT и поправил второе правило,
получилось так:

интер.источника сеть_источника интер.получателя сеть_получателя новыйIP:новыйпорт

И все заработало!
из адресной строки набираешь (из внешки, конечно, например с планшета через 4G)
HTTP://мойвайфай:3456 и попадаешь на страницу вайфая.

И тут возникает вопрос,
а чем же тогда отличаются правило SAT с подменой (трансляцией как написано в вебморде dfl210) адреса источника
и NAT где априори меняется адрес источника?
как они работают на самом деле в NetDefendOs?

SAT с источником
NAT источник будет сам DFL
У вашей DIR 300 НА LAN нет шлюза .... дальше сами догадаетесь ?!

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

В последнем случае (там где SAT+NAT+Allow) правило Allow уже не имеет смысла.

Переадрессация всегда работает через 2 правила. Либо (SAT+Allow ) либо (SAT+NAT).
В первом случае на DIR'е будет видно, что Вы стукнулись с какого-то адреса в Интернете.
Во втором случае - как будто это DFL ломится на DIR.
Понимаете в чем разница?

Почему не сработало в первом случае - ищите где-то ошибку. Должно было отработать.
Скорее всего не указали (service 3456).

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

да, точно, DIR300 не знает куда слать пакеты не из ее подсети со стороны LAN
А так, да, первый вариант всегда работает, когда кого-то во внутрь NATишь
я много раз так делал раньше, поэтому и удивился почему не сработало в этот раз.

А что здесь смешного, в вебинтерфейсе dfl210
если указать действие "SAT" то на вкладке SAT есть выбор:
Translate the
* Source IP
* Destination IP (нужное выбрать)
to:
New IP Address:
New Port:

Поэтому у меня все таки остался вопрос, уже выходящий из решенного, чем отличается
SAT "с источником" от NAT ?
а то получается это одно и то же вроде.

alt_http - это порт tcp3456

вот лог:



вот цитата из Log Reference Guide

через некоторое время проскакивает тоже но уже "conn_close"

соединения нет. А ведь должно работать как с NAT во втором пункте.

по подсказке:


Одно NAT правило, заработало при пробросе маршрута с вайфай до роутера
LAN 0.0.0.0 192.168.1.110 0.0.0.0 UG 100

как это работает понять легко.

но когда я попробовал этот вариант (оставив маршрут):



он тоже заработал.....
убираешь маршрут из вайфай - не работает, убираешь одно из правил SAT тоже не работает....

КАК это возможно? кто-нибудь объясните....

А где маршрут?

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

маршрут я прописал в сам вайфай разумеется

дальнейшее копание привело к интересным результатам, опишу после разбора мануала...
Может он даст возможность понять что происходит...

Итак, сам дошел, как же это работает.
В логах DFL-210 никакой информации на какие адреса происходят подмены, нет!
Поэтому я попросту просматривал соединения в веб-интерфейсе того самого вайфая, чтобы понять с какого адреса я на него зашел.

напомню правила:



Если в качестве источника указано all-nets (как в приведенном примере в правиле 2, с подменой адреса источника), то DFL-210 подменяет(транслирует) IP источника так:

Берет первое число адреса источника плюс первое число адреса, указанного в правиле для подмены IP и получает первое число IP адреса, который в реальности использует для подмены.
Если число получается больше 256, то минус 256
например я захожу с адреса 2.15.27.248 а указал в правиле подменять адресом 192.168.1.100, роутер заменит ip источника
на 194.183.28.92 как видим совершенно левый адрес, не тот который я указал (192.168.1.100)
При таком раскладе мой вайфай видел входящее подключение с адреса 194.183.28.92, принимал меня (я логинился на вайфае) и ответы с помощью маршрута по умолчанию, который я в него прописал ранее, слал
на адрес шлюза, т.е. назад в DFL-210. Роутер, в свою очередь, возвращал пакетам обратно нормальный адрес, в качестве адреса назначения для ответов.
Так это и работало. т.е. все три правила срабатывали нормально, только адреса кривые использовались во втором правиле.

Если в качестве источника пакетов (во 2 правиле) указать один единственный адрес, и, естественно, (иначе правило не сработает) с него же заходить, то подмена будет происходить в точности на тот адрес который был указан, без всякой арифметики. т.е. нормальное "один к одному"

Если в качестве источника (опять я говорю о 2 правиле) указать диапазон через дефис, например 2.15.27.245-2.15.27.248 а адрес подмены указать к примеру 192.168.1.50

то при заходе с 2.15.27.245 , подменится на 192.168.1.50
с 2.15.27.246 , подменится на 192.168.1.51
с 2.15.27.247 , подменится на 192.168.1.52
т.е. получаем правило "многие ко многим" если не ошибаюсь....

В русском мануале на DFL описано подробно destination SAT, а source SAT обошли стороной. А кое в чем они работают по разному. Я имею ввиду в деталях.
Понятное дело что SAT подмена IP источника, и SAT подмена IP назначения принципиально разные вещи.

Ну и собственное любопытство я удовлетворил. SAT источника один к одному, в некоторых случаях, можно использовать в качестве подмены динамического NAT.

PS. те кто будет пользоваться этим постом как руководством, адреса источника нужно еще в ARP интерфейсах прописать.
Я так делал по крайней мере, и в руководстве тоже про это написано.