Доброе время суток

lan_dfl - 192.168.1.1
lan_client - 192.168.1.2
dmz_dfl - 192.168.2.1
dmz_server - 192.168.2.2
настроено правило Allow из LAN в DMZ

при просмотре логов расположенных на dmz_server, все запросы от lan_client к dmz_server идут с подставленным адресом dmz_dfl

Можно ли как-то пробросить соединения так, чтобы dmz_server видел lan_client?

Я подтупливаю наверное под вечер, мне почему то кажется что я уже делал такое в одной из конфигураций несколько лет назад, но вспомнить/найти не могу

Покажите скриншот правил между lan и dmz

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

У вас должна быть пара правил типа:
Allow lan/lannet dmz/dmz_net all_services
Allow dmz/dmz_net lan/lannet all_services

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Скриншот не покажет, т.к.:
1. правила раскиданы по разным папкам
2. адресация совсем другая (в своем письме я упростил для простоты)

Поясните пожалуйста - какой смысл в DMZ при таких правилах?

Немного расширю первоначальное описание:

dmz_server - вебсервис на apache, отвечает по 80 порту
lan_client - вебсервис на iis, отвечает по 80 порту

у меня появилась задача отдавать на апаче часть контента только для ииса (в локалке есть еще несколько машин, которые работают с апачем, для них этот контент д.б. недоступен)

проще всего организовать такое ограничение доступа по IP, но, как я написал в первом письме, dmz_server видит все обращения всех клиентов так, как будто это dmz_dfl

прямо сейчас я решил задачу, подменив в AD запись локального DNS и завернув весь внутренний трафик из lan/lannet на dmz/dmz_server2, который проксирует HTTP запросы и дописывает в кастом-заголовки адрес клиента из локалки, но это как-то слишком залепушно, хотелось бы поправить.

Показывайте правила.
1. напишите хотя бы текстом
2. это не важно в данном случае сейчас

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Фактически у Вас сейчас обращения из LAN в DMZ транслируются от имени DFL (Правило NAT).
Это правило явно существует и срабатывает раньше, чем упомянутое Вами правило Allow.

Вам предлагается сделать прямые правила Allow, либо перенести эти правила выше остальных правил и папок правил. И проблема решится.

правило вида
Allow lan/lannet dmz/dmz_net http

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Извиняюсь за молчание - работой пригрузило.

Начал рыться в правилах - в одном из очень старых во вложенной папке нашел nat из lan в dmz, который перекрывал собой вышестоящее правило с allow. Заменил на allow - заработало как надо.

Всем спасибо за помощь, кейс закрыт.

PS: почему то думал что DFL ищет первое подходящее правило сверху вниз и по нему отрабатывает.

так и есть . просмотр идет сверху в них , по папкам также

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку