Да, всё стандартно. И я говорил выше, правила сделаны именно по инструкции >> http://www.dlink.ua/sites/default/files ... %20WAN.pdf .
Это не моя придумка с правилами, вроде официально от компании Dlink инструкция.

Судя по этому правилу трансляцию с порта 33000 на порт 3389 делает коммутатор, а не DFL. Это так?

Если это так, и все пять представленных правил сделаны ради RDP, то их надо отключить (не удалять пока).

И сделать пару таких:

SAT wan all-nets core wan_ip rdp (вкладка SAT - адрес назначения: сервер)
allow wan all-nets core wan_ip rdp

обращаться с рабочей станции по стандартному порту на wan адрес DFL

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Вы знаете, уже делал миллион вариантов:). На текущий момент не 33000 пробрасывается на 3389, а просто 3389 на 3389.... через коммутатор предприятия.
Да, проброс порта из мира делает коммутатор не DFL.

ну так создайте сервис с портом 33000

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Господа специалисты, вы меня не слышите:).
Напомню. У меня всё работает из мира и внутри сети DFL.
Не работает именно из сети предприятия. Порт тут вообще не причём, я открыл 0-65535 во всех правилах.И протокол тоже:)
Напомню проблему.
Если в DFL указанный шлюз 192.168.3.1 (Адрес коммутатора через который идёт в мир) убрать- всё начинает работать. То есть замечательно работает из сети 192.168.3.*.....
Но конечно тогда не работает из мира.
надо копать как сделать чтобы пакеты из сети 192.168.3.* - не отправлялись на шлюз 192.168.3.1

Маска на WAN какая ?!
если вы меняете шлюз ?! на какой ?! то какая маска становится ?!

Неужто дописать необходимые маршруты нельзя ?!

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

маска на WAN 255.255.255.0/24
Меняю шлюз, маску не трогаю. Такая же и остаётся, адрес статичный

ACL на коммутаторе не приколочены часом ?!
Очень похоже на изоляцию портов ...

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Скажите как и что проверить, я настолько не разбираюсь...

обратится к администратору коммутатора, с которого вам дают доступ.

ваши два адреса 192.168.3.138 и 192.168.3.140 оба с маской /24 лежат в одном эзернет пространстве. Вы же знаете, что такое маска , и для чего она нужна?!?!?
так вот если судить , то ваши адреса должны видится друг другом БЕЗ УЧАСТИЯ ШЛЮЗА !!!!
Следовательно когда вы отключаете шлюз - то вам доступно все пространство /24 а со шлюзом - AСL на коммутаторе . мешает вам это сделать .. отсюда и ваш такой эффект.

ну и в вашем случае - как говорили раньше надо оставить два правила SAT+Allow на край Sat+Nat. В правилах правильно использовать созданный вами сервис ....

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Наверное нет. Если в эти порты коммутатора подключить два компа- без DFL всё работает. И Админ что обслуживает, божится что вдоль и поперёк всё проверил.

сделайте правила
SAT: any/all-nets core/all-nets SAT->Ваш сервис
NAT: any/all-nets core/all-nets

пробуйте ломанутся своим RDP и смотреть в логи - что будет там .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Поддерживаю! Должны- но не работает. ( И вы правильно поняли, что в коммутатор подключен 192.168.3.138 - DFL а 192.168.3.140 - это рабочее место?)

все рекомендации даны . разбираться вам

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

маски на DFL указываются в виде "/XX".

если у вас wannet = 255.255.255.0/24, то это совершенно неверно.
И это скорее всего и есть ошибка (весьма частая). Или одна из таковых.

Если у вас и другие сети так указаны, все надо править и учить матчасть.

верный пример
wan_ip=12.34.56.78
wannet =12.34.56.0/24
wan_gw=12.34.56.1

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.