Имеется устройство DFL-860

Имеется правила SAT+ALLOW на WAN1-интерфейсе для создания доступа к серверу WWW находящийся во внутренней сети LAN.
Имеется правило NAT для выхода пользователей во внешний мир без ограничений.

И доступ из интернета имеется к серверу WWW - без проблем
И пользователи без ограничений имеют выход в Инет.

Вопрос - почему пользователи из внутренней сети 172.16.1.0/24 с интерфейса LAN не имеют доступа к серверу который выставлен через WAN1-интерфейс.

В правиле NAT пользователи могут ходить куда хотят

Name: Acces_User_Inet
Action: NAT
Service: all
_______________Inetface____________networks
Source:__________Lan____________172.16.1.0/24
Destination:______wan1______________ all-nets

Что и где ещё добавить.

надо добавить пару правил SAT + NAT

поищите на форуме слово natloopback

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

...в папку lan_to_wan

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Точно, так и есть.

Можно ещё вопрос про некоторые странности реализации DFL-800|860
А именно
- имеем устройство DFL-860
- имеем ОДИН адрес на интерфейсе WAN1
- делаем правила SAT\Allow для доступу к сервере во внутренней сети на интерфейсе LAN

А теперь вопрос - почему этак конструкция начинает работать если только интерфейса Destination:WAN1 ставим core

Ранее имея более одного белого адреса и публикую в ARP новый IP всегда ставил в поле Destination: - WAN1
Сколько помню при общении с D-Link DFL-800 ни разу не использовал core и всё работало и работало стабильно и хорошо. Но адресов было больше чем один и выставлялся всегда второй, третий ..... точнее другой чем тот который изначально привязывался к WAN1-игтерфейсу.

Вопрос и предыстория не совсем понятны.

Можно ограничиться лишь констатацией того факта, что при пробросе портов, как правило, всегда верно указывать интерфейс Core. Поскольку IP адреса на DFL привязаны к ядру устройства.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.