Доброго дня!

Ситуация такая.
Соединение с инетом настроено через VPN (практически без жалоб на DI-804HV), все настройки по умолчанию, единственное настроенно - пускать в инет только один айпишник. Прошивка 1,43b.
Трабла в следующем (только с 80 портом, остальные нормально бегают) - заметил тормоза с открытием web страниц и в тоже время ftp летает на ура. Читаю что он там поназаписывал в syslog - там сплошные блокировки, например:
Blocked access attempt from 195.138.80.39:80 to TCP port 58433
Blocked access attempt from 195.138.80.39:80 to TCP port 57787
Blocked access attempt from 195.138.80.39:80 to TCP port 58841
Blocked access attempt from 195.138.80.39:80 to TCP port 57383
Blocked access attempt from 195.138.80.39:80 to TCP port 62967
Blocked access attempt from 195.138.80.39:80 to TCP port 60909

Т.е. я понимаю так: Мой прокси шлет через DI-804HV syn-пакет, а когда адресат отвечает ему syn ack - тут-то DI-804HV и блокирует.
Начальство в бешенстве из-за того что раньше (до того как поставил DI-804HV) все летало, а теперь буксует.
Объясните пожалуйста, какого он это делает???

SPI включен? Попробуйте отключить. Снова начнет "летать"

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

SPI выключен
забыл сказать - то, что показывают логи от D-Linka относительно блокировки вэб, это только 2-3%, остальное он просто режет.

1. 195.138.80.39 - это прокси ?
2. сброс в заводские настройки после обновления прошивки был ?
3. Прошивки 1,43b - в природе не существует

1) 195.138.80.39 - это не прокси (таких адресов много)
2) сброс был
3) да, извиняюсь, ошибся - прошивка V1.40b03

Такого рода сообщения о блокировке (раз СПИ выключен) говорят о том, что пакеты с указанного адреса приходят на уже закрытый
(или еще не открытый) порт, что воспринимается как атака.
Посмотрите снифером, что там происходит, если есть возможность.

Снифером к сожалению проверить возможности нет
Могу сказать только что за Ним канал на 256К, т.е. достаточно порядочная линия чтобы жаловаться на тормоза и закрытие портов.

FTP при всем этом бегает быстро.
До этой модели была такая же, проработала ~1,3 года, все было относительно нормально, потом размигался лампочками и теперь его можно использовать только как свич, фаервол начал пропускать пакеты, vpn-клиент на нем просто здох. Впринципе за эти деньги - 1,3 года еще терпимо, но не 1,5 месяца.

Кстати у старого прошивка была 1,34 и при разрыве vpn-соединения он быстро соединялся, а теперь думает от 20 до 40 минут. Или же посылает запросы на подключение с неверными учетными данными.
Быстрый выход из ситуации - это перегрузить его удаленно, проблема только в том что я немогу все время быть на месте, а начальство бесится без инета.

Какие еще могут быть варианты, или сдать по гарантии?

[...]
Blocked access attempt from 195.138.80.39:80 to TCP port 57383
Blocked access attempt from 195.138.80.39:80 to TCP port 62967
Blocked access attempt from 195.138.80.39:80 to TCP port 60909
[...]

Похоже, что это следы tcp-сессий, которые уже "развалилась" внутри Вашего роутера, но с точки зрения клиента и сервера не завершились. Роутер дропает "обратные" пакеты от сервера, тк. понять, что они часть все еще живой сессии уже не может.
Почему сессии в нем разваливаются фиг знает. Возможно, вполне корректно по таймауту (в принципе наличие такого явления вполне нормально), возможно из-за описаных "тормозов", которые вызваны какими-то другими причинами. В голову приходит "полный резет" с проследующими минимальными накручиваниями всякого файервольного функционала. А оно не перегревается? у 804, на сколько я понял, корпус тесноват.

А icmp не рубится где-нибудь по дороге? яндекс с микрософтом открываются?

icmp не рубятся, ftp, dns, pop3, smtp бегают, проблемма только с вэб.
Ресет был и не один.
Фаервольных накруток вобще никаких нет, только в фильтрах указано что пропускать только один IP-адрес.
Перегреваться не может.

Какое количество пользователей у Вас облуживает DI-804HV ?

Странно. http от smtp ничем таким не выделается. Сокет и есть сокет. выше точно просто интернет? транспарент прокся у провайдера не стоит?

Количество пользователей около 20.
Выше идет провайдерский VPN-сервер.
Мы ходим в инет без его прокси (глюкавит он часто).
Решил проблему другим путем:

Мой сервер -> DI-804HV -> Провайдерский VPN-сервер

Сделал VPN-туннель сразу со своего сервера, через длинк., на провайдера.
И все снова начало летать....

Очередной глюк в прошивке относительно vpn?????
Жить будем, цена железяки всетаки не велика.

Пасиб за ответы.