Здравствуйте.

Второй день бьюсь над правильной настройкой DMZ но пока никак не могу добиться его работоспособности.

Имеется:
В WAN порт подключен статический интернет от провайдера. Интернет есть, интернет вещается в LAN. Тут все в норме.
В DMZ пора подключена сеть КСПД (корпоративка). Логи пишут о дропе пакетов, никаких соединений нет. Пинг ходит странно, первые несколько секунд после применения конфига пинг на внутренние IP сети КСПД есть, потом они пропадают.

Почему я стал заморачиваться, раньше КСПД был тупо подключен в общую сеть - и все видели компьютеры принтеры друг друга. Мне это не нужно. Нашей организации нужно выселиться в отдельный "мирок", но иметь доступ до внутренних почтовых и Domino серверов. Но к нам доступа иметь они не должны, и видеть их принтеры мы тоже не хотим. Плюс интернетом своим мы делиться тоже не намерены.

Настроил сеть DMZ
IP: 10.0.25.100
Network: 10.0.0.0/12
GW: 10.0.25.1

Добавил правила (пока чисто для проверки, чтобы понять, что сеть работает корректно):
allow_all_dmz NAT dmz dmznet lan lannet all_services
allow_all_dmz NAT lan lannet dmz dmznet all_services

Но в текущей конфигурации это не работает. Помогите пожалуйста разобраться.

Вместо NAT используйте Allow
Не забывайте про брандмауэры и антивирусы на компьютерах. Им тоже нужно дать соответствующие разрешения.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

И зачем такая жирная подсеть /12 ?

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Потому что есть компьютеры в подсети 10.10.10.0 и 10.0.25.0 и в 10.0.40.0 и т.д.

Сделал для dmz_to_lan Allow, а для lan_to_dmz NAT. Вроде заработало, но только на первые 2 минуты. После этого пинг и коннект к сетевым папкам пропадает и я не понимаю что происходит...

Что в логах?

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Для обоих надо делать Allow
Только ограничивать хождение пакетов в тракте LAN <--> DMZ конкретными группами компов и/или сервисов.
Например,
Allow LAN/lannet DMZ/kspd_grp services_for_kspd
где
kspd_grp - группа компов, к которым нужен доступ за кордоном;
servises_for_kspd - группа конкретных портов, по которым идёт общение между хостами.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

В логах IfaceIPCollision, кажется я тупо занял чей то IP-адрес. Изменил в интерфейсе DMZ получение IP по DHCP - пока работает. Наблюдаю.

Хочу высказать волну негодования, и спросить, может кто сталкивался с подобным поведением?

На протяжении 3 дней, я изучал сей прибор и настраивал его. В конце концов настроил так, как мне нужно, чтобы максимально безболезненно и быстро его вписать в рабочую сеть. И что Вы думаете?
После подключения всех кабелей DFL-210 будто умер. DHCP IP раздал и на этом все остановилось. Локальная сеть не работает, соответственно я ничего не могу сделать и проверить. Интернет и DMZ тоже соответственно не работали. WebGUI не загружался никак. Времени копаться в логах у меня тупо не было, надо было хоть как то его починить.
После сброса все снова встало на свои места.

В итоге послушал негодования начальства ("Ты говорил все быстро будет"), и изрядно потрепал себе нервы.

Это нормальное поведение фаервола после его отключения от питания чтоли? И так будет постоянно, когда нам отключат свет, к примеру?!

Извините, но лично я не верю. ищите проблему в коммутаторах или в чем-то еще.
Вся линейка DFL отличается завидной стабильностью в работе и устойчивостью к отключениям питания.
Единственное больное место у DFL-210 - это набухающие конденсаторы и БП, который надо заменить на нормальный .
Кстати, Вам следует это принять во внимание, если раньше этим никто не занимался с Вашей коробкой.

Железки безупречно работают годами. Вот Вам в качестве примера - Аптайм без малого 900 дней

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...