Хм эта фигня у меня на прошлой прошивке доставала.

Пока не работает функция ARP Publish, т.е. нет возможности назначить больше 1 IP на интерфейс. Так же не работает traceroute через железку.

Я назначал, и все работает нормально.

В какую сторону не работает? Через дополнительный IP адрес или просто через основной? Почему у других работает?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Пинги на назначенный адрес идут ? Т.е. он отвечает ?
IP назначаются на wan, но это не имеет значения, wan,lan...

У меня на LAN интерфейсе заведен дополнительный IP из отличной от lannet подсети, так организована своеобразная DMZ зона.

Пинги на доп. адрес идут только при наличии пары правил, перенаправляющих пинг на основной адрес.

A трассировка через этот доп. адрес проходит независимо от этой пары правил. Только в качестве первого хопа указывается не дополнительный, а основной адрес. Но так ведут себя многие маршрутизаторы.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

И что Вы потом делаете с трафиком полученным на этот IP ? По SAT бросаете во внутреннюю сеть ?

И что Вы потом делаете с трафиком полученным на этот доолнительный IP (tcp, udp) кроме icmp? По SAT бросаете во внутреннюю сеть ? Для чего Вы используете доп. IP ?

Зачем для пинга, с учетом вышеуказанных правил, заносить в ARP что-то дополнительно ? Ваши правила будут из без внесения в ARP работать.

доп IP - это шлюз в инет для дополнительной подсети на lan интерфейсе.

ARP нужен для заведения доп адреса. Правила - для поддержки пинга.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Ну тогда еще раз повторюсь: интерфейс должен отвечать на пинги без всяких ухищрений. А раз не отвчает - значит функция не работает.
-----Мануал----------
NetDefendOS supports publishing ARP entries, meaning that you can define IP addresses (and
optionally Ethernet addresses) for an interface. NetDefendOS will then provide ARP replies for
ARP requests related to those IP addresses.

У меня как раз не идет трассировка, хотя все сервисы разрешены.

В мануале не написано, что отвечать доп. адрес будет на пинги. Там сказано лишь про ARP, что прекрасно работает.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Поставьте правило, отвечающее за трассировку, выше остальных в общем списке.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Уменя после перепрошивки на новую версию пропали все IDP / IPS сигнатуры, которыя я когдато получил по тестовой бесплатной подписке.

_________________
DI808HV, DFL210, DFL800, DAS 3216 B1, DAS 3248DC revВ, ADSL 25**

В мануале не написано, что отвечать доп. адрес будет на пинги. Там сказано лишь про ARP, что прекрасно работает.[/quote]

Согласен, не будет. Т.к. соседи шлют арп-запросы, а dfl молчит, типа не знает о чем его спрашивают. Попробую как-нибудь поставить снифер и посмотреть, что же происходит... IP на интерфейсе работают, нет проблем, а все дополнительные молчат.
Пинг как вариант увидеть, что интерфейс отвечает. Раз IP прописан на интерфейсе как основной или дополнительный и правил запрещающих прохождение icmp нет, то он должен отвечать, это хотя бы покажет то, что арп работает. В кеше у соседей нет мак-адреса dfl с доп. IP. Подсеть одна. промежуточных хабов и т.д. нет.
Основной IP отвечает.

У меня сейчас одно правило:
всем на всех интерфейсах разрешить все(все протоколы)