Не нужно ставить any. Нужно ставить группу всех интерфейсов, по которым может идти интересующий трафик. Я всё собираюсь, и, наверное, соберусь написать как совсем недавно постановка интерфейса any в правиле маршрутизации привела у меня к отказу сразу двух разных каналов.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

To YuriAM
Напишите, почитаем. Это называется "защитное программирование".

Неправильно:
// sort may be 1 or 2
if(sort==1) ....
else ...

Правильно:
if(sort==1) ...
else if(sort==2) ...
else error("sort must be 1 or 2!");

или еще лучше засунуть sort в класс, который будет прверять значение на корректность по каждому чиху и совместно с другими такими доведет производительность четырехядерного 3 ГГц процессора до уровня 80286 12 Мгц .

На практике всё выглядит немного иначе -- если человек плохо представляет логику предметной области: он и с любыми защитными приемами ухитряется написать такое глюкалово (каждый день все наблюдаем, в том числе и в части конфигов DFL). А если представляет хорошо -- тогда дополнительная защита на 90% не нужна.

Вынужден не согласиться. Применение группы интерфейсов вместо интерфейса any скорее всего теоретически медленнее на считанные команды (в зависимости от реализации) на стадии установки соединения и, соответственно никак не сказывается на производительности DFL. Именно применение группы нужных интерфейсов чаще говорит о том, что человек точно знает, что надо делать и понимает логику работы устройства. Бесконтрольное применение же интерфейса any и сети all-nets может напоминать стрельбу из пушки по воробьям - локальную цель вы вполне можете поразить, но тут же повредить иным, нижележащим правилам или создать эту угрозу на будущее.

Так что, я бы сказал, отказ от использования интерфейса any - не защитное, а правильное программирование.

Ну а это просто гипербола. Защитное программирование, связанное с многочисленными проверками может повлечь за собой падение производительности на несколько процентов. В тяжелых случаях - на десятки процентов.

Выигрыш же (или проигрыш) производительности в разы или десятки раз может быть вызван только сменой алгоритма.

К примеру, мне в своей давней программистской практике лишь однажды удалось достичь выигрыша производительности в 4-6 раз (для разных моделей процессоров) переписав код вычислительной матричной задачи с плавающей запятой с языка Си на ассемблер. Т.е. экстенсивным путем, не алгоритмически. Что достигалось тщательной оптимизацией кода - заменой операций работы с памятью на регистровые, операций деления на умножение и т.п.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Может Вы и правы, но у меня не было проблем с any. А вот "удовольствие" выискивать, где я еще не заменил интерфейс, при переходе с провайдера с "просто IP" на другого с PPPoE -- было. Тогда уж, видимо, надо рекомендовать всегда использовать группу (даже если в ней только один интерфейс) вместо wan1 и т. п.
А all-nets я также не всегда использую. В сложных конфигурациях у меня есть Internet = all-nets - lannet - dmznet - pptp_net - ... . Но в простых -- это, по моему, излишнее усложнение.

Согласен. Я в конечном счете пришел к такой же методе. Одним интерфейсом вместо группы можно ограничиваться в тех случаях, когда у вас единственный интерфейс с выходом в инет, без резервных и иных.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

И все таки возвращаясь к теме - как организовать проброс портов с интерфейса dmz на пк в подсеть lan (192.168.45.0/24) (подсеть за другим провайдером) ? Как я понимаю к правилам проброса портов со второго провайдера необходимо еще добавить правило в таблицу маршрутизации что бы принимать входящие сообщения?