Вот что в логе при попытке доступа к www серверу из lan
2008-11-10
15:43:22 Warning RULE
6000051 Default_Rule TCP lan
192.168.100.2
172.17.100.1 3070
80 ruleset_drop_packet
drop
ipdatalen=28 tcphdrlen=28 syn=1

Не ходят пакеты внутри DMZ
сервер 172.17.100.1 прдключен к интерфейсу DMZ 172.17.100.254 маска DMZ 172.17.100.0/24 и с сервера даже не пингуется интерфейс 172.17.100.254
вот лог
2008-11-10
15:56:19 Warning RULE
6000051 Default_Rule ICMP dmz
172.17.100.1
172.17.100.254
ruleset_drop_packet
drop
ipdatalen=40 icmptype=ECHO_REQUEST echoid=512 echoseq=19456

подскажите где копать
похоже только в этом проблемма остальное работает

Это называется NATLoopBack и заставляется работать правилами
SAT lan lannet core wan_ip http_all
NAT lan lannet core wan_ip http_all

Не ходят пакеты и не пингуется шлюз - вещи совершенно разные.

Чтобы шлюз пинговался, надо задать правило аналогичное (не идентичное) тому, что у вас есть для LAN интерфейса. Пусть это будет самостоятельным заданием.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Надеюсь, вы прошили свежую прошивку 2.20.02?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

это к серверу который в ДМЗ в интернет ходит нормально
на интерфейс ДМЗ захожу нормально а к серверу не пускает

Еще раз хочу поднять вопрос о проблемме которая у меня существует и не могу найти решения.
У меня все работает: и интернет и доступ из интернета на dmz_ip и доступ из локалки на dmz_ip но вот дальше к самому серверу dmz нет. Не могу понять почему ведь сервер подключен на интерфейс с его же подсетью почему на этом интерфейсе все запрещено? Как разрешить?

Вы описываете проблему так, что я, например, не могу понять о чем речь.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Попробую еще раз
На DFL-210 порт DMZ имеет адрес 172.17.100.254 к этому порту подключен сервер сетевая карта которого имеет адрес 172.17.100.1
С порта WAN пакеты доходят только до 172.17.100.254 дальше не идут. С порта LAN пакеты доходят только до 172.17.100.254 дальше не идут. С самого сервера 172.17.100.1 пакеты обрубаются на порту DMZ 172.17.100.254 дальше не идут. Не могу понять где запрет. Таблицу маршрутизации и правила свои публиковал выше.

1. У вас хоть что-то работает в DMZ?

2. Насколько я понимаю, правила вы меняли и сейчас они несколько другие.

3. Проверяли прохождение пакетов каким образом: tracert, ping, telnet или еще как?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Да у меня что то работает в ДМЗ

правила менял но суть осталась

проходимость пакетов проверял ping tracert telnet

Мне надоело тянуть информацию от вас клещами. Удаляюсь.

Ответьте, что работает в DMZ и покажите все правила. Кто-нибудь подскажет.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

В самом веб интерфейсе устройства в инструментах есть утилита пинг.
Так вот при помощи ее я могу пропинговать интерфейс LAN и все компьютеры что к нему подключены также могу пропинговать интерфейс DMZ НО НЕ МОГУ ПРОПИНГОВАТЬ КОМПЬЮТЕР ПОДКЛЮЧЕННЫЙ К ЭТОМУ ИНТЕРФЕЙСУ. Почему???????

попробуйте прописать эти 2 правила



где myip - ваш внешний ip выданный провайдером.
В первом правиле при применении будет ошибка. Введёте ip адрес компьютера в DMZ в подсвеченное поле.
Все остальные правила для DMZ попробуйте отключить.

Я не могу понять почему у меня не работают эти правила:

lan_to_dmz Allow lan lannet dmz dmznet all_services
dmz_to_lan Allow dmz dmznet lan lannet all_services

Ведь посути после прописывания этих правил я должен видеть dmz из lan
но нет
если первое правило я меняю на такое

lan_to_dmz Allow lan lannet CORE dmznet all_services

то вижу ПОРТ dmz НО НЕ КОМПЬЮТЕР ПОДКЛЮЧЕННЫЙ К ЭТОМУ ПОРТУ его я ваще не могу увидеть как и он не видит порт dmz
ПОЧЕМУ???????