vgo, что-то менять в сети из-за нескольких машин с банк-клиентами я не могу.
Больше подходит вариант создания на DFL-260E обычного NAT'а и присвоения банк-клиентским компам адресов типа 192.168.10.0 т.к. через NAT эта утилита точно ходит.
Вот только смогут ли эти компы войти в домен который будет для них уже во "внешней сети" (10.145.1.0)?

Но пока попробую правила править.

Формулировка неправильная.
"Что-то менять в сети" надо не из-за машин с банк-клиентами, а потому, что сеть сконфигурирована неправильно, и это надо исправлять.
И то, что сейчас эта неправильность проявилась только таким образом - это, считайте, Вам пока везет.

Войти в домен смогут, если настроите доступ ))
Да Вы, батенька, маньяк. В DFL есть такая фича - группа адресов. Она бы Вам позволила несколько десятков IP-rules заменить одним.
Кстати, правила для казначейства у Вас задизаблены - это Вас не смущает? Ну и правила для 7500 порта выглядят как-то не совсем правильными,
хотя, возможно, они и вовсе не нужны.

Короче, сверяйте конфиги на DFL в этой части.

И СМОТРИТЕ, НАКОНЕЦ, В ЛОГИ!!! ТАМ МНОГО ИНТЕРЕСНОГО!!!

потом ARP -a и все встанет на свои места

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Конфигурацию скинул ту которая сейчас работает, я его (DFL) иногда снимаю и настраиваю, а после обратно заливаю конфиг старого админа.
Эта проблема пришла мне по наследству от старого админа, а он уже работая на другой работе удаленно тоже там конфигурил - "на живую", уже видимо не очень заботясь о "красивости" и Ip-казначейства добавлены все которые он смог найти, хотя нужен был только один: 31.173.43.178 и с портом 7500 тоже такая же фигня.

Так, продолжаем.
У Вас очень странный (и, скорее всего, ненужный) раздел ARP/Neighbor Discovery. Хотя, возможно, это - следствие объявления статических хостов по DHCP, я с этим не сталкивался.
Единственной строчки, которая, может быть, помогла бы, там нет - публикации адреса IP_206 на wan.
Зато стало ясно, почему работает доступ в инет (там NAT), в отличие от доступа к казначейству (там Allow). Пакеты утилиты проходят наружу, но обратные не могут найти дорогу к компу: никто не отвечает им на ARP по этому IP.
Я бы, для начала:
а) убрал бы правила для 7500 порта, они все равно не соответствуют поставленной задаче
б) заменил бы Allow на NAT
в) если это не поможет (вообще-то должно помочь), занялся бы публикацией по ARP адреса IP206 на wan интерфейсе. Хотя дальше может понадобиться еще настройка правил, не знаю.

ARP очень любил старый админ, одна из них (в настройках DHCP) не позволит получить определенному компу другой ip-адрес, а вторая не выпустит наружу комп с другим MAC, а нули на неиспользуемых ip-адресах - видимо для "удобства".

Нули, вероятно, не позволят никому другому получить адрес по DHCP (все зарезервированы). Хотя того же результата можно было достичь простым уменьшением пула DHCP.

Насчет "не выпустит наружу комп с другим MAC" гмммм.., ну да, этот трюк работает. А что, там такие злобные хацкеры?

))) и ещё в добивочку - на первом DFL-860E тоже сделано также, только DHCP вынесен на другой сервер (на котором тоже по МАС-адресу ip выдаются).

И вот представьте себе, через что я должен пройти, что бы создать себе тестовый стенд с выходом в интернет. В Четырёх местах должен поменять МАС-адреса и ещё не забыть, что хотел сделать/протестировать.

А как заняться "публикацией по ARP адреса IP206 на wan интерфейсе" ? Предыдущие шаги уже выполнял не помогали.
И в принципе для тестов я использую IP201 (10.145.1.201) у него NAT в правилах:

А вот это уже интересно. И что там, прописаны маки для всех 253 IP?

А в общем, логи смотрите. На обоих DFL. В логах есть фильтры, очень помогают.

vgo
Да прописаны , а в неиспользуемых 00-00-00-00-00-59 (59-типа ip адрес) - представляешь
Как заняться "публикацией по ARP адреса IP206 на wan интерфейсе" ?

Логи какие-то странные - не информативные (см. приложенный фапйл).

Пока преждевременно публиковать ARP, тут на каждом шагу новые загадки.

Так на все 253 адреса прописано ARPND? И что прописано для адресов сетки за DFL-260?

1. С какого DFL эти логи? 860?
2. Кто-то Вам гонит данные по vlan24
3. В то время, за которое логи, были попытки подключения к 31.173.43.178? Ну то есть, работала утилита или это просто так логи?
4. Видимо, уровень логов надо опустить (поднять?) до Info, а то и Debug.

Не надо гонять всю эту гору логов. Откройте в Web интерфейсе, почистите лог, попробуйте утилиту, потом refresh лог, потом фильтр по ip=31.173.43.178, сначала Source, потом Destination, если что выпадет - то и смотрите. Да, минимум Info должно быть, тогда будет информация и о пропущенных пакетах, а не только о задержанных.

Прописаны все МАС адреса. Для адресов сети за DFL-260 тоже прописаны (они работают когда я снимаю DFL-260 и включаю эти ПК напрямую в общую сеть).

1.Лог с DFL-260.
2. Про vlan24 ничего не знаю.
3. Лог естественно очистил, потом пытался подключиться, потом сохранил лог.
4. Уровень логирования правила для Ноутбука 10.145.1.201 - default, обязательно повышу уровень логирования до Info.
Это был выложен System Log, настройка логов делается в правилах (Rule) или где-то ещё?

То есть, прописаны MAC адреса самих ноутов? Но в варианте Allow должен быть MAC адрес DFL-260, ведь пакеты надо слать на него. И тогда, видимо, бесполезно публиковать этот IP адрес по ARPND, прописи на 860 все равно заблокируют работу с ним. А если прописи на 860 будут указывать MAC адрес DFL260, публиковать тоже бесполезно ))

Кто-то у Вас в локалке интенсивно использует vlan, причем не одно устройство. По mac определяются DLink, vmware, дальше смотреть не стал. Так ничего особенного, широковещалки, но имейте в виду, оно там есть. Раз уж Вы там работаете, про vlan надо бы знать.

В логе нет никаких следов этого адреса. Значит, этот DFL ни одного пакета ни туда, ни обратно не дропнул.
Настройка логов делается в Web интерфейсе, в разделе System - Log and Event... Кстати, там могут быть отключены отдельные категории сообщений.
Смотрится также в Web интерфейсе, в меню "Status"

Да, и пора смотреть логи на 860, также с уровнем Info и фильтром по адресу 31.173.43.178

МАС адрес DFL-260 (10.145.1.2) тоже прописан. Не очень понял первый абзац.

С Виланами разберусь.

В логах нет следов этого адреса (Веб-фильтром пользовался), что очень удивляет, т.к. в разделе System - Log and Event в разделе: Log Severity выбраны все уровни от (0) до (6)Info , кроме (7)Debug.

Вопрос в том, для каких IP он прописан.

Про первый абзац.
Вы, прошу прощения, знаете, для чего служит протокол ARP?
И что будет, если отправитель пакета будет по запросу ARP получать несуществующий в сегменте MAC адрес.