Возникла такая проблема:
В DFL-800 добавляю IP-адреса для блокировки. Но блокировка происходит выборочно. Например http блокируется, а пинги проходят, или наоборот, некоторые адреса не блокируются совсем, некоторые блокируются полностью. Где грабли? что я делаю ни так?
Алгоритм блокировки на все адреса одинаковый:
1. Объекты - Адресная книга - сделал папочку Ban_ip, куда заношу все IP-адреса, которые нужно заблокировать. Есть просто отдельные адреса, есть адреса по маске (адрес/24).
Каждому адресу (группе адресов) назначается имя (как правило имя сайта, который там висит).
2. В разделе ZoneDefense - Блокировка нажимаю Добавить, и добавляю по тому имени, для которого в п.1 прописан адрес.
Всё. Настройка - Сохранить и активировать - ОК.
Ждём 30 секунд и вуаля! Какие то сайты пр прежнему работают (например в foto.mail.ru), а какие то успешно заблокировались (например my.mail.ru).
В чём может быть дело? и такое не только с айтами майл-ру.
В контакте не получилось заблокировать, а одноклассники заблокировались. Список можно продолжать долго.
Что я упустил?
Спасибо!

На примере foto.mail.ru и my.mail.ru вы учли, что первый имеет адрес 94.100.179.250, а второй - 217.69.130.41?

Вообще - лучше завести группу адресов (как вы уже сделали) и например сделать над NAT правилами LAN->WAN правило deny lan/lannet wan/DeniedSites. Или (что будет даже более правильно) - применить HTTP ALG и его возможности блеклистинга (коли у вас вопрос только о наложении ограничений на НТТР)

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

http_alg применяется уже.
У меня ест разделение пользователей по группам, и в http_alg прописано кто какие сайты посещать может.
В ZoneDefense я хотел запретить вообще любой доступ по всем протоколам к этим адресам для всех.
Что посоветуете?
Спасибо.

Drop правило выше NAT.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Это понятно. Но реализовать как?
Делаю как написано тут: http://dlink.ru/ru/faq/85/490.html
Но не помогает. Либо всё перекрывает (Drop) либо ничего (NAT).
И остаётся открытым вопрос: как блокировать по IP-адресу, что бы блокировалось?

Я же уже писал - заведите группу IP адресов (как вы уже сделали) DeniedSites и сделайте над NAT правилами LAN->WAN (можно, например, совсем наверху) правило deny lan/lannet wan/DeniedSites

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Просит указать сервис. Указал all. IP действительно заблокировались. http и пинги не проходят. А я могу быть уверенным, что с этих адресов все пакеты тоже будут отбрасываться при такой конструкции правил?