Расскажите пожалуйста, что все-таки такое SPI и как он работает. А также почему он режет пакеты BIND'a, ica, rdp и могое другое. А заодно расскажите, как с этим бороться.

Устройства - 804HV в режиме обычного маршрутизатора, Firmware Version: V1.38, Wed, Jun 23 2004.

это - Statefull packet inspector - написано во встроенном хелпе и документации.
После установления соединения он (инспектор) запоминает адрес и порт удаленной стороны и принимает пакеты ТОЛЬКО оттуда.
Если его отключить, то в открытый порт можно отправить пакеты с любого адреса, а не только с того , с кот. устанавили соединение.
И поэтому режет пакеты от неожиданных отправителей.

Это я и сам понимаю. Дайте рассмотрим процесс получения ответа от бинда и попытаемся найти там "неожиданного" отправителя. Машинка открывает соединение по 53-му порту. По 53-му же идет ответ, но dest port - не тот, с которго соединение открыто, а тот, на который попросило приложение (в данном случае - nslookup). BIND болтается у меня, "неожиданных" адресов там быть не может

Запрос идет на 53 со случ. порта (т.к. НАТ).
Ответ должен идти на этот порт, а не на 53.
У вас так ?
И, кстати, речь идет не о записях в логе - " Don`t blocked ..."

Безусловно именно так.
По-другому BIND работать не умеет
Речь идет о записях "Blocked..."

Вдогонку к предыдущему сообщению
Вот, собственно, кусок лога, соответствующий этому процессу

WAN Type: Static IP Address (V1.38)
Display time: Mon May 09 19:24:50 2005

9 мая 2005 г. 19:22:28 Restarted by 192.168.100.192
9 мая 2005 г. 19:22:39 Blocked access attempt from 195.151.230.201:53 to UDP port 57269
9 мая 2005 г. 19:22:39 Blocked access attempt from 195.151.230.201:53 to UDP port 57271
9 мая 2005 г. 19:22:39 Blocked access attempt from 195.151.230.201:53 to UDP port 57269
9 мая 2005 г. 19:22:40 Blocked access attempt from 195.151.230.201:53 to UDP port 57269

тогда 3 варианта
1. Бинд отвечает слишком долго и ответ приходит на уже закрытый порт
2. Посмотреть внимательно на настройки файрвола
3. Обновить прошивку, не забыв сделать потом сброс в заводские.

Это исключено.


там смотреть особо не на что

Allow from lan to office LAN,* WAN,195.151.230.0-195.151.230.255 *,*
Allow from office to lan WAN,195.151.230.0-195.151.230.255 LAN,* *,*
Allow icq (bidir) *,* *,* *,5190
Allow http only (bidir) *,* *,* TCP,80
Deny all other *,* *,* *,*




Пробовал, не помогает.

Да и суть не в bind-e.
Та же проблема со многими другими протоколами.
Навскидку: ica-tcp, rdp, dynamap

Странно все это.

Бороться только так - отключить нафиг Ибо таймаут при SPI настолько мал, что если использовать PPPoE, скажем, Стрима, то половину сайтов полностью не откроете. Хотя.....откроете ночью, когда сетевая активность нулевая
Я промучался неделю, отключил SPI, и настало мне щастье!

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Пока так и сделал (жаль).
Будем ждать новой прошивки